Villu Teearu: küberturvalisus võibki olla ebamugav
/nginx/o/2022/08/22/14779034t1h0147.jpg)
Ettevõttes küberturvalisuse tagamine on pidev vägikaikavedu mugavuse ja piisava kaitse vahel – mida mugavam on millegi tegemine, seda ebaturvalisem see on, mida turvalisem on aga võetud lähenemine, seda ebamugavamaks muutub soovitud ülesannete täitmine. Elisa IT-juhi Villu Teearu sõnul tuleks sellepärast üritada leida kuldne kesktee ning reaalsete kaitsemeetmete kõrval panustada ka inimeste koolitamisesse ja teadlikkusse.
Möödas on ajad, kui küberturvalisusele sai mõelda vaid väike seltskond inimesi kontori taganurgas. Nüüd on ettevõtted igast küljest digilahendustega ümbritsetud ning iga töötaja on viidud eesliinile. See on kaasa toonud olukorra, kus turvateemad on midagi, millega peavad kokku puutuma kõik, olgu see piiratud õiguste, kaheastmelise tuvastamise kohustuse, vaid valitud teenuste kasutamise loa või pidevate koolituste näol.
See tähendab ühtlasi ka seda, et aja jooksul on veidi ebamugavamaks muutunud kõigi töö. Kui näiteks varem võis andmebaasist infot pärida pea iga inimene, siis täna saab andmetele ligi vaid osakonnajuht. Kui töötajal on kindla ülesande täitmiseks mingit andmestikku vaja, tuleb tal seda juhilt küsida, saada ajutised õigused või oodata, kuni juht andmed ise välja võtab ja talle saadab. Niisamuti on aeganõudvamaks muutunud ka kõige igapäevasemate tegevuste tegemine – enam ei piisa lihtsalt parooli sisse trükkimisest, vaid tuleb ka telefonist kaheastmelise tuvastamise kood leida.
See ebamugavus on küll enamasti õigustatud, kuid iga organisatsioon peaks turvaparameetrite sätestamisel meeles pidama, millega tegeletakse ning mida üritatakse saavutada. Nullmõjuga teemale pole mõtet külge panna CIA-tasemel turva-ahelat, samas kui näiteks kliendiandmeid puudutava süsteemi puhul tuleb leppida, et sellega töötamine võib turvakaalutluste tõttu olla väga ebamugav. Parem tegeleda tööprotsessides veidi tüütute asjadega, kui riskida sellega, et tundlikud andmed või süsteemid langevad rumala näpuvea pärast valedesse kätesse.
Inimesed teevad vigu, süsteem peab sellega arvestama
Kuigi ideaalses maailmas oleks kõik inimesed ideaalsed ja küberturvalisust tagavate protsesside jaoks poleks mingit vajadust, siis on reaalsus teistsugune. Inimesed teevad vigu, osad inimesed on pahatahtlikud ning mingi hulk inimesi eelistab silmad kinni panna ja teeselda, et ohte pole olemas. Seal, kus inimesed põruvad, peavad pead tõstma protsessid ja süsteemid, mis ei lase kõige hullemal juhtuda.
Hea küberturvalisus algab perimeeterkaitsest, mis tähendab, et iga inimene saab ligi täpselt neile asjadele, millele on vaja ligi pääseda. Klienditeenindajal pole vaja näha dokumendihaldussüsteemis finantsandmeid, turundajad ei pea nägema kõnelogisid, haldusosakonna juht ei pea nägema kodulehe koodi repositooriumit. Mida tugevamalt on õiguste süsteem juurutatud, seda väiksem on tõenäosus, kellegi kaudu läheb jalutama midagi, mis ei peaks iial jalutama minema.
Samas tähendab see, et kui turundajal ongi õigustatult vaja näha kõnelogisid, siis tuleb kellelgi oma päevast võtta 10 minutit, et vajalikud andmed talle välja võtta. Iga organisatsioon peab oma riskilävendi ise tuvastama ning otsustama, kas pigem on mõistlik riskida ohtudega või panustada kiirusele ja mugavusele.
Perimeeterkaitse kõrval on sama oluline ka õigete äriliste ja personalihalduslike protseduuride juurutamine. Näiteks peaks olema väga selgelt paigas, kes ja millal peab lahkuvalt töötajalt ligipääsud ära korjama, kes hoiab silma peal, et kõik oluline oleks seotud ettevõtte kontodega ning kes vaatab üle, et mõni töötaja poleks jätnud oma arvutit kolm aastat uuendamata.
Küll aga on kontrollmehhanismid vaid küberturvalisuse üks pool, sama oluline on ka teadlikkus ja küberpädevus.
Tugeva perimeeterkaitse ja kõikide muude tehniliste abimeeste kõrval ei tasu ohtude ennetamisel alahinnata ka koolituste, õppuste ja pideva kordamise olulisust. Inimeste tehniline taip ja riskitaluvus on erinevad, seetõttu peab iga ettevõtte pidevalt tagama, et töötajad peaks kinni põhimõtetest, mis ettevõtte on mõnel kaalutletud põhjusel seadnud. Mida paremini suudavad töötajad mõista, millised on reaalsed ohud, kuidas pahalased mõtlevad ning mis võib juhtuda, kui nad üritavad paika pandud protseduuridest ringiga mööda minna, seda väiksem on tõenäosus, et keegi teeb vea, mis võib organisatsioonile kalliks maksma minna.
Seega on küberturvalisust võimalik tagada, kui sellele piisavalt panustada. Mingitel juhtudel võib see olla ebamugav, tüütu või isegi närviajav, aga kui riskihinnang seda õigustab, siis tulebki inimesi aeg-ajalt mõistlikkuse piires närvi ajada. Kui valikuteks on süsteemide töö halvamine ja andmete lekkimine või kellelegi kalendrist aeg-ajalt 10 minuti eraldamine mõne andmekillu otsimiseks, peaks õige valik olema ilmselge.