Villu Teearu: miks peaks ükski töötaja küberturbereegleid järgima, kui juht neile ise vilistab?

Maailmas, kus iga töötaja omab nutitelefoni, saadab e-kirju ja kasutab arvutit, pole küberturvalisus enam ammu ainult IT-osakonna probleem. Küberhügieeni ja turvalisuse põhimõtete järgimine on kogu organisatsiooni strateegiline vastutus, mis algab alati juhtidest. Kui juht ei ole oma igapäevaste tegevustega eeskujuks kogu kollektiivile, siis ei maksa ka kelleltki teiselt reeglite järgimist loota, rääkis Elisa IT-juht Villu Teearu.

Üksikutseks protsessideks ja nõuanneteks jaotatuna ei ole küberturvalisus midagi keerulist. Raskeks muudab küberturvalisuse aga terves kollektiivis sellise kultuuri sissejuurutamine, kus turvalisust päriselt tõsiselt võetakse ja reegleid järgitakse. Juhtide roll on siin kriitilise tähtsusega, sest just nemad saavad olla eeskujuks, kes näitavad ette ja selgitavad, miks ja mida on vaja teha.

Turvaprotokollide järgimine ei ole alati kõige mugavam ja mõnusam. Seepärast on küberturvalisuse tõsiselt võtmisel määrava tähtsusega teadlikkus. Ei maksa eeldada, et töötajad või isegi juhid mõistavad, miks nad mingeid eeskirju järgima peavad, kui seda pole neile põhjalikult selgeks tehtud.

Kui inimestele ei selgitata, miks nad ei tohi oma töötelefoni kindlat äppi laadida, tööarvutit mõnda riiki reisides kaasa võtta, või paroole kleepspaberiga ekraani kõrvale pista, on ka arusaadav, et justkui abstraksetest reeglitest üritatakse igapäevalihtsuse huvides mööda hiilida. Seda eriti juhul, kui täpselt samal moel talitab ka nende enda juht. Seega selleks, et juht saaks oma inimestelt nõuda reeglitele vastamist, peab ta esmalt ise mõistma reeglite väärtust, olemust ja vajalikkust ning seda oma käitumisega ka välja näitama.

Ainult nii saab ta seada töötajatele standardi ning näidata, et turvareeglite järgimisel pole tegemist pelgalt protseduuriga, vaid osaga kultuurist, mis aitab tagada organisatsiooni toimimist.

Küberturvalisus algab inimestest. Ja inimesed vaatavad juhi poole

Küberturvalisus nõuab regulaarselt oma teadmiste uuendamist ja trendide tundmist. Kuigi on kindlad tõed, mis kehtivad alati – nagu erinevate ja keeruliste paroolide kasutamine ning kahtlastele linkidele mitte vajutamine – siis tehnoloogia ja kurjategijate rünnakud arenevad pidevalt. Praeguseks trendiks on kahtlemata tehisintellekt ja kõik sellega seonduv. Selle taustal arenevad pidevalt ka turvaosakondade kehtestatud reeglid, mis võivad aga osadel juhtudel igapäevatöö taustal ebamõistlikult piiravad tunduda.

Aga näiteks on täna võimalik tehisintellekti abil matkida inimese häält, mis tähendab, et pole välistatud ka küberrünnak, kus pealtnäha helistab töötajale tema ülemus ja nõuab ülekannet, turvakoode või midagi muud kriitilist. Kui pole paigas reegleid, mis nõuavad selliste tehingute kinnitamist kindlate kanalite kaudu – olgu see nii tüütu kui ta on – on ka pettused lihtsad läbi minema.

Seetõttu on oluline, et nii töötajad kui juhid reegleid tõsiselt võtaks. Ning seejuures on peamine teadlikkus – ainult töötajate teadlikkuse tõstmine aitab ettevõtet kaitsta ning ka siin on oluline, et juht näitaks eeskuju, näiteks ise koolitustel osaledes või nende tähtsust rõhutades.

Samuti tuleks teadlikkuse osa endale teadvustada, et juhi ja töötajate või ka erinevate osakondade juhtide teadmised IT-st on erineval tasemel. Ei saa eeldada, et teenindustiimi teadmised on küberteemadel samal tasemel IT-osakonnaga. See on koht, kus juht saab olla jällegi eeskujuks, tehes endale kõigepealt teemad selgeks ja aidates seejärel neid oma tiimile selgitada – näiteks võiks juht enne esitlemist vaadata üle IT-tiimi poolt loodud dokumentatsiooni ja juhendid ning teha kindlaks, et need on kõigile tema töötajatel ikka arusaadavas keeles.

Küberturvalisust väärtustava kultuuri loomine ei käi üleöö ja on sageli väikeste, igapäevaste asjade muutmise ja järgimise protsess, kus omab olulist rolli iga inimene. Eeskujulik juht tekitab töötajates kindlustunde, et kui neil tekib küberturbe osas mõni küsimus või probleem, saavad nad oma juhi näol pöörduda kellegi tuttava ja sõbraliku juurde, mitte ei pea hakkama ise IT-osakonnaga ühendust võtma – midagi, mida iga töötaja ei julge või taha teha ja mis võib omakorda turvariske suurendada.