Küberturvalisus on justkui sibul – südamikuni jõudmiseks peaks maha koorima suure hunniku kaitsekihte

Küberturvalisusest räägitakse tihti kui asjast iseeneses – see on kas tagatud või ei ole – mis võib aga kiirelt viia valele teele. Viirusetõrje, tugevad paroolid ja mõistlik õiguste haldus on küll vajalikud, kuid omapäi ei suuda neist ükski tagada terviklikku kaitset. Selle asemel tasuks turvateemadega tegeledes võtta eeskuju loodusmaailmast – selleks, et kaitsta ettevõtte südamikku ehk kõige olulisemaid ja ärikriitilisemaid osi, on need tarvis sibula kombel ümbritseda suure hulga erinevate kihtidega, räägib Elisa infoturbejuht Mai Kraft.

Täpselt nagu kunagi ei piisanud linnuse kaitsmise puhul vaid kõrgest müürist – keegi pidi ka müüri kaitsma, ideaalis võinuks seda ümbritseda vallikraav ja kõige parem oleks olnud, kui vastane suudetuks üldse enne lähipiirkonda jõudmist kahjutuks muuta – ei suuda ka kübermaailmas ükski individuaalne tegevus turvalisust tagada. Iga uus kiht lükkab pahalase veidi kaugemale ja aitab kõige väärtuslikuma haardeulatusest eemal hoida.

Täna on kõigi küberturvalisusest hoolivate osapoolte käsutuses meeletus koguses erinevaid tööriistu, mida enda, oma töötajate ja oma ettevõtte kaitsmiseks rakendada. Erinevaid kihte saab teineteise peale laduda nii palju kui jaksab, seega kuidas mõista, millal on erinevaid kihte piisavalt, et rahulikult südamega digimaailmas toimetada?

Mitu kihti südamikuni jõudmiseks läbi tuleb närida?

Küberturvalisust saab taga ajada absurdse tasemeni välja, kuid enamasti jookseb kuskilt mõistlikkuse piir. Erinevatel ettevõtetel on see erineval tasemel, kuid piisavalt pädeva riskihinnangu, endaga aus olemise ning läbimõeldud strateegilise lähenemisega on lõpuks võimalik jõuda punkti, kus ei pea muretsema, kas tehtud on piisavalt. Muutuvale keskkonnale peab küll alati olema valmis reageerima, kuid kui küberturvalisusele on lähenetud piisavalt läbimõeldult, on vähemalt baaskaitse tagatud.

Õige tasemeni jõudmisel on kasuks ka kihilise lähenemise olulisuse mõistmine, aidates panna asjad konteksti ning mõista, kus on juba täna piisav tase saavutatud, kus on augud, mida tuleks lappida. Iga ettevõtte puhul on sobivad kaitsekihid eriilmelised, küll mõned tugitalad on siiski universaalsed.

Esmalt tasuks mõista, mis on see, mida üldse kaitsta soovitakse ehk mis on see südamik, need kõige missioonikriitilisemad varad, andmed, teenused ja süsteemid, mis peavad olema kümne luku taga. Nende kõrval tasuks ära kaardistada, mis muu – veidi vähemtundlik – vajaks kaitsmist ja kui kaugele sellega minna. Kui kõige sügavamad kihid paigas, saab hakata nende ümber ehitama müüre.

Protsessilised lähenemised nagu paroolireeglid, andmekaitsesätted, kasutajategruppide haldus ja ligipääsuhaldus aitavad paika seada ühe olulise portsu barjääridest, mis tagavad, et kõige olulisemale pääsevad alati ligi vaid need osapooled, kes peavad. Kõik need lähenemised võivad üksikuna vaadates olla murtavad – paroolid võivad lekkida, lahkunud töötaja kasutaja võidakse unustada kustutada, kuskile võidakse üles laadida vale fail, kuid üheskoos aitavad need eksimuste potentsiaalse kahju vaos hoida.

Protsessilise poole kõrval tasub omaette turvakihina käsitleda ka võrguturvalisust ja seda, kuidas ettevõttele ligi pääsetakse. Tasuks paika panna kindlad reeglid ja põhimõtted, määrates, kes mis võrgule ligi saab (töötajatel oma võrk, külalistel oma, klientidel oma), mida võrgus teha võib (allalaadimiste keelamine, monitooring) ning muidugi võrgu tehniline turvalisus (tulemüürid, seadmed). Igaüks neist lisab pahalaste teele uue takistuse, mille ületamine nõuab aega ja vaeva, muutes rünnaku aeganõudvamaks, tüütumaks ja lõpuks vähem tasuvaks. Tulemüürist saab küll mööda hiilida, aga kui selle kihi taga on ootamas järgmine vall, on eduka ründe tõenäosus oluliselt madalam.

Ära unusta füüsilist turvalisust

Kuigi küberturvalisusest rääkimine manab esimesena silme ette pimedas toas askeldavad häkkerid, siis kaitsekihte läbi mõeldes ei saa tähelepanuta jätta ka füüsilist ehk otsest perimeetriturvalisust.

Perimeetri turvalisus hõlmab nii füüsilisi kui digitaalseid turvamehhanisme, mis peaksid ära hoidma olukorra, et keegi võõras tuleb, oma mälupulga arvutisse pistab ning seeläbi ettevõtte andmetele ligi saab. Turvakaamerad, uksekaardid, õigete võtmetega avatavad serveriruumid ja koolitused, mis manitsevad inimesi laua tagant lahkudest arvutist välja logima, on siin samm õiges suunas.

Erinevaid kaitsekihte saab lõpuks käiku võtta nii palju, kui soovi on. Tasub aga meeles pidada, et küberturvalisus on alati tasakaalumäng kasutusmugavuse ja ohutuse vahel. Mida turvalisemaks midagi muuta, seda raskemini kasutatav see on, samas kui liigselt kasutusmugavusele keskendudes pannakse tihti ohtu kaitsevõime. Oluline on leida just täpselt see õige keskpunkt, kus ettevõtte varad on piisava tasemeni kaitstud, kuid samas on töötajatel päriselt võimalik oma tööülesanded kolme veretilka loovutamata ära teha.