Pilveteenused

Kodutöö pilves – millised on suurimad turvaohud ja lahendused?

Rubriiki toetab

  • Wavecom - kõrgkäideldavad pilveteenused ärikriitiliste andmete majutamiseks
  • Vaata täpsemalt

Kui varem olid firma pilveteenuste kasutajateks inimesed kontorist (nii majasiseste pilveteenuste kui ka väljast tellitute), siis nüüd on päris paljud kontoritöötajad jäänudki püsivalt või mingi osa tööajast kodutööle. Pilveteenuseid on vaja aga ka sealt kasutada. Millised on ohud ja lahendused uues olukorras?

Uus olukord on paljusid ettevõtteid pannud oma turvapoliitikaid üle vaatama ning uusi reegleid kehtestama. Kodust VPN-iga kontorisse suunamine pole alati kõige mugavam lahendus, sest kodutöökohal võib juhtuda, et kasutatakse koduarvutist ka muid teenuseid, kui tööks vajalik ja keegi ju ei taha, et kaugtööl olles pere Netflix läbi firma kontorivõrgu striimib. Seega on vaja valmis olla ka muude lahenduste kasutamiseks.

Suurimad ohud – otserünnakud

Pilveteenuste kasutajate suurimad ohud kodutööl on otserünnakud. Neid on võimalik sihikule võtta väljaspool korporatiivset võrku ja kaitstud kontorit. Kui ettevõtte kasutatavad pilveteenused on endiselt kaitstud, siis kodutööl olija võib pahaaimamatult saada õngitsuskirja hoopis näiteks oma isiklikule meilile ja sealtkaudu nakatada arvuti, millega ka tööasju aetakse.

Samuti võib kodune võrk olla kehvemini kaitstud ja ettevõtte IT-inimestel pole aimugi, millisest võrgust kontori tööasju aetakse. VPN ei pruugi ka siin aidata, sest koduvõrku pääsedes loob VPN küll turvalise võrgu kontorini, kuid kodus asuvast “toruotsast” võib ka pahalane pääseda piiluma turvalisse sisevõrku.

T-Systems tõi välja viimase 24 kuu turvastatistika ja selle aja sisse mahub ilusti ka kogu pandeemia-aegne koju tööle minek. 2020. aasta märtsis-aprillis oli näiteks DoS rünnakute arv ettevõtetele absoluutses tipus ehk just siis, kui massiliselt suunduti kodutööle (Saksamaal iga kolmas kontoritöötaja).

Millised on siis lahendused?

Andmekeskne lähenemine aitab selgust luua

Pilvepõhiseid teenuseid kasutavad ettevõtted annavad kasutajale juurdepääsu pilverakenduste andmetele, millega saavad kodutöötajad minimaalse järelevalveta teha kõike, mida tahavad. Tugevama kontrolli jaoks ning turvalisemaks koostööks on oluline luua andmete ja kasutajate ligipääsu kaitse.

Turvaline mobiilne ligipääs. Selleks, et kasutajad saaksid igalt poolt ligipääsu pilveteenustele, peab see olema kaitstud kõigis seadmetes. Iga seadme jaoks eraldi tarkvara kasutada on keeruline, kuna siis vajavad need kõik ka haldamist ja uuendamist, seega peaks ettevõttel olema mingi ühine ligipääsulahendus. Krüpteeritud andmeside ja krüpteeritud ühendus (VPN) on selleks sobivad ja mugavad kõigil platvormidel töötavad lahendused, kuid see puudutab vaid ühenduskanali turvamist. Lisaks on vaja kaitsta ka seda, mis siis saab, kui vale kasutaja pääseb sellele turvakanalile ligi.

Mitmefaktoriline autentimine tagab, et kaugtöö tegija ühe olulise info (näiteks salasõna) lekkimine ei tee veel sisevõrku pääsemist võimalikuks. Lisaks paroolile on vaja siis teist või kolmandat tõendit, mis kinnitab, et kasutaja on see, kellena end väidab olevat. Teiseks faktoriks võib olla midagi, mida kasutaja omab, näiteks telefon või arvuti. Mõnikord on kasutusel ka füüsiline võti, näiteks USB mälupulk vastava koodiga või ID-kaart. Peale sisselogimise alustamist saadetakse mobiilile või arvutisse vastav kood, mille peab sisestama või kontrollitakse, kas kasutaja siseneb turvalisest seadmest, mis on lubatute nimekirjas.

Zero trust identity protection ehk “ära usalda, vaid kontrolli” tähendab sellist turvapoliitikat, mille puhul ei saa kasutaja vaikimisi luba ligipääsuks mitte kuhugi. See on nagu lennujaama külastamine, kuid veel rangem: sisse pääseb passiga, mis määrab sinu identiteedi, aga lennukile minemiseks on vaja veel ka piletit, mis määrab õiguse lennata. Kui füüsilises lennujaamas saab nende kahe tõendiga tavaliselt uidata kõigis terminalides, siis Zero Trust pilves on veelgi rangem. See tähendab veel lisaks kitsendust ligipääsuks näiteks ainult sellele väravale ja terminalile, kust lend väljub. Pilveteenuste maailmas tähendab see omakorda, et kasutaja identifitseerib end ja saab kasutada vaid neid pilveteenuseid ja äppe, mille jaoks on talle õigused määratud ning mitte midagi muud.

