Nõrgad paroolid, kaheastmelise autentimise eiramine, kahtlased lingid – nende muredega on inimesed eraelust juba hästi kursis, kuid ettevõtteid kummitavad tihtipeale pisut teistsugused probleemid, kuna inimesi on rohkem ja potentsiaalseid veakohti palju enam. Elisa ärikliendiüksuse juht Artur Praun toob välja viis olulisemad probleemi, mis Eesti suuremaid ja väiksemaid ärisid täna painavad ning pakub neile lahendusi.

Süsteeme on palju

“Oluline on, et erinevad süsteemid mis ettevõttes kasutusel on, oleksid turvaliselt seadistatud. Ettevõtted ja meie samuti kasutame erinevaid lahendusi ja tehnoloogiaid, et oma igapäevatööd teha. Seega on tähtis, et need lahendused oleksid üles seatud kasutades küberkaitse parimaid praktikaid ja inimesed, kes neid haldavad, teaksid samuti, mis need parimad praktikad on,” selgitas Praun.

Ta viitab, et mida suuremaks ettevõtted lähevad, seda rohkem võetakse kasutusele erinevaid tehnoloogiaid, rakendusi ja muid süsteeme, et asju ajada. Samas on nende puhul väga oluline mõelda, et need oleksid turvaliselt üles seatud ja samuti tuleb mõelda klassikalisele – uuenda tarkvara.

Inimesi tuleb harida

Töötajate harimisel küberkaitse teemadel on Prauni sõnul kaks taset – tavatöötajad ja IT inimesed. Tavatöötajate puhul tuleb enamjaolt keskenduda sellele, et selged oleksid kõige põhilisemad küberkaitse head tavad – paroolide turvalisus, kahtlaste linkide vältimine ja imelikud manused. Teisena tuleb tähelepanu suunata inimestele, kelle töö on ettevõttes IT süsteemidega tegeleda ja nende turvalisust tagada. Luua tuleb keskkond, kus nad oleksid juba iseseisvalt kursis muutuste ja uute trendidega kübervaldkonnas ning et nad oskaksid ise ennetavalt võimalikele muredele mõelda. 

“Meie oleme ühe lahendusena teinud ka oma töötajatele automatiseeritud õngitsuskirju, et nende kübervalvsust testida. Näeme, et see töötab hästi. Need kirjad ei ole alati samad ja eesmärk ei ole kuidagi kiusata. Isegi kui keegi klikib, siis vähemalt klikib ta turvalises kohas ja see on hea õppimiskoht, mis jääb hästi meelde,” sõnas Praun.

Kaitse nii sise- kui välisüsteeme

Olulise mõttekohana viitab Praun ka sellele, et tihtipeale mõeldakse ettevõttes ainult väliste avalikult kättesaadavate süsteemide kaitsele ja varju kipuvad jääma need lahendused, mida organisatsiooni sees kasutatakse.

“Väliste süsteemide kaitse on kindlasti oluline, kuna need on avalikult igaühele kättesaadavad. Samas tuleb alati mõelda ka sellele, kuidas su organisatsioonisisesed süsteemid on üles seatud, kuna näiteks kui administraator teeb vea ja mingi sisemine süsteem läheb kogemata avalikuks ja seal ei ole parooliseaded paigas, võib kiirelt tekkida palju pahandust,” sõnas Praun. Lisaks ei tohiks tugineda ainult ühele kaitsemehhanismile, mis on näiteks tulemüür, vaid tuleb üle vaadata laiemalt, mis süsteemid sul on ja mis on nendega seotud riskid.

Üksiktöötaja tasemel ikka klassikalised mured

Praun toob välja, et kuigi tavainimese tasemel on tehtud aastatega palju teavitustööd ja tundub, et inimesed hakkavad juba aru saama, mis küberkaitsevaldkonnas tähtis on, siis painavad inimesi ikka klassikalised mured, mis on seotud nõrkade paroolide, linkidele klikkimise ja kahtlaste manustega.

“Mille peale teinekord väga ei mõelda on see, et mida teha siis, kui see rünne sinuga päriselt juhtub. Näiteks mida teha siis, kui keegi võtab su kontod üle või kui satud lunavararünnaku ohvriks. Samuti võib ründe ohvriks langemine jääda lihtsa arvutikasutusoskuse taha. See tähendab, et kuna inimene ei saa mõnikord sisuliselt aru, kuidas mõni rakendus või süsteem toimima peaks, on ründe ohvriks langemine lihtsam. Kuna ei teata, mis on seal keskkonnas normaalne ja mis mitte,” sõnas Praun.

Väikeses organisatsioonis leia inimene, kes tegeleb IT asjadega

Väiksemate organisatsioonide puhul on Prauni sõnul kõige tähtsam alustada sellest, et oleks olemas üks inimene, kelle ülesanne on IT süsteemide haldamisega tegeleda. Kui jaotada ülesanded erinevate inimeste vahel, tekib turvariske ilmselt juurde ja asjad võivad minna segamini.

Tema sõnul ei tähenda see kohe spetsiaalse IT spetsialisti palkamist, vaid alguses saab see olla lihtsalt keskmisest IT teadlikum inimene, kes abistab kolleege arvutite seadistamisega, kontode loomisega ja jagab neile infot, kuidas end küberruumis kaitsta.

Järgmine asi, mida väiksemas organisatsioonis kerge vaevaga teha saab, on riskide hindamine. Tuleb analüüsida, mis süsteeme, rakendusi ja lahendusi organisatsioonis kasutatakse ja millised on nendega seotud riskid. Neid kahte sammu järgides on võimalik juba eos paljusid ohte oma organisatsioonist eemal hoida.