Küberturvalises ettevõttes peab inimestel endil ka mõistlik taju olema – kõike, mida pole keelatud, ei saa pidada lubatuks

Iga toimiva töökeskkonna aluseks on see, et inimesed tunneksid end turvaliselt – mitte ainult füüsiliselt, vaid ka digitaalselt. Organisatsioonid pingutavad pidevalt selle nimel, et tagada ainult õigetele inimestele ligipääsud, kaitsta andmeid ja ennetada vigu, mis võiksid tööd häirida. Samal ajal tahavad töötajad aga tunda, et neid usaldatakse ja et oma otsuste langetamine ei tähenda tingimata reeglite rikkumist. Kust jookseb piir ettevõtte ning isikliku vastutuse vahel? Oma mõtteid jagab Elisa IT-juht Villu Teearu.

Ükski küberturvalisuse reeglistik ei suuda ette näha kõiki olukordi ja isegi kui suudaks, siis sellist reegliraamatut kasutavas ettevõttes ei tahaks keegi töötada. Töökeskkond, kus valitseb täielik kontroll ja iga tegevuse jaoks on reegel, ei ole meeldiv ega tõhus ning paneb varem või hiljem inimesed majast lahkuma. Samas on ohtlik ka teine äärmus – kui töötajad lähtuvad eeldusest, et kõik, mida ei ole sõnaselgelt keelatud, on lubatud.

Kuna aga küberohud tekivadki eelkõige hallis allas ehk seal, kus pole kindlaid reegleid või kaitsemüüre, on igal ettevõtte oluline leida kuldne kesktee. Kesktee selgete reeglite ja töötajatele piisava ning mõistliku otsustusvabaduse jätmise vahel.

Turvalisus ei tohiks põhineda ainult “ära tee” nimekirjadel

Kui töötaja laadib isiklikust mugavusest tundlikke dokumente oma isiklikle ChatGPT kontole või saadab andmed Gmaili kaudu endale edasi, ei pruugi ta pahatahtlik olla – aga tagajärg võib siiski olla andmeleke. Samas ei pruugi kummagi tegevuse kohta sõnasõnaliselt reegleid ega käske ette kirjutatud olla. Küberturvaline organisatsioon ei seisne seega ainult keeludes ja käskudes, vaid ka kultuuris, kus iga inimene oskab teha kaalutletud otsuseid ka hallides tsoonides ning teab, millised on riskid.

Tänapäevased küberintsidendid ei juhtu ainult seetõttu, et keegi rikkus kuskil mõnda reeglit. Sageli pole töötajal isegi tunnetust, et ta tegi midagi riskantset, vaid see tuleb alles hiljem juhtumit analüüsides välja. Kui ettevõttes puudub arusaam sellest, mis on “mõistlik käitumine”, tekib nähtamatu ohtude tsoon – selline, kus tehniliselt ei rikuta midagi, aga praktikas avatakse ründajatele uksi.

Organisatsioonis, kus turvalisus põhineb ainult “ära tee” nimekirjadel, ei saagi sisemist kompassi tekkida. Kui töötaja ei pea mõtlema, miks reeglid olemas on, ei suudagi ta hinnata olukordi, mida eeskirjas kirjeldatud pole. Samuti ei saa ükski ettevõte loota ainult IT-osakonna valvsusele. Reaalne kaitse tekib siis, kui igal töötajal on arusaam oma rollist ning julgus öelda “äkki ei peaks” ka olukorras, mida pole kuskil mustvalgelt kirjas.

Turvalise kultuuri loomine ei toimu ühe e-kursusega

Samas on oluline ka teine pool. Ülereglementeerimine hakkab tekitama selgeid probleeme ja jääma tööle jalgu. Üks levinumaid põhjuseid, miks turvareegleid või -põhimõtteid eiratakse, on kiirus ja mugavus. Kui ametlik protsess tundub keeruline või aeganõudev, leiab inimene tihti loova ja lühema tee. Ja seda ei tehta pahatahtlikkusest, vaid soovist tööd hästi teha. Selliste loovate lahenduste vältimiseks peavadki turvameetmed olema kõigi jaoks loogilised ja arusaadavad ning osa töökultuurist, mitte juhi käsud või IT-spetsialisti ettekirjutused.

Selle kõrval on tähtis kujundada organisatsioonis turvateadlikku mõtteviisi. Inimesi tuleks julgustada küsima, kahtlema ja isegi vaidlustama. See on märk sellest, et nad on kaasatud. Kui keegi küsib “kas see on ikka mõistlik?” enne tundliku info edastamist või lingile klõpsamist, on see organisatsiooni küberturvalisusele võit – isegi kui tegemist on päriselt turvaliste olukordadega. Täpselt sama hea on see, kui keegi julgeb uue reegli kehtestamise järel juhi juurde maha istuda ja teda uuenenud korra mõistlikkuse osas praadida. Mõnikord võib see viia ebavajaliku reegli ümber vaatamiseni, aga alati aitab see töötajal mõista reegli ja ohu tausta.

Teadliku kultuuri kujundamine ei toimu ühe e-kursuse või kord kvartalis saadetava meiliga, vaid igapäevaste tegevuste ja suhtumise kaudu. Tark organisatsioon mõistab, et inimlik eksimine on alati võimalik, kuid et mõtestatud käitumist saab kasvatada. Turvalisuse eesmärk peaks olema keskkond, kus inimesed mõtlevad kaasa, mitte ei täida käske autopiloodil. Kõik, mida pole keelatud, ei ole automaatselt hea mõte.