Läbipaistvus tagab kaitse ohtude eest. See turvapoliitika tähendab, et kasutaja tegevused ja sündmused kõik logitakse ja salvestatakse, kõik tegevused pilves on läbipaistvad (vastavate õigustega administraatoritele). Kasutaja ebanormaalse käitumise tuvastab logide põhjal tavaliselt siiski automaatika, sest inimesed ise ei jaksa kõiki logisid vahetpidamata jälgida. Vastavad algoritmid leiavad käitumismustreid, mis äratavad kahtlust ja süsteemiadministraator uurib vajadusel juba vaid neid konkreetseid juhtumeid.

Data Loss Prevention (DLP) ehk andmeleket takistavad lahendused on pilveteenuseid kasutava ettevõtte jaoks üsna keeruline turvaülesanne, kuna osa infot liigub väljaspool ettevõtet. Varem oli asi lihtne: tuli jälgida liiklust ettevõtte serveri ja kasutajate vahel ning piirata sensitiivsete andmete liikumist väljapoole. Nüüd aga võivad kodust töötavad inimesed ise, ilma ettevõtte võrku pöördumata ühendada end pilveteenustega ja sealt andmeid alla laadida.

Selleks, et tundliku info leket vältida, tuleb luua läbipääsupunktid kõigi pilveteenuste juurde ja tuvastada näiteks e -kirjadest ja pilverakendustest tundlike andmete liikumist. Samuti aitab andmete klassifitseerimine salajasteks, sisekasutuseks ja kindlate õigustega infoks. Igaühe jaoks tuleb luua turvapoliitika, kuidas neid andmeid saab kasutada.

Turvaline võrguühenduseta andmete jagamine. Kuigi DLP võimaldab kaitsta kõiki pilves olevaid andmeid, on sama oluline tagada, et needsamad andmed oleksid turvalised ka allalaadimisel ja väljaspoole ettevõtet jagamisel. Nii-öelda viimase miili andmekaitse krüpteerib allalaetavad tundlikud andmed, aruanded ja e-kirjad, lubades dekrüpteerimist ainult volitatud seadmetes ja volitatud kasutajatele. Kui see volitatud seade juhtub kaotsi minema, saab andmetele juurdepääsu eemalt tühistada ja seadme tundlik sisu muutub jäädavalt kättesaamatuks.

Milline peab olema pilveteenuseid kasutav kodutöökoht?

Euroopa Liidus kehtib GDPR ehk privaatsete andmete töötlemise regulatsioon ka kodutöötajatele ning selle põhjal on paljud firmad välja töötanud ka oma sisemise reeglistiku kodutöökohtadele. Üldiselt tähendab see näiteks järgmisi nõudeid kodus töötajatele:

  • kui töös kasutatakse isikuandmeid, siis GDPR-iga ühilduv töökoht peab olema kodus eraldi toas lukustatava uksega
  • tööks vajalikud dokumendid peavad olema lukustatavas kapis või sahtlis 
  • firma sülearvutid, lauaarvutid ja nutitelefonid ei tohi olla samal ajal ka privaatseks kasutuseks
  • kõvakettad, välised andmekandjad, e-post ja muu salvestatav info peab olema krüpteeritud 
  • operatsioonisüsteemi peab pääsema salasõnaga, soovitatav on mitmeastmeline autentimine
  • pereliikmed ei tohi pääseda tööarvutitesse

Mida toob tulevik?

Gartneri uuringufirma ennustab, et VPN-i kasutamise tähtsus firma sisevõrku pääsemisel kaob järk-järgult, ehkki VPN turvakanalina internetis võib säilida näiteks reisil olevate kasutajate ühenduse kaitsmisel ebaturvalises avalikus võrgus. Kodukasutajate ligipääsuks aga saab hoogu juurde Zero trust ehk “ära usalda, vaid kontrolli” koos mitmefaktorilise autentimisega. Andmeid liigutatakse krüpteeritud kujul, mis välistab niigi nende pealtkuulamise võimalikkuse ka ilma turvakanalita. Reaalajas andmekaitse sensitiivse info kontrolliga aitab aga ära hoida kodukasutajate andmelekked. Pilvepõhine turvapoliitika lähtub edaspidi rohkem kasutajakesksetest lahendustest, kus kaitstakse konkreetselt andmeid ja inimesi koos vastavate ligipääsuõigustega.

Mis on DigiPRO ja kes seda teevad? Loe siit

Populaarsed lood mujal Geeniuses

Telli Geeniuse kõige hinnalisemad lood oma postkasti

Saadame sulle igal argipäeval ülevaate DigiPRO ja Ärigeeniuse olulisematest lugudest.