Image generated with AI (Gemini)

OSA 2. SOC-partneri valimine: Hiirejaht küberruumis: Kas su SOC-kass on kiskja või lihtsalt paberitega toakass?

27. jaanuar 2026 • Risto

#küberturve #SOC #valikuprotsess #infoturve

Eelmises osas kirjutasin, et pole vahet, mis värvi on kass, peaasi, et ta hiiri püüab. Jätkan küsimusega: kas su valitud kass on üldse kiskja või lihtsalt “paberitega” toakass?

Foto on loodud tehisintellekti abil (Gemini)

SOC (Security Operations Center) on muutunud populaarseks tooteks, mida paljud IT-ettevõtted oma teenusepakettidele lisavad. Tellijana tasub aga vaadata fassaadi taha – kas sa ostad reaalset turvavõimekust või lihtsalt ühte täiendavat rida kuuarvel?

1. Ohumärk: SOC kui “üks paljudest” teenustest

Kujuta ette ettevõtet, mis müüb arvuteid, hooldab printereid ja pakub lisaks ka SOC-teenust. Esmapilgul tundub see mugav, aga siin peitub konks.

SOC ei ole kõrvaltegevus. See ei ole tarkvaralitsents, mille saab lihtsalt tavalise IT-halduslepingu külge pookida. See nõuab järeleandmatut fookust. Analüütikud ei saa veeta oma hommikut kasutajate paroole vahetades ja pärastlõunat keerukaid küberohte jahtides. Spetsialiseerunud pakkuja elab ja hingab turvalisust – nende jaoks ei ole seire lihtsalt “lisaväärtus”, vaid kogu nende missioon.

2. “Must kast” ehk odavad “white-label” lahendused

Turul liigub ka kahtlaselt odavaid pakkumisi. Sageli on nende taga white-label mudel: kohalik ettevõte müüb sulle teenust oma nime alt, aga tegelik töö on ostetud sisse kuskilt kaugelt offshore keskuse “teenustehastest”.

Miks see riskantne on?

• Konteksti puudumine: Kaugteenuse pakkujal puudub igasugune arusaam sinu äri olemusest ja kohalikust ohupildist.
• Sinu jaoks kriitiline kõrvalekalle on nende jaoks lihtsalt üks rida tuhandete seas.
• Geograafiline asukoht: Kas sa tead täpselt, millises riigis sinu logisid tegelikult analüüsitakse? See on suur küsimärk nii turvalisuse kui privaatsuse vaatest.
• Vastutus: Kui midagi juhtub, on väga raske nõuda vastutust neilt, kes on kättesaamatult kaugel.

3. Tehnoloogiline “lõks” (Vendor Lock-in)

Mõni pakkuja ehitab teenuse üles nii, et sa oled sunnitud kasutama ainult nende tarkvara või nad hoiavad sinu logisid oma suletud keskkonnas.

Kui sa otsustad kunagi partnerit vahetada, avastad, et ajaloolised turvalogid ja kogu seadistatud “tarkus” jäävad neile. Hea partner pakub tehnoloogilist vabadust – andmete ja seadistuste omanikuks pead jääma sina. Nii on sul vabadus liikuda, kui teenuse kvaliteet enam ei vasta ootustele.

4. Kes valvab valvureid?

Kui sinu IT-süsteeme haldab ja valvab sama meeskond, siis kes kontrollib? SOC-i üks ülesandeid on märgata süsteemi nõrkuseid või haldajate valeseadistusi.

Sõltumatu SOC-partner toimib kui erapooletu silmapaar, kes julgeb ka IT-halduse vigadele tähelepanu juhtida. Ühe ja sama tiimi puhul võib tekkida olukord, kus “oma poiste” eksimusi ei peeta oluliseks või ei märgata üldse.

5. Lubadused paberil: Tuvastamine vs. Tegutsemine

“Reageerime 15 minutiga” kõlab hästi, aga täpsusta, mida see tähendab. Kas nad saadavad sulle keset ööd automaatse teavituse, et su maja põleb?

Päris SOC-teenus tähendab reaalset tegutsemist ja rünnaku peatamist (nt nakatunud seadme isoleerimist), mitte lihtsalt “häirekella” helistamist ja lootmist, et sa ise midagi ette võtad.

Kokkuvõtteks: 5 kontrollküsimust partnerile

1. “Kas teie SOC-tiim tegeleb ainult turvaseirega või on neil ka muid IT-haldusülesandeid?”
2. “Kas analüüs toimub sama meeskonna poolt kohalikus keskkonnas või on see kuskilt sisse ostetud teenus?”
3. “Kui koostöö lõpetatakse, siis kas meie logid ja seadistatud reeglid jäävad meile?”
4. “Kuidas te tagate objektiivsuse ja sisekontrolli, kui olete ühtlasi ka meie IT-partner?”
5. “Kas te olete valmis rünnaku korral koheselt ise sekkuma või piirdub teenus teavitamisega?”

Vali partner, kelle jaoks turvalisus on põhitegevus, mitte mugav kõrvaltoode.