Mai Kraft: mõnikord peabki arendajal küberturbekoolitusel igav olema – see on kõigi turvalisuse hind

Iga oma valdkonna spetsialist võib end ühel hetkel avastada olukorrast, kus oma ekspertteema tuleb kuidagi selgeks teha ka inimestele, kes sellest maailmast varem midagi kuulnud pole. Elisa infoturbejuht Mai Kraft tõdeb, et eriti keeruliseks võib see osutuda siis, kui koolitamisele ja selgitamisele läheneda eeldusega, et auditoorium juba midagi teab.

“On lihtne arvata, et teised omavad samu põhiteadmisi kui sina. Aga enam kui tihti on see eeldus vale – ise päev otsa mingis teemas sees olles lihtsalt tekibki tunne, et kõik on iseenesestmõistetav ja kuidagi muudmoodi ei saakski. Üritades selle eelduse pealt hakata kellelegi teisele olulisest teemast, näiteks küberturvalisusest, rääkima, on tulemuseks olukord, kus mingid võtmetähtsusega teemad jäetakse lihtsalt puutumata,” sõnas ta.

Küberturvalisus on aga valdkond, millega peavad täna tegelema kõik ettevõtted. Turvateemade nõrgaks lüliks on pea alati inimesed ning just oma töötajate harimisel ja nende teadlikkuse tõstmisel on küberriskide maandamisel tihti suurim kasutegur. Seega on ka mõistetav, et turvakoolitused ja pidev õpetamine kuulub juba enamike suuremate firmade igapäevategevuse juurde.

Samas märkis Kraft, et koolitustest ja info jagamisest ka päriselt kasu oleks, tuleb kõigil info jagamise eest vastutavatel osapooltelt mõista, kellega asjadest räägitakse. “On üsnagi selge, et IT-firmas ja jaekaubandusketis töötavatel inimestel on erinevad baasteadmised, kuna ühed on päevast-päeva digiteemades sees, teised võivad arvutit kasutada ainult meilide lugemiseks. Aga ei saa ka kunagi unustada, et ka IT-firmades töötavad eesliinitöötajad ja poes IT-juhid – õiget koolitust vajavad nad kõik,” lausus ta.

Igale töötajale eri koolitust ei jõua keegi korraldada

Kuigi Krafti sõnul sooviks küberturbeeksperdid ideaalses maailmas luua igale töötajale või vähemasti igale töötajate grupile personaliseeritud koolituse, mis vastab täpselt nende senistele teadmistele, siis reaalsuses on see tihti võimatu. Küberturvalisusega seotud koolituste ettevalmistamine on üpris aeganõudev ja mahukas töö ning tihti vaid väike osa sellest, millest koolitaja rolli sattunud spetsialisti tööpäev koosneb.

“Siis tulebki teha valikuid ja otsuseid, et kuidas edasi minna. Kui auditooriumis on ühteaegu tippspetsialistid ja vähesemate IT-oskustega töötajad, on paratamatu, et liiga lihtsa koolituse tegemisel on ühtedel igav ja liiga raske koolituse puhul ei saa osad inimesed aru, mis täpselt toimub,” märkis ta. “Nii kurb kui see ka kogenud spetsialistide jaoks pole, siis enamasti tuleb otsustada madalaima ühise jagaja kasuks ja keskenduda A-le ja O-le. Vastasel juhul on tulemuseks olukord, kus üks osa inimestest teab turvateemasid väga hästi, teine osa aga ei midagi.”

Samas rõhutas ta, et baasoskuste üle kordamine ei tee kunagi kahju kellelegi. “Jah, mõnikord võib olla kolmandat korda kaheastmelisest tuvastamises kuulmine igav, aga reaalsus on see, et tänaseni leiab väga asjalikke IT-inimesi, kes liialt turvateemadele ei mõtle või sellest maailmast mõnd põhiaspekti ei tea. Pidev kordamine on see, mis aitab lõpuks tulemuseni jõuda,” ütles Kraft.

Niisamuti märkis ta, et kui ressursse jagub, saab alati lisaks baaskoolitustele üritada läbi viia erikoolitusi, kus teemaga rohkem kursis olevad inimesed saavad ka infot, mida ehk kõigile vaja pole või mida kõik praktikasse rakendada ei suudaks.

“Kõik töötajad peavad teadma paroolidest, õngitsuskirjadest ja üldisest küberhügieenist, samas kui koodivaramu kaitsmine võib olla vajalik ja arusaadav info vaid mõnele. Kui võimalik, tasub kindlasti detailsemaks minna, kuid kui aeg ja võimalused on piiratud, tuleb keskenduda kõige olulisemale. Ja kõige olulisem ongi enamasti see kõige “tavalisem” küberturbejutt, mida peaks suutma mõista ja praktikasse rakendada kõik,” lisas ta.