Villu Teearu: küberturvalisus võibki olla ebamugav. Mis siis?
Ettevõttes küberturvalisuse tagamine on pidev vägikaikavedu mugavuse ja piisava kaitse vahel – mida mugavam on millegi tegemine, seda ebaturvalisem see on, mida turvalisem on aga võetud lähenemine, seda ebamugavamaks muutub soovitud ülesannete täitmine. Elisa IT-juhi Villu Teearu sõnul tuleks seetõttu üritada leida kuldne kesktee ning reaalsete kaitsemeetmete rakendamise kõrval panustada märkimisväärne osa ressursse ka inimeste koolitamisesse ja teadlikkuse tõstmisesse.
Möödas on ajad, kui küberturvalisusele sai mõelda vaid väike seltskond inimesi kuskil kontori taganurgas. Tänapäevased on ettevõtted on igast küljest digilahendustega ümbritsetud ning iga töötaja on viidud eesliinidele. See on kaasa toonud ka olukorra, kus turvateemad on midagi, millega peavad kokku puutuma kõik, olgu see piiratud õiguste, kaheastmelise tuvastamise kohustuse, vaid valitud teenuste kasutamise loa või pidevate koolituste näol.
See tähendab ühtlasi ka seda, et aja jooksul on veidikene ebamugavamaks muutunud kõigi töö. Kui näiteks varem võis andmebaasist infot pärida pea iga inimene, siis täna saab andmetele ligi vaid osakonnajuht ning kui töötajal on kindla ülesande täitmiseks mingit andmestikku vaja, tuleb tal seda juhilt küsida, saada ajutised õigused või oodata, kuni juht andmed ise välja võtab ja talle saadab. Niisamuti on aeganõudvamaks muutunud ka kõige igapäevasemate tegevuste tegemine – enam ei piisa lihtsalt parooli sisse trükkimisest, vaid tuleb ka telefonist kaheastmelise tuvastamise kood leida.
See ebamugavus on küll enamasti õigustatud, kuid iga organisatsioon peaks turvaparameetrite sätestamisel meeles pidama, millega tegeletakse ning mida üritatakse saavutada. Nullmõjuga teemale pole mõtet külge panna CIA-tasemel turvaahelat, samas kui näiteks kliendiandmeid puudutava süsteemi puhul tuleb leppida, et sellega töötamine võib turvakaalutluste tõttu ollagi väga ebamugav – parem tegeleda tööprotsessides veidi tüütusega, kui riskida sellega, et tundlikud andmed või süsteemid langevad rumala näpuvea pärast valedesse kätesse.
Inimesed teevad vigu. Süsteem peab sellega arvestama
Kuigi ideaalses maailmas oleks kõik inimesed ideaalsed ja küberturvalisust tagavate protsesside jaoks poleks mingit vajadust, siis on reaalsus teistsugune. Inimesed teevad vigu, osad inimesed on pahatahtlikud ning mingi hulk inimesi eelistab silmad kinni panna ja teeselda, et ohte pole olemas. Seal kus inimesed põruvad, peavad pead tõstma protsessid ja süsteemid, mis ei lase kõige hullemal juhtuda.
Hea küberturvalisus algab perimeeterkaitsest, mis tähendab, et iga inimene saab ligi täpselt neile asjadele, millele neil on vaja ligi pääseda. Klienditeenindajal pole vaja näha dokumendihaldussüsteemis finantsandmeid, turundajad ei pea nägema kõnelogisid, haldusosakonna juht ei pea nägema kodulehe koodi repositooriumit. Mida tugevamalt on õiguste süsteem juurutatud, seda väiksem on tõenäosus, kellegi kaudu läheb jalutama midagi, mis ei peaks iial jalutama minema. Samas tähendab see aga ka seda, et kui turundajal ongi õigustatult vaja näha kõnelogisid, siis tuleb kellelgi oma päevast võtta 10 minutit, et vajalikud andmed talle välja võtta. Iga organisatsioon peab oma riskilävendi ise tuvastama ning otsustama, kas pigem on mõistlik riskida ohtudega või panustada kiirusele ja mugavusele.
Perimeeterkaitse kõrval on sama oluline ka õigete äriliste ja personalihalduslike protseduuride juurutamine. Näiteks peaks olema väga selgelt paigas, kes ja millal peab lahkuvalt töötajalt ligipääsud ära korjama, kes hoiab silma peal, et kõik oluline oleks seotud ettevõtte kontodega ning kes vaatab üle, et mõni töötaja poleks jätnud oma arvutit kolm aastat uuendamata. Küll aga on kontrollmehhanismid vaid küberturvalisuse üks pool, sama oluline on ka teadlikkus ja küberpädevus.
Tugeva perimeeterkaitse ja kõikide muude tehniliste abimeeste kõrval ei tasu ohtude ennetamisel alahinnata ka koolituste, õppuste ja pideva kordamise olulisust. Inimeste tehniline taip ja riskitaluvus on erinevad, seetõttu peab iga ettevõtte pidevalt tagama, et töötajad peaks kinni põhimõtetest, mis ettevõtte on mõnel kaalutletud põhjusel seadnud. Mida paremini suudavad töötajad mõista, millised on reaalsed ohud, kuidas pahalased mõtlevad ning mis võib juhtuda, kui nad üritavad paika pandud protseduuridest ringiga mööda minna, seda väiksem on tõenäosus, et keegi teeb vea, mis võib organisatsioonile kalliks maksma minna.
Seega on selge, et küberturvalisust on võimalik tagada, kui sellele piisavalt panustada. Mingitel juhtudel võib see olla ebamugav, tüütu või isegi närvi ajav, kuid kui riskihinnang seda õigustab, siis tulebki inimesi aeg-ajalt mõistlikkuse piireis närvi ajada. Kui valikuteks on süsteemide töö halvamine ja andmete lekkimine või kellelegi kalendrist aeg-ajalt 10 minutit mõne andmekillu otsimiseks eraldamine, peaks õige valik olema ilmselge.