Põhisisu algus

Ekspert: kuidas vältida olukorda, kus küberturvalisuse taga ajamine omaette küberohuks muutub?

17.04.2023

Järjest enamad ettevõtjad on mõistmas, et küberturvalisus on midagi, millega tuleb tegeleda. Küll aga hakatakse Elisa ärikliendi IT-teenuste tehniline juht Mihkel Kägo sõnul sageli turvalisuse tagaajamisega pihta valest otsast – selle asemel, et mõelda, miks ja mida üldse kaitsta, võetakse kasutusele kõige säravamad ja kõige uhkemat lahendused, mis raske tööga välja kaubeldud eelarve sisse mahuks.

“See, et naaberfirma on ostnud uhke tulemüüri või nõuab igale failile ligipääsemiseks kolme veretilka, ei tähenda, et see on õige lähenemine sinu ettevõtte puhul,” lausus ta. “Veebipoel võib küll olla vaja teha peamised investeeringud lahendusse, mis aitab lehte üleval hoida, samas kui vaid B2B otsemüüki tegeva äri puhul võib veebiturvalisus olla prioriteetuse järjekorras alles kolmas või neljas asi. Küberturvalisuses pole one size fits all lahendusi.”

Seetõttu on Kägo sõnul esmatähtis, et enne päriselt ühegi praktika või toote juurutamist mõistetaks, mis on need ohud, mille vastu end kaitsta soovitakse. Iga ettevõte on erinev ning isegi kahe samalaadse äri puhul võib riskitaluvus prioriteetide järjekorda muuta. Selleks, et piiratud ressursse mõistlikult kulutada, tuleks läbi viia põhjalik riskihinnang ning üritada näha võimalikult laia pilti.

Viimase puhul võib tulla kasuks ka välise toe kaasamine. “Oma nina eest on tihti raske kaugemale näha. Endale võib tunduda, et kõik oluline on kaetud, samas kui kõrvaltvaataja suudaks tuvastada halle alasid, mis on jäetud tähelepanuta. Esmased plaanid ja hinnangud võiks kindlasti ise koostada, kuid enne päriselt plaanide praktikasse rakendamist tasuks mõtted korraks välise partneri, laiema kolleegide ringi või kasvõi sõbra juurest läbi põrgatada. Üsnagi tõenäoliselt suudavad nad juhtida tähelepanu millelegi, mis endal märkamata jäi,” lisas ta.

Liiga palju tegemine võib olla ohtlik

Kuigi võiks tunduda, et küberturvalisuse puhul on suurimaks riskiks mõne olulise aspekti kaitsmata jätmine, siis tuleb Kägo sõnul riskihinnanguid ja plaane koostades meeles pidada ka asja teist poolt. Mõne olulise valdkonna piisava kaitseta jätmine on küll suur risk, kuid sama suureks riskiks võib kujuneda liialt hoogne ja paranoiline lähenemine.

Üle võlli minemisel tekivad suurimad murekohad harilikult inimloomuse tõttu. “Töötajad mõistavad piiranguid mingi maani – näiteks et nad ei saa välisvõrgust tööasjadesse sisse logida – kuid kuskilt tulevad punased jooned ette. Kui faili partnerile jagamiseks tuleb saad luba juhatuselt või arvuti käivitamiseks tuleb ette lugeda kolme põlvkonna jagu esivanemate perekonnanimesid, üritatakse leida viis, kuidas millegi päriselt ära tegemiseks reeglitest mööda minna,” selgitas ta.

“See ei tähenda, et need reeglid alati ebavajalikud oleks, mõnikord ongi vaja midagi viimse piirini kaitsta. Aga töötajad peavad seda vajadust mõistma. Iga kaitsemeede peab olema proportsionaalne ohuga,” rääkis ta ja lisas, et kui see nii pole, tuleb hakata rinda pistma turvariskidega, mida ei osatud algselt isegi ette kujutada.

Näiteks pole haruldased juhud, kus väga piiratud süsteemidest hakatakse mälupulkade toel või muudel viisidel andmeid välja viima, et nendega siis mugavamas keskkonnas, näiteks koduarvutis, töötada. “Ettevõte võib arvata, et kõik on väga hästi kaitstud, kuid suure kaitsmisega tekitasid nad uue riski, millest nad isegi ei tea. Töötaja koduarvutit ei kaitse ju keegi ja ühtäkki jõuab sinna hulk teavet, mille jalutama mineku kohta kellelgi aimugi pole. Tundmatu ohu eest ei saa ennast kaitsta,” lisas ta.

“See on koht, kus peaks endalt küsima, kas turvalisem oleks olnud ettevõttesiseseid turvareegleid gramm maha keerata. Alati võib vastuseks olla “ei” ning õigem oleks reegleid veel karmimaks muuta, et selline tegevus täielikult peatada, kuid see peab olema proportsionaalne,” ütles ta. “Küberturvalisus on alati tasakaalumäng mugavuse ja ohutuse vahel. Liiga palju ühele või teisele poole kaldudes on lihtne jõuda olukorrani, kus kaitse pole piisav, või on meetmed nii ekstreemsed, et inimesed hakkavad neist mööda hiilima.”

Silmad kinni võita ei saa

Niisamuti tuleks Kägo sõnul meeles pidada, et lisaks töötajate enda tekitatud ohuolukordadele võib küberturvalisusele liialt hoogsalt lähenemine uusi ohte tekitada petliku kindlustunde tõttu.

“Kui keegi on käiku pannud kõik kõige uhkemad küberturbelahendused, võib lihtsalt tekkida tunne, et nüüd ongi kõik tehtud. Kui nende tööriistade kasutusele võtmise taga pole aga pädevat riskihinnangut ja reaalsete ohtude kaardistamist, võib mõni väga oluline nüanss jääda märkamata,” sõnas ta. “Näiteks on väga hästi kaitstud veeb, serverid ja kliendiandmed, samas on jäetud piisava tähelepanuta võrk – arvati, et mõni äsja käiku võetud lahendustest katab ka selle ära, või jäi see suure turvamise käigus lihtsalt kahe silma vahele.”

“Küberturvalisuse pädevalt lähenemine eeldab veidi talupojamõistust, üksjagu planeerimist ja endaga aus olemist. Küberturvalisus on jätkusuutliku äri jaoks kriitilise tähtsusega. Tuleb aga leida õige tasakaal ja mitte jõuda olukorda, kus turvalisuse taga ajamine hakkab teiselt poolt kindlustunnet õõnestama. Saab teha liiga palju, saab teha liiga vähe. Kuldse kesktee leidmiseks tuleb näha vaeva ja mitte pimesi paugutada,” lisas ta.

Seotud märksõnad
Uus Elisa Elamus ja Huub Mine vaatama
Vanemad TV-teenused
Liitumised enne 10.08.2021
Mine vaatama