Elisa IT-juht: 3 kõige suuremat viga, mida küberturvalisust taga ajades tehakse

13.03.2023

Viimasel ajal järjest tõusnud küberrünnakute hulk on aidanud kõikidel ettevõtetel mõista, et küberturvalisus on midagi, millesse ei saa leebelt suhtuda. Elisa IT-juht Villu Teearu märgib aga, et ettevõtted, kes pole varem turvateemadega sihitult tegelenud, võivad reaktiivselt ja pimesi uusi turvapraktikaid rakendades end veelgi suuremasse auku kaevata.

“Viimaste aastate jooksul on küberturvalisus pea kõikides organisatsioonides oluliste teemade edetabelis üksjagu ülespoole liikunud ning seda ka põhjusega – Elisa andmetel tõusis ainuüksi suve jooksul eraisikute pihta suunatud rünnakute hulk enam kui 1300%. Seetõttu on hakanud ka ettevõtted, kes varem teemale ei mõelnud, kehtestama turvareegleid, panema paika protsesse ning rakendama abinõusid, mis peaks ohte maandama,” rääkis Teearu.

Kuigi Teearu sõnul on tervitatav, et ettevõtted soovivad oma andmeid, töötajaid ja kliente kaitsta, siis hoiatab ta läbimõtlematu tegutsemise eest. Kui kõige elementaarsemaga on keeruline eksida, siis juurutades keerulisemaid ja põhjalikumaid turvapraktikaid on pimesi liikudes lihtne eksida ning luua enda jaoks uued ja ohtlikud probleemid. Erinevaid eksimisvõimalusi on küll mitmeid, kui IT-juhi sõnul on neist kõige sagedasemad ja ohtlikud kolm peamist.

Turvat hakatakse tegema ohte mõistmata

“On üsnagi loogiline, et kontole sisse logimiseks peab kasutama parooli ning et töötajad ei tohi oma vennapojale anda ligipääsu ettevõtte süsteemidesse. Need on teemad, mille saab üsna lihtsalt ära katta ka muust maailmast midagi teadmata. Aga kui tahta teha veel midagi enamat, et seeläbi enda kindlustunnet tõsta ja potentsiaalseid kahjusid piirata, on tarvis teada, mille vastu end päriselt kaitsma peaks,” selgitas Teearu.

Ta lisas, et enne põhjalike turvapoliitikate rakendamist ning CIA-tasemel turvameetmete käiku lükkamist tasuks igal ettevõttel läbi viia riskihinnang ning ohtude ja nõrkuste kaardistamine. Kui see tehtud, saab juba luua turvameetmed, mis reaalsete ohtude eest kaitsta suudavad. “Iga uus samm turvalisuse teel tähendab kellelegi aja- ja ressurssikulu. Kui ideaalses maailmas võiks kõike üritada kaitsta, siis reaalsuses tuleb harilikult kuskile rohkem ja kuskile vähem panustada – oluline ongi mõista, mis on kõige olulisem ja mille puhul võib 100-protsendilise turvalisuse asemel piirduda 95 protsendiga,” rääkis ta.

Niisamuti märkis ta, et end on pea võimatu kaitsta tundmate ohtude eest ning ka see on midagi, millele peaks pädevalt läbiviidud riskihinnang tähelepanu heitma. Kuigi ettevõte võib pidada kõige olulisemaks kaitsta kümne tabalukuga digitaalselt ligipääsu põhiserverile ning kõigi õigustega admin-kontole, siis on just riskianalüüs see, mis peaks vajadusel kätte näitama ka pidevalt lukust lahti jääva serverituumi ukse või selle, et naaberfirma langes just rünnaku Y ohvriks ja see võib ohuks osutuda ka siin.

Unustatakse ära inimloomus

“Turvalisus ja kasutusmugavus on kaalu kaks külge – mida turvalisemaks midagi teha, seda ebamugav on see kasutaja jaoks, ning mida mugavam midagi on, seda enam kannatab turvalisus. Seda põhimõtet mõistmata turvateemadele lähenedes on end lihtne leida olukorrast, kus töötajad üritavad igal viisil raske vaevaga paika pandud turvapoliitikat üle kavaldada, et üldse tööl midagi tehtud saada,” selgitas Teearu.

Seetõttu soovitab ta enne karmide nõuete kehtestamist heita pilk riskihinnangule, hinnata oma riskitaluvust ning pidada meeles seda, kuidas inimesed päris maailmas töötavad. “Kui kõige tavalisemale failile ligi saamiseks peab selle jaoks tegevjuhilt õigust küsima, siis piilutakse seda pigem pinginaabri arvutist. Kui aga iga nädala tagant tuleb parooli muuta, kirjutatakse see märkmepaberile ja kleebitakse ekraani servale,” märkis ta.

“Oluline on leida see tasakaalupunkt, kus turvapoliitika suudab tagada vajaliku turvalisuse, aga et see ei muuda inimeste elu nii ebamugavaks, et nad üritavad neid vältida, mistõttu langeks turvatase veelgi madalamale, kui üldse mitte midagi tehes. Kui tead, et turvapraktikaid pole juurutatud, saab riskideks valmis olla. Kui aga arvad, et pommikindlad praktikad on kenasti käigus, kuid neist hiilitakse alaliselt mööda, tekitab võlts-turvatunne sooja pesa erinevatele ohtudele. Tasakaal on kriitiline,” lisas ta.

Eeldatakse, et töö ongi tehtud

“Ei ole haruldane, et turvaprintsiibid pannakse ühel kenal päeval paika ja siis lüüakse raamatusse tempel, et nüüd on turvalisus valmis. Valemat lähenemist pole aga kahjuks olemas – nii nagu areneb kogu maailm meie ümber, peavad pidevalt arenema ka küberturvalisuspraktikad ja see, kuidas ning milliste ohtude vastu ennast kaitstakse,” rääkis ta.

Niisamuti on tema sõnul oluline mõista, et piisava taseme hoidmiseks on oluline töötajate pidev koolitamine ning nende teadlikkuse tõstmine.

“Ei piisa sellest, et esimesel tööpäeval turvapõhimõtted ette vuristati – seda infot tuleb pidevalt korrata, viia läbi sobivaid harjutusi, uute ohtude tekkimisel töötajaid koolitada ning kui võimalik, siis tuleks aeg-ajalt läbi mängida ka reaalseid situatsioone,” ütles ta. “Heaks valikuks on siin näiteks turvaosakonna poolt saadetavad õngitsuskirjad või simulatsioonipäevad, kus erinevad olukorrad käega katsutavaks muudetakse.”

Seotud märksõnad
IT ekspert
Uus Elisa Elamus ja Huub Mine vaatama
Vanemad TV-teenused
Liitumised enne 10.08.2021
Mine vaatama
Vanemat TV-teenust saab veebis vaadata kuni 31.05.2024. Kui soovid ka edaspidi TV-d veebis vaadata, liitu Elisa Elamusega!