Kui aastaid tagasi võis keskmine ettevõte küberturvalisusele läheneda kui millelegi teisejärgulisele, siis praeguseks on olukord täielikult muutunud. Muutused ei ole seejuures ilmnenud vaid ohutaseme ning potentsiaalsete kahjude kasvuna, vaid ka turvalisuse eest vastutavate inimeste ringi meeletu suurenemisega – küberturbejuhtide tööpõld on külluslik, kuid küberhügieen, andmete kaitsmine ning süsteemide töökindluse tagamine on jõudnud ka iga teise töötaja kohustuste hulka, kirjutab Elisa IT-juht Villu Teearu.
Kuidas panna ettevõtte töötajad päriselt küberhügieenist kinni pidama?
Igat ettevõtet varitsevad erinevad ohud ning mida päev edasi, seda rohkem uusi ohte tekib. Nii nagu organisatsioonid üritavad end ja oma klientide andmeid kaitsta, üritavad halbade kavatsustega osapooled leida pidevalt uusi ründevektoreid, tuvastada ettevõtete nõrku kohti ning tabada, läbi millise tehnilise või inimliku haavatavuse oleks võimalik oma eesmärgid täita. Kuigi suurema osa kaitsetööst peavad ära tegema ettevõtteülesed sise-eeskirjad, turvapoliitikad ning valvsad IT-inimesed, siis on küberohtudega võitlemise rindel iga töötaja, kes peab seetõttu oma positsiooni mõistma ja teadma, kuidas end ja teisi kaitsta.
Töötajalt ei saa liiga palju eeldada
Enamikul veidigi tehnikat tundval inimesel on kujunenud vähemalt mõõduka tugevusega vaist potentsiaalsete ohumärkide kohta. See ei tähenda siiski, et ükski juht või ükski organisatsioon saaks eeldada, et töötajad suudavad või soovivad kõikidele võimalikele ohuteguritele tähelepanu pöörata ning taibata, milline võib olla mõne konkreetse tegevuse kolmanda või neljanda astme tagajärg.
Sestap on iga tänapäevase juhi ülesannete seas lisaks tiimi tööelu ja töörõõmu juhtimisele juhtida oma meeskonna küberhügieeni ning tagada, et kõik meeskonnaliikmed mõistaksid täpselt, millele tähelepanu pöörata, mida vältida, mida tähele panna ning milliseid protseduure järgida, et ohutase miinimumini viia.
Kuigi iga ettevõte ning iga meeskond on omanäoline ja peab arvesse võtma erinevaid ohte, on üldised küberhügieeni parimad praktikad universaalsed. Sõltuvalt meeskonnast või tööspetsiifikast saab neid siia-sinna kohendada, kuid ühes või teises vormis peaks iga juht tagama, et kõige põhilisemast peetakse kinni. Kuigi erinevaid kaitseliine ja häid praktikaid on sadu, peaks esimeses järgus meeskonna samale lainele viima kolmes põhilisemas aspektis.
Miks peab ettevaatlik olema?
Abstraktsed ja hoomamatud ohud ümbritsevad meid kõikjal, kuid see ei tähenda, et jätaksime autoga sõitmata, hamburgeri söömata või sünnipäevapeole minemata. Ettevaatlikkust ja tähelepanelikkust aitab tekitada konkreetsus ning päriselt mõistmine, et asja A tegemisel juhtuvad pea täiesti kindlalt asjad X, Z ja Y. Seetõttu tuleb igal küberhügieeni taga ajaval organisatsioonil aidata oma töötajatel mõista, mis on päriselt see, mis juhtub, kui kuskil libastutakse.
Olenevalt ettevõtte omapäradest võivad väljatoodavad punktid erineda, kuid Elisa näitel on oluline, et iga töötaja mõistaks selgelt, et tema tööandja on elutähtsa teenuse osutaja ning ettevõte, kes peab vastutustundlikult töötlema sadade tuhandete inimeste andmeid, ilma et ükski andmepunkt iial valedesse kätesse satuks. Seega peaksid inimesed mõistma, et jättes endast maha suure turvaaugu koodis, vilistades üldistele ohutuspõhimõtetele – näiteks laadides alla kahtlaseid faile, kasutades korduvat parooli või tehes mõnd olulist toimingut mitteusaldusväärse teenusepakkuja toel – või käitudes andmetega vastutustundetult, võivad kahjud olla vägagi suured.
