Kust otsast küberturvalisusega pihta hakata?
Küberturvalisusest on saanud midagi, millest ei saa üle ega ümber keegi. Viimasel ajal aina levinumaks muutunud küberrünnakud ja petuskeemid on pannud enamikke organisatsioone mõistma, millega riskitakse, kui turvateemadele piisavalt tähelepanu ei pöörata. Elisa infoturbejuht Mai Kraft märgib aga, et ohu tunnetamisest üksi ei piisa – turvalisuse tagamiseks on tarvis teha reaalseid samme.
“Üks asi on küberturvalisuse olulisuse mõistmine paberil. See on esimene samm õigete meetmete rakendamise poole, kuid sellest ükski ei piisa. Oleme täna punktis, kus lõua sügamine ja nentimine, et “on pahasti”, ei ole lihtsalt piisav. Vahet pole kas tegu on suure või väikse firmaga, turvalisust aitavad tagada vaid reaalsed sammud, läbimõeldud lähenemine ja päriselt hoomamine, mis on see, millega olulise tegemata jätmisel riskitakse,” rääkis ta.
Kuigi küberturbeteemadele saab läheneda kitsamalt ja saab läheneda laiemalt, on Krafti sõnul mõned sammud universaalsed. Kuigi turvalisus ei ole asi iseeneses, ega midagi, millega saaks kunagi olla lõpuni hästi, aitavad läbimõeldud lähenemised ja õiged sammud riske olulisel määral maandada.
Millest alustada?
Krafti sõnul tasub küberturvalisusega tegelema hakkamist alustada kõige algelisematest sammudest – viia end valdkonnaga kurssi ja tagada, et ettevõtte töötajaskond mõistab vähemalt peamiseid küberhügieeni põhimõtteid. See tähendab, et kasutada tuleb turvalisi paroole ja kaheastmelist autentimist, tuleb mõista erinevate levinud petuskeemide ja rünnakute olemust ning tuleb tajuda, et ohud varitsevad iga nurga peal.
Selle kõrval tuleks hakata üles ehitama reaalseid kaitsemüüre. “Kindlasti on kaitsemüüriks ka paroolipoliitika, mis ei luba meilile liiga lihtsalt parooli panna, aga enamasti sellest üksi jääb väheks. Ettevõtet ja selle töötajaid peaks kaitsma tulemüür ja viirusetõrjelahendused, võimalusel peaks lubama ligipääsu ettevõtte võrgule vaid kontorist või läbi VPNi ning tasub ka meeles pidada, et mida rangemalt on kontrollitud see, mida tööseadmetega teha saab, seda väiksem on risk alla laadida kahtlast tarkvara või külastada viirustest kubisevaid veebilehti,” rääkis ta.
Olulisel kohal on ka see, et ettevõtte töös kasutatakse usaldusväärseid seadmeid ning tarkvara, mis oleks ajakohane. Oluline on valida nii igapäevasteks töövahenditeks kui ka näiteks kontori turvakaamerateks tuntud ja kahtlase taustata tootjate pakutu, mille kõrval tuleb teha kindlaks, et neis seadmetes kasutatakse ka kõigi viimaste turvaparandustega tarkvara. “Turvauuendusi ei pakuta nalja pärast – kui juba uuendus tuleb, võib olla üsna kindel, et mingi hulk pahalasi on saanud jälile vanas versioonis pesitsenud nõrkusele ja on valmis seda ära kasutama,” lausus infoturbejuht.
Eelneva kõrval aitab turvalisust tagada ka see, et kõige hullemaks ollakse valmis – siin on esikohal varundamine ja ärikriitilisest digivarast varukoopiate omamine. “Kui peaks juhtuma kõige hullem ja muud kaitsemüürid joostakse maha, on just varukoopiad need, mis aitavad kriitilise rünnaku üle elada. Näiteks ettevõtte failide kallale pääsenud krüpto-lunavara võib lunaraha maksmisest keeldumise korral ettevõtte lõplikult hävitada. Varukoopiad on need, mille abil nakatunud süsteemid uuesti üles ehitada ja mis aitavad edukat rünnakut kasutada õppetunni, mitte peielauana,” lausus Kraft.
Kõige eelneva taustal on kriitiliselt olulisel kohal ka töötajate pidev ja asjatundlik koolitamine. Erinevate uuringute kohaselt on kuni 95 protsendi edukate rünnakute taga inimlikud eksimused, mistõttu on lihtne teadlikkuse tõstmine üks parimaid viise oma ettevõtte ja töötajate kaitsmiseks. “Täna on eesrindel iga ettevõtte töötaja, mitte IT- ja arvutiasjadega tegelevad spetsialistid. On oluline, et töötajad hoomaks ohte ja teaks, kuidas turvaliselt talitada,” ütles ta.
