Küberturvaline organisatsioon algab inimestest, mitte strateegiadokumentidest

Maailmas, kus igapäevane töö käib pilves, seadmetes ja üle interneti, on küberturvalisus iga organisatsiooni jaoks oluline teema. Tihti alustatakse selle loomisel aga valest otsast – tehnoloogiate ja strateegiadokumentide loomisest. Tegelikult peitub tõhusa küberturvalisuse võti inimestes. Masinad ja tulemüürid võivad küll andmeid analüüsida ja süsteeme kaitsta, kuid lõpuks on inimesed need, kes otsuseid langetavad ja vigu teevad, räägib Elisa grupi meelelahutuslahenduste juht Joosep Põllumäe.

Küberturvalisuse valdkonnast leiab täna rohkem tehnoloogilisi lahendusi kui kunagi varem – aates tulemüüridest kuni masinõppel põhinevate turvarakendusteni, mis peaksid automaatselt ohtusid tuvastama ja ennetama. Niimoodi vaadates võib jääda mulje, et küberturvalisus on justkui robotite võitlustander, kus masinõpe ja algoritmid omavahel sõda peavad ning inimesed uuendagu lihtsalt nende tööriistade tarkvara, et kurjategijatest samm ees püsida.

Tegelikkuses pilt nii roosiline muidugi pole. Erinevad tehnoloogiad on kahtlemata väärtuslikud teatud liiki ohtude ennetamiseks, ent samal ajal näitavad uuringud, et valdav osa andmelektest ja rünnakutest tuleneb inimlikest eksimustest, mitte tehnilistest puudujääkidest. See tähendab, et kuigi tehnoloogia osakaal turvalisuse tagamisel suureneb, suureneb proportsiaalselt ka inimlike vigade vältimise olulisus.

Inimene on esimene ja viimane kaitseliin

Iga organisatsioon koosneb inimestest – juhtidest, töötajatest, klientidest ja koostööpartneritest. Küberturvalisuse seisukohast on igaüks neist potentsiaalne riskikoht. Olgu selleks töötaja, kes klikib meilis tundmatule lingile, või juht, kes lubab tööks kasutada ebaturvalisi seadmeid. Probleemide juurpõhjused pea alati seotud inimliku käitumise, mitte nõrge tehnoloogiaga. Jah, tehnoloogia aitab muuta vigade tagajärjed vähem tõsiseks, kui inimeste oskusele teha siin-seal ootamatuid vigu ei saa see kunagi vastu. 

Kõige levinumad vead on pea alati seotud elementaarsete käitumismustritega, nagu liiga lihtsate paroolide kasutamine, tundmatutelt aadressidelt saadetud linkide avamine ja failide allalaadimine ilma nende allika kontrollimiseta. Seda tüüpi eksimusi ei suuda sajaprotsendiliselt ennetada ükski tehnoloogia, kui inimesed ei tea ega mõista nende tegevuste tagajärgi. Jah, viirusetõrje võib parem juhul suuta ennetada tagajärgi, aga visates iga tehnoloogilise lahenduse pihta piisaval hulgal erinevaid inimeste tekitatud olukordi, lipsab varem või hiljem neist mõni läbi kaitsemüüri.

Seejuures võib liigne tehnoloogia usaldamine isegi riske suurendada. Kui töötajad eeldavad, et küberkaitse on automaatne ning neil endal ei tule ohutuse peale üldse mõelda, siis võivad nad käituda hoopis riskantsemalt kui muidu. Selle asemel, et loota ainult tehnoloogiale ja suurejoonelisele küberturbestrateegiale, tuleb nende kõrval panustada iga inimese teadlikkuse ja oskuste tõstmisele ning reaalsete olukordade harjutamisele.

Kõige tõhusam viis inimeste teadlikkuse tõstmiseks on nende aktiivne kaasamine küberturvalisuse protsessidesse. Reaalsed simulatsioonid, phishing-testidest kuni keerukamate olukordade läbimängimiseni, aitavad inimestel õpitut praktiliselt proovile panna. Tihtipeale on selliste simulatsioonide puhul suureks abiks ka see, kui töötajad need põruvad. Tulemüür võib päevas küll 99 õngitsuskirja kinni püüda, ent kui üks töötaja simulatsiooni käigus päriselt ämbrisse astub, siis on õppetund palju meeldejäävam.

Samuti on oluline roll juhtidel. Kui juht ise küberturvalisuse reeglitest kinni ei pea, pole mõtet neid ka töötajatelt nõuda. Juhtkonna roll on olla eeskujuks nii turvareeglitest kinni pidamisel kui küberturvalisuse tähtsustamisel. Efektiivne küberturbe tagamine käib läbi töötajate vastutuse rõhutamise ja nende praktiliste teadmiste tõstmise. Nii saab ettevõtte inimestest mitte turvarisk, vaid esimene ja viimane kaitseliin, kes ohud kinni püüab.