Elisa IT-juht: kuidas panna ettevõtte töötajad päriselt küberhügieeni eest muretsema?
Kui aastaid 30 tagasi võis keskmine ettevõte küberturvalisusele läheneda kui millelegi teisejärgulisele, millega tegeles üks patsiga IT-poiss, siis tänaseks on olukord täielikult muutunud. Muutused ei ole seejuures ilmnenud vaid ohutaseme ning potentsiaalsete kahjude kasvuna, vaid ka turvalisuse eest vastutavate inimeste ringi meeletu suurenemisega – küberturbejuhtide tööpõld on endiselt külluslik, kuid küberhügieen, andmete kaitsmine ning süsteemide töökindluse tagamine on tänaseks jõudnud ka iga teise töötaja kohustuste hulka, räägib Elisa IT-juht Villu Teearu.
Igat ettevõtet varitsevad erinevad ohud ning mida päev edasi, seda rohkem uusi ohte tekib. Nii nagu organisatsioonid üritavad end ja oma klientide andmeid kaitsta, üritavad halbade kavatsustega osapooled leida pidevalt uusi ründevektoreid, tuvastata ettevõtete nõrkasid kohtasid ning tabada, läbi millise tehnilise või inimliku haavatavuse oleks võimalik oma eesmärgid täita. Kuigi suurema osa kaitsetööst peavad ära tegema ettevõtteülesed sise-eeskirjad, turvapoliitikad ning valvad IT-inimesed, siis on küberohtudega võitlemisel rindel iga töötaja, kes peavad seetõttu oma positsiooni mõistma ja teadma, kuidas end ja teisi kaitsta.
Tänaseks on enamikel veidigi tehnikat tundvatel inimestel kujunenud vähemalt mõõduka tugevusega vaist potentsiaalsete ohumärkide kohta, kuid see ei tähenda, et ükski juht või ükski organisatsioon saaks eeldada, et töötajad suudavad või soovivad kõikidele võimalikele ohuteguritele tähelepanu pöörata ning taibata, milline võib olla mõne konkreetse tegevuse kolmanda või neljanda astme tagajärg. Sestap on iga tänapäevase juhi ülesannete seas lisaks tiimi tööelu ja töörõõmu juhtimisele juhtida ka oma meeskonna küberhügieeni ning tagada, kõik meeskonnaliikmed mõistaks täpselt, millele tähelepanu pöörata, mida vältida, mida tähele panna ning milliseid protseduure järgida, et ohutase miinimumini viia.
Kuigi iga ettevõte ning iga meeskond on omanäoline ja peab arvesse võtma erinevaid ohte, on üldised küberhügieeni parimad praktikat universaalsed. Sõltuvalt meeskonnast või tööspetsiifikast saab neid siia-sinna kohendada, kuid ühes või teises vormis peaks iga juht tagama, et kõige olulisematest põhimõtetest peetakse kinni. Kuigi erinevaid kaitseliine ja häid praktikaid on sadu, peaks esimeses järgus meeskonna samale lainele viima kolmes kõige olulisemas aspektis.
Miks me peame ettevaatlikud olema?
Abstraktsed ja hoomamatud ohud ümbritsevad meid kõikjal, kuid see ei tähenda, et jätaksime autoga sõitmata, hamburgeri söömata või sünnipäevapeole minemata. Ettevaatlikust ja tähelepanelikkust aitab tekitada konkreetsus ning päriselt mõistmine, et asja A tegemisel juhtuvad pea täiesti kindlalt asjad X, Z ja Y. Seetõttu tuleb igal küberhügieeni taga ajaval organisatsioonil aidata oma töötajatel mõista, mis on päriselt see, mis juhtub, kui kuskil libastutakse.
Olenevalt ettevõtte omapäradest võivad väljatoodavad punktid erineda, kuid näiteks Elisa näitel on oluline, et iga töötaja mõistaks selgelt, et tema tööandja näol on tegu elutähtsa teenuse osutajaga ning ettevõttega, kes peab vastutustundlikult töötlema sadade tuhandete inimeste andmeid, ilma et ükski andmepunkt iial valedesse kätesse satuks. Seega peaks inimesed mõistma, et jättes endast maha suure turvaaugu koodis, vilistades üldistele ohutuspõhimõtetele – näiteks laadides alla kahtlaseid faile, kasutades korduvat parooli või tehes mõnd olulist toimingut mitteusaldusväärse teenusepakkuja toel – või käitudes andmetega vastutustundetult võivad kahjud olla vägagi suured.
