Küberturvalisuse maailmas räägitakse sageli rünnakutest, kriisidest ja miljarditesse ulatuvatest kahjudest. Vähem on aga juttu inimestest, kes töötavad selle nimel, et midagi ei juhtukski. Aleksei Zjabkin on üks neist inimestest.
Täna juhib ta Neverhacki SOC-i (Security Operations Center) ehk turvaseire keskust, mis töötab ööpäevaringselt, jälgides, analüüsides ja reageerides klientide turvaohtudele. Aleksei teekond küberturvalisusse ei alanud aga sugugi suure visiooniga saada turvamaailma juhiks.
„Ma õppisin alguses programmeerimist, aga sain üsna kiiresti aru, et see ei ole päriselt minu teema,“ meenutab Aleksei. „Mind hakkasid huvitama hoopis võrgud ning see, kuidas olemasolevad süsteemid töötavad, kuidas neid ehitatakse ja paremini kaitstakse.“
Esimesed praktilised kogemused tulid kaitseväes ja Telegrupis, kus tema töö hõlmas võrgu- ja IP-lahendusi ning kaablitaristu ehitamist. Paljud asjad tuli endale lihtsalt sujuvalt selgeks teha. „Mulle anti ülesanne ja öeldi: õpi ära, kuidas see töötab.“ Just see iseseisev probleemide lahendamine sai tema karjääris otsustavaks.
Pärast nelja aastat Telegrupis kutsus endine õpetaja ta Danske panka Linuxi inseneriks. Seal sattus Aleksei keskkonda, mis muutis kogu tema arusaama küberturvalisusest. „Danskes loodi eraldi turvaosakond ja ma liikusin sinna. Tegelesime kogu panga võrgu turvalisusega. Kui süsteemid ei tööta, siis ei tööta kogu pank. Seal liiguvad miljardid ja seda ei saa kuidagi lubada.“
Danske Banki SOC oli omal ajal Baltikumis üks eesrindlikumaid. Aleksei juhtis ligi 20-liikmelist infrastruktuuri- ja turvatiimi ning tegeles teemadega alates SIEM-ist ja SOC automatiseerimise kuni suurte turbeprotsesside ülesehitamiseni. „Ma olen alati tahtnud olla teistest sammu võrra ees. Küsimus ei ole ainult selles, kuidas kaitsta, vaid kuidas olla esimene.“ See mentaliteet kandus koos Aleksei liitumisega edasi ka Neverhacki SOC-i loomisse.
SOC, mis sündis nullist
Neverhacki SOC ei tekkinud ühegi valmis mudeli järgi. Alguses tehti väga palju käsitsi ning süsteemid arenesid samm-sammult koos meeskonna ja klientidega. „Tahtsime luua midagi, mis oleks päriselt teistsugune,“ ütleb Aleksei. Tema sõnul ei olnud kõige keerulisem osa tehnoloogia, vaid inimesed. „Eesti turul ei olnud väga palju inimesi, kellel oleks olnud SOC-i kompetents. Pidime alustama nullist – inimesed välja õpetama ja protsesse üheskoos üles ehitama.“
Aleksei usub, et häid turbeprotsesse ei saa inimestele lihtsalt ette kirjutada. „Kui sa teed kõik inimeste eest ära, ei pruugi nad osata seda vastu võtta. Me kaasasime kogu tiimi protsessi loomisesse. Kui inimesed lepivad ise kokku, kuidas nad töötavad, siis hakkab süsteem päriselt toimima.“
Täna peabki ta üheks Neverhacki suurimaks tugevuseks just meeskonna ühtsust. „Meil ei ole hierarhiat selles mõttes, et üks inimene on tähtsam kui teine. Kõik töötavad koos. Minu jaoks on oluline, et inimesed tahaksid siia jääda pikaks ajaks.“
Julgus eksperimenteerida
24/7 töötava SOC-i ehitamine tähendab pidevat muutust. Aleksei sõnul ei saa selles valdkonnas areneda ilma riskimata. „Kõik muudatused vajavad julgust eksperimenteerida. Mõnikord tähendab see kahjuks ka riski, et midagi võib katki minna. Aga kui sa oled liiga mugavas kohas, siis arengut ei toimu.“
Neverhack on olnud mitmes valdkonnas Eestis esimene – alates CTI-võimekusest ja 24/7 turvaseire keskusest kuni SOC-portaali ning OpenXDR lahenduste juurutamiseni. „Me ei tahtnud teha lihtsalt standardset turvaseiret. Tahtsime ehitada midagi, mis oleks efektiivsem ja targem,“ rõhutab ta.
