Põhisisu algus

Toomas Polli: kas tõesti on tarvis meilikontole ligi pääsemiseks anda kolm veretilka?

18.10.2022

Küberturvalisust võib taga ajada meeletult karmide nõuetega või lastes asjadel vaikselt omas rütmis kulgeda ning leppides, et mõni ots aeg-ajalt libiseb. Kuigi võib tunduda, et üks neist on õige ja teine vale, siis pole pilt reaalsuses nii mustvalge – mida turvalisemaks midagi teha, seda raskem on seda kasutada; mida rohkem panustada kasutusmugavusele, seda rohkem tuleb järele anda turvalisuses. Seega peab iga ettevõte leidma selle kuldse kesktee kahe äärmuse vahel, mis päriselt antud olukorda sobib, räägib Elisa tehnoloogiaüksuse juht Toomas Polli.

Küberturvalisus ei ole asi iseeneses, vaid paljude väikeste sammude, otsuste ja lähenemiste koosmõjul saavutatud tulemus. Saavutatud tulemus ei tööta ka lülitina – tegin need kolm asja ja nüüd on mul küberturvalisus – vaid pigem on tegu skaalaga, mille näitajat iga otsus veidi ühele või teisele poole liigutab. See, kuhu näitaja lõpuks langeb, on aga iga organisatsiooni enda otsustada ning ihaldatud tulemus peab lähtuma sellest, mida on tegelikult vaja.

Kuigi võiks tunduda, et kõike tuleks kaitsta ja küberturvalisuse vaates peaks alati sihtima tippklassi, siis ei saa ära unustada, et iga samm turvalisuse poole sööb veidi kasutusmugavust. Kui sammukesi on tehtud mõõdukas koguses, on kasutusmugavus endiselt väga hea, kui aga minna äärmustesse, tuleb veel enne seda, kui saab oma kasutajakontosse sisse logida, kulutada pool tundi, et süsteemile tõestada, et see tõesti oled sina, kes soovib hetkel keskkonda ligi pääseda.

Väravat ei saa niidiga kinni siduda

Sestap ei saa kõike ühe puuga lüüa ning ettevõtted peavad leppima, et mõnes aspektis tuleb turvalisuses järgi anda, et tagada reaalne teenuste kasutatavus. Mõistagi ei saa väravat niidiga kinni siduda, kuid aeg-ajal tuleb leppida, et kolme veretilga asemel peab läbipääsuks piisama paroolist ja õige digivõtme omamisest. Küll on aga oluline, et see otsuses, millised kaitsemeetmed konkreetses olukorras kasutusele võtta, tuleneks reaalsest arusaamast sellest, mida soovitakse saavutada.

On loogiline, et mida tundlikemate süsteemidega on tegu, seda karmimad peavad olema rakendatavad kaitsemeetmed ning seda ebamugavam peabki olema süsteemi kasutamine. Kui kuskil on andmebaas, kus hoitakse klientide krediitkaardinumbreid, siis on ka õigustatud, et sinna sisse saamiseks peab inimene taotlema vajalikku luba, ennast kahe- või kolmetasemeliselt autentima ning olenevalt olukorrast võibolla seda kõike turvatud kontoriruumis, kus on infot hoidev arvuti, mis ei ole internetiga ühendatud.

Kui rakendada aga sama lähenemist millegi igapäevasema puhul – näiteks, et pääseda ligi töömeilidele – on ilmselge, et tegemist on ülepingutamisega. Kuigi ettevõte sooviks, et kõike saaks CIA-tasemel turvalisusega kaitsta, olgugi, kui igapäevane see on, siis peab ka töö ise tehtud saama ning keegi peab tõmbama mõistliku piiri, mis tagab piisava turvalisuse konkreetse olukorra jaoks, kindlustades samas selle, et enne tööle asumist ei jõua tööpäev läbi saada. See, kust see piir jookseb, sõltub aga iga ettevõtte enda riskitaluvusest ning sellest, millega igapäevaselt tegeletakse.

Ei ole välistatud, et näiteks osadel juhtudel ongi põhjendatud lubada ka meilidele ligipääs vaid kontorivõrgus olles. Kui kellegi meilikonto kaudu liigub midagi, mis on meeletu turvariskiga, tuleb seda infot kaitsta. Samas on ilmselge, et kui postkastidesse jõuab igapäevaselt vaid suvepäevade kava, siis pole tarvis infot peita kümne järjest raskema ukse taha. Samasugust kasutumusmugavuse-turvalisuse hinnangut saab rakendada ka kõige muu puhul – kuidas pääseda ligi veebilehe live-versioonile, kes ja kus saab pääseda ligi siseveebile, mida tuleb teha, et pääseda pangakontole ning kes ja kuidas saab lubada mõne makse tegemise.

Sellele uksele paneme kaks tabalukku, mitte kolm

Nii nagu on oluline olukorra adekvaatselt hindamine, on oluline ka see, et paika pandud süsteemid ja praktikad oleks võimelised ajas arenema. Kuigi aastake tagasi võis tunduda, et sisemisse töösüsteemi sisselogimiseks piisas vaid paroolist, siis äkki on vahepeal esile kerkinud uus ründevektor, mis tingib nüüd ka kaheastmelise tuvastamise nõudmist? Äkki on aga asi läinud nii kaugele, et varem igas võrgus ligipääsetavale sisesaidile peaks nüüd ligi saama vaid kontori võrgus?

On selge, et alati on võimalik teha liiga vähe, kuid samas on võimalik ka liiga hoogu minnes jõuda punkti, kus turvalisus hakkab töö tegemist pärssima. Kui veidike liiga palju tegemine on küberturvalisuse vaatest pigem eelistatud, siis kuskil jookseb mõistlikkuse piir – iga samm turvalisuse suunas närib vaikselt mugavust. Mõnikord on see õigustatud, teinekord tuleb aga leppida, et uksele pannakse ette vaid kaks tabalukku ning kolmas jääb ootama hetke, kui see on ilmtingimata vajalik.

Seotud märksõnad