Mõistagi on iga töötaja seljatagust kaitsmas robustne tugisüsteem, mis potentsiaalselt tekkivaid probleeme isoleerib ning paneb käe ette veel ennegi, kui suurem viga jõutakse teha, kuid see ei tähenda, et lootma saaks jääda vaid neile. Iga töötaja peab mõistma, et tema tegevustel võivad olla suuremad ning tõsisemad tagajärjed ning mida selgemini on tiimiliikmetele nende vastutus lahti selgitatud, seda suurem on tõenäosus, et nad oma isiklikule küberhügieenile ka tõsisemalt tähelepanu pööravad.
Ligipääs vaid sinna, kuhu vaja
Tänasel päeval on enamike ettevõtete üheks kõige kallimaks varaks andmed, seda nii kliendiandmete, R&D tulemite, kui ka strateegiate ning sadade muude andmepunktide näol. See tähendab, et olulisel kohal küberhügieeni tagamisel on ka väga tugev kontroll andmete ligipääsu, kasutuse ning jagamise üle. Mida vähem inimesi mingitele andmetele ligi pääseb, seda väiksem on oht, et midagi saaks jalutama minna.
Seejuures tuleb aga leida tasakaalupunkt efektiivsuse ja turvalisuse vahel. Mõistagi on mingid andmed sellised, millel saabki ligipääs olla vaid käputäiel inimestel, kes annavad pärast mõõduka bürokraatliku kadalipu läbimist sealt piiratud infot välja valitud töötajatele väga kindlate eesmärkide täitmiseks, kuid kuskile tuleb tõmmata loogiline joon. Enamikes protsessides on ühel või teisel kujul mingeid andmeid tarvis ning kui iga andmepunkti saamiseks tuleks 14 päeva oodata, on ärilist edu mõttetu loota. Samas ei saa aga minna ka liiga julgeks ning lubada vaba ligipääsu kõigele, mida inimeste hing ihaldab.
Heaks praktikaks on organisatsioonis selgelt andmete tundlikkus määratleda ning otsustada, kellel on õigus neid andmeid teistega jagada. See tähendab, et näiteks võib mingitele finantsandmetele alaline ligipääs olla valdkonna juhil, kes saab seda seda vastavalt vajadusele mingis ulatuses jagada ka oma tiimiliikmetele. Seejuures on aga oluline iga otsus case-by-case läbi mõelda ning tagada, et kui vajadus andmetele ligi pääseda kaob, siis kaob ligipääs ka tegelikult. Niisamuti peaks andmetele ligipääsu saanud töötaja mõistma, et tal puudub õigus neid oma suva järgi ka pinginaabrile edasi anda. Heaks praktikaks on vajalikud nõuded ja piirangud vormistada ka töö-, andmekaitse- ja konfidentsiaalsuslepinguga.
Kõik see, mida teame juba ammu
Hea küberhügieeni tagamisel on meeletu olulisega ka alaline valvsus ning teema õhus hoidmine. Kuigi pärast töötaja tööle võtmist saab panna paberile linnukese, et temaga on küberkaitseteemadel räägitud, siis on naiivne loota, et valvsus ja ärksus suudab püsida samal tasemel igavesti. Seetõttu peaks iga juht regulaarselt oma meeskonnale teema olulisust meelde tuletama, organisatsioon peaks oma küberkaitselähenemiseni objektiivselt hindama ja auditeerima ning uute ohuvektorite tekkimisel tuleb julgelt rakendada ka uusi praktikaid, mis aitavad kõiki osapooli kaitsta ka edaspidi.
Pideva valvsuse teemal ei tasu unustada ka juba vanu tuttavaid praktikaid, mis aitavad ohutust tagada mitte ainult tööelus, vaid töölt kaugemal: iga konto peaks olema turvatud kaheastmelise autentimisega, kõik kontod peaks olema isikustatud, korduvate paroolide kasutamist peaks vältima (heaks abiliseks siin on paroolihaldur) ning kui midagi tundub kahtlane, siis ilmselt ongi see kahtlane.
Küberturvalisus ja küberhügieen on midagi, mis nõuavad alalist tähelepanu ja ei ole kunagi “valmis”. Iga päev toob kaasa uued väljakutsed ning iga väljakutse nõuab uusi lähenemisi, kuid parimate praktikate asjalik juurutamine, meeskonnale teema olulise rõhutamine ning ohtude objektiivselt hindamine on parim esimene käik, mida enda, oma organisatsiooni ja oma klientide kaitsmiseks teha saab.