Automatiseerimine ei asenda inimest
Kuigi küberturvalisuses räägitakse üha rohkem tehisintellektist ja automatiseerimisest, ei näe Aleksei, et inimene süsteemist kaoks. „Kui midagi automatiseerida, siis eelkõige seda, mis on manuaalne ja korduv. Inimesed peaksid tegema vähem nii öelda rumalat tööd ja rohkem analüüsi.“
Tema hinnangul muutuvad järgmise viie aasta jooksul SOC-id oluliselt autonoomsemaks. „Autonoomne SOC tuleb kindlasti. Tehisaru aitab väga palju delegeerida ja protsessi kiirendada, aga inimene jääb alati otsuseid tegema ja suuremat pilti analüüsima.“
Kõige kriitilisemaks peab ta uurimisprotsessi. „Seal ei tohi eksida. SLA (service level agreement) ehk teenustaseme kokkulepe kliendiga peab olema kontrolli all, analüüs peab olema täpne ja aeg töötab alati meie vastu.“
Kui midagi ei juhtu, siis on töö hästi tehtud
Küberturvalisuse paradoks seisneb selles, et edu tähendab sageli nähtamatut tulemust. Aleksei meenutab selle kirjeldamiseks oma isa lugu: „Mu isa töötas tehases ja talle öeldi: siin on sinu diivan ja kohvimasin. Kui midagi juhtub, siis sa palka ei saa. Kui midagi ei juhtu, siis oled oma tööd hästi teinud.“
Samas tunnistab ta, et vahel on vaikus isegi hirmutav. Aastate jooksul on olnud ka keerulisi kriise. Ühe kõige pingelisema projektina meenutab ta turvahinnangut ühele Lähis-Ida riigile. „Nad olid teistes partnerites pettunud ja tahtsid lõpuks päriselt teada, mis nende süsteemides valesti on. Sellistes olukordades ei piisa ainult tehnoloogiast – sa pead suutma väga keerulisi asju selgitada erinevates kultuurides ja väga suure surve all,“ räägib ta.
Missioonitunne loeb rohkem kui tehnoloogia
Aleksei jaoks ei sünni tugev turvaseire ainult tööriistade või protsesside toel. „Sa pead leidma inimesed, kelle jaoks see on missioon. Kes tahavad päriselt midagi kaitsta.“ Tema sõnul on juhi kõige olulisem ülesanne luua meeskonnas usaldus ja ühine eesmärk. „Inimesed peavad teadma, miks nad midagi teevad ja juht peab suutma sellele küsimusele vastata.“ Ta usub, et kõige tugevamad tiimid tekivad siis, kui inimesed julgevad abi küsida ja üksteist toetada. „Inimene peab teadma, miks ta siin on. See on väga oluline.“
Küberturvalisus ei ole luksus
Kui Aleksei karjääri alguses küsisid ettevõtted sageli, miks keegi peaks üldse väikest Eesti firmat ründama, siis täna on suhtumine muutunud. „Kõigilt on midagi varastada,“ muigab ta. Tema sõnul ei tule ettevõtted enam SOC-i juurde ainult pärast intsidenti. „Viis aastat tagasi jõuti meie juurde siis, kui midagi oli juba juhtunud. Täna tullakse regulatsioonide, teadlikkuse ja riskide tõttu varem. Küberturvalisus ei ole kallis. Kallis on taastumine pärast rünnakut. Mõju maksab lõpuks alati rohkem.“