Põhisisu algus

Mai Kraft: kas sa ka tegelikult tead, mis su enda majasisestes IT-süsteemides sünnib?

16.01.2023

Tihti panevad ettevõtted suure rõhu selle lihvimisele ja särama löömisele, mida nähakse majast väljas, jättes samas erilise hooleta majasiseste tööriistade ilu, kasutusmugavuse ja muud kellad-viled. Kuigi enamikest aspektidest ongi kliendi vaatele suuremas mahus keskendumine õigustatud, siis võttes sama lähenemise ka turvalisuse puhul ning suunates kogu küberturberessursi väljapoole, on olukord võrdne maja valve alla panemise, ent välisukse lahti jätmisega, räägib Elisa infoturbejuht Mai Kraft.

Iga ettevõtte jaoks on elementaarne, et kõik see, mis mõjutab otseselt klienti, peab olema esinduslik, funktsionaalne ja turvaline. Just avalikud veebid ja välisvõrgust ligipääsetavad teenused on ka need, mille puhul esimesena mõeldakse, et kui neid parooliga ei kaitse, on varsti häkkerid platsis. Kuigi kõige välise kaitsmine ongi oluline, siis ei saa selle kõrval tähelepanuta jätta kardina taga toimuvat. Pahalased võivad küll sisevõrgule või majasisestele süsteemidele oluliselt raskemini ligi pääseda, kuid kui seal pole turvalisusele mõeldud pole ning esimene nõrk uks maha murtakse, on potentsiaalsed kahjud pea piiritud.

Seetõttu tuleks pikaajalise jätkusuutlikkuse ning üldise küberhügieeni tagamiseks mõista, et investeeringud tagala kaitsmiseks on sama kaaluga kui ilmale nähtava turvamine. Kuigi sisemiste süsteemide kaitsmisel on omad eripärad, millega tuleb arvestada, jäävad turvalisuse põhitõed ka siin samaks: uuendada regulaarselt tarkvara, kasutada tugevaid paroole ja krüpteerituid ühendusi, piiratud võrku ja reguleeritud kasutajaõiguseid. Lisaks sellele tasub aga sisevõrkude puhul veidi täpsemalt mõtteis hoida seda, kes, kuidas ja miks neile üldse ligi pääseb.

Kaugtöö toob kaasa omad ohud

Sisemiste süsteemidega seotud ohud on tulenevalt kaugtööst viimaste aastatega märgatavalt suurenenud. Üha enam võimaldatakse ettevõtte andmetele ja süsteemidele ligipääsu väljastpoolt turvalist kontorikeskkonda, mis on kaasa toonud terve rea uusi ründevektoreid, mis olid klassikalise töökeskkonna puhul pea täielikult kõrvaldatud. Kuigi erinevaid ohte võib üles lugeda kümneid, siis suurimad neist on seotud füüsilise keskkonnaga, ebapiisavalt turvatud ühendusega ning üldise hooletusega.

Eelneva tõttu on turvaliste sisesüsteemide üles ehitamine ja alaline turvalisuse tagamine täna olulisem kui kunagi varem. Ettevõtted peaks suutma piisavalt tähelepanu pöörata nii tehnilisele, füüsilise kui ka organisatoorsetele küberturbe tahkudele, mis aitavad üheskoos kõik riskide taset miinimumini viia. Kuigi igal ettevõttel ja iga süsteemil on omad eripärast ja omad erivajadused, siis peamised viisid turvalisuse tagamiseks püsivad üsnagi sarnased. Ära ei tasu ka unustada, et kõik need samad põhimõtted on vägagi aktuaalsed ka juhul, kui inimesed töötavad peamiselt kontorist, kuid paindlike tööviiside puhul kasvab nende olulisus mitmekordselt.

Organisatoorsete meetmete vaates peaks igal sisesüsteemide turvalisusest hoolival ettevõttel olema paigas kindel turvapoliitika ja selged kaugtöö reeglid, mis sätestavad selle, mida tohib teha, kuidas tuleb töötaja kätte usaldatud süsteemidega ringi käia ning mis selgitavad, mis on need potentsiaalsed ohud, mis reeglite eiramisel esile võivad kerkida. Kõige selle kõrval tuleks alaliselt ka töötajate taset hoida ning läbi erinevate koolituste ning harjutuste piisav pädevus tagada. Mida hoomatumaks muutuvad ohud, seda sinisilmsemaks muutuvad kasutajad.

Tehnilisest vaates peaks olema tagatud sisevõrguga turvaline ühendus, töötajad peaks saama kasutada vaid autoriseeritud seadmeid ja tarkvara ning koostöös turvapoliitikaga peaks olema tagatud pidevad uuendused ja piisavalt jäikade paroolide kasutamine. Kontoriseinte vahelt eemal olles on tavapärasest olulisemal kohal ka füüsilised turvameetmed ehk see, et keegi ei saaks töötajal üle õla vaadata ja nii klientide andmeid välja lugeda. On oluline, et töötajad mõistaksid, et nende kohustus on kontorist eemal olles tagada endale piisavalt turvaline töökeskkond ning et nad mõistaksid, mis võib juhtuda, kui sätestatud norme eiratakse.

Kõige eelneva näol on tegu kõige elementaarsemaga. Alati saab minna veelgi kaugemale ning kaitsta iga sisemise süsteemi kümne müüri ja vallikraaviga, et viia hoolimata olukorrast turvalisus veel kraad kangemaks. Kuid nii nagu ka kõige sellegagi, mis paistab majast välja poole, tuleb mõista, et turvalisus ja kasutusmugavus on kaalukausi kaks erinevat poolt. Igal ettevõte peaks seetõttu suutma koostada endale sobiliku riskihinnangu ning mõistma, kust jookseb nende valulävi ja millega ollakse nõus riskima. Kõige suurem risk on selgelt see, kui sisesüsteemide turvalisusele jäetakse üldse mõtlemata – tundmatu ohu eest on end raske kaitsta.

Seotud märksõnad