Mõistagi on iga töötaja seljatagust kaitsmas robustne tugisüsteem, mis potentsiaalselt tekkivaid probleeme isoleerib ning paneb käe ette veel ennegi, kui suurem viga jõutakse teha, kuid see ei tähenda, et lootma saaks jääda vaid neile. Iga töötaja peab mõistma, et tema tegevustel võivad olla suuremad ning tõsisemad tagajärjed. Mida selgemini on tiimiliikmetele nende vastutus lahti selgitatud, seda suurem on tõenäosus, et nad oma isiklikule küberhügieenile ka tõsisemalt tähelepanu pööravad.
Ligipääs vaid sinna, kuhu vaja
Tänasel päeval on enamiku ettevõtete üheks kõige kallimaks varaks andmed –nii kliendiandmed, R&D tulemid kui ka strateegiad ning sajad muud andmepunktid. See tähendab, et tähtsal kohal küberhügieeni tagamisel on väga tugev kontroll andmete ligipääsu, kasutuse ning jagamise üle. Mida vähem inimesi mingitele andmetele ligi pääseb, seda väiksem on oht, et midagi saaks jalutama minna.
Seejuures tuleb aga leida tasakaalupunkt efektiivsuse ja turvalisuse vahel. Mõistagi on mingid andmed sellised, millel saabki ligipääs olla vaid käputäiel inimestel, kes annavad pärast mõõduka bürokraatliku kadalipu läbimist sealt piiratud infot välja valitud töötajatele väga kindlate eesmärkide täitmiseks, kuid kuskile tuleb tõmmata loogiline joon. Enamikus protsessides on ühel või teisel kujul mingeid andmeid tarvis ning kui iga andmepunkti saamiseks tuleks 14 päeva oodata, on ärilist edu mõttetu loota. Samas ei saa aga minna ka liiga julgeks ning lubada vaba ligipääsu kõigele, mida inimeste hing ihaldab.
Heaks praktikaks on organisatsioonis selgelt andmete tundlikkus määratleda ning otsustada, kellel on õigus neid andmeid teistega jagada. See tähendab, et näiteks võib mingitele finantsandmetele alaline ligipääs olla valdkonna juhil, kes saab seda vastavalt vajadusele mingis ulatuses jagada ka tiimiliikmetele. Seejuures on aga oluline iga otsus case-by-case läbi mõelda ning tagada, et kui vajadus andmetele ligi pääseda kaob, siis kaob ligipääs ka tegelikult. Niisamuti peaks andmetele ligipääsu saanud töötaja mõistma, et tal puudub õigus neid oma suva järgi ka pinginaabrile edasi anda. Heaks praktikaks on vajalikud nõuded ja piirangud vormistada ka töö-, andmekaitse- ja konfidentsiaalsuslepinguga.
Kõik see, mida teame juba ammu
Hea küberhügieeni tagamisel on meeletult tähtis ka alaline valvsus ning teema õhus hoidmine. Kuigi pärast töötaja tööle võtmist saab panna paberile linnukese, et temaga on küberkaitseteemadel räägitud, siis on naiivne loota, et valvsus ja ärksus suudab püsida samal tasemel igavesti. Seetõttu peaks iga juht regulaarselt oma meeskonnale teema olulisust meelde tuletama, organisatsioon peaks oma küberkaitselähenemisi objektiivselt hindama ja auditeerima ning uute ohuvektorite tekkimisel tuleb julgelt rakendada uusi praktikaid, mis aitavad kõiki osapooli kaitsta edaspidigi.
Pideva valvsuse teemal ei tasu unustada ka juba vanu tuttavaid praktikaid, mis aitavad ohutust tagada mitte ainult tööelus, vaid ka töölt kaugemal: iga konto peaks olema turvatud kaheastmelise autentimisega, kõik kontod peaksid olema isikustatud, korduvate paroolide kasutamist peaks vältima (heaks abiliseks siin on paroolihaldur) ning kui midagi tundub kahtlane, siis ilmselt ongi see kahtlane.
Küberturvalisus ja küberhügieen on midagi, mis nõuavad alalist tähelepanu ja ei saa kunagi «valmis». Iga päev toob kaasa uued väljakutsed ning iga väljakutse nõuab uusi lähenemisi, kuid parimate praktikate asjalik juurutamine, meeskonnale teema tähtsuse rõhutamine ning ohtude objektiivselt hindamine on parim esimene käik, mida enda, organisatsiooni ja klientide kaitsmiseks teha saab.