IT blogi
2 min lugemine
Ettevõtte küberturvalisuse tagamisel ei saa eeldada, et töötajate teadlikkus “loksub lihtsalt paika”, rõhutab Telia küberturbe lahenduste insener Holger Rünkaru. Sellist lootust hellitades ei pruugi suurt kasu olla ka parimatest turvalahendustest.
Küberturvalisus on enamiku ettevõtete jaoks jätkuvalt midagi abstraktset, millega tegelemisele ei soovita suurt tähelepanu pöörata või siis lihtsalt ostetakse kokku hulk tooteid, mis lubavad kaitsta kõikvõimalike ohtude eest. Olgu aga kohe öeldud, et kuigi reklaamid võivad seda lubada, siis maailmas ei ole siiani ühtki toodet, mis kaitseks ettevõtet varitsevate küberohtude eest nüüd ja igavesti. Küberturvalisus on süsteemne tegevus ja järjepidev protsess, millega tegelemine peab olema firma tegevuskavas ja eelarves aastast aastasse.
Turvanõrkusi otsitakse aktiivselt iga päev
Et ammu on käes aeg võtta küberohte enam kui tõsiselt, näitab ka näiteks Telia statistika, mille järgi ärikliente varitsevaid küberohte ummisturünnakutest viirusteni blokeeriti ainuüksi III kvartalis üle 631 miljoni korra. Koos II kvartalis tõkestatud rünnakutega on see arv üle 1,3 miljardi. Kui vaatasime ettevõtteid ükshaaval, siis selgus, et ühes kuus käiakse firma virtuaalsete ukselukkude tugevust kontrollimas keskmiselt 10 000 korda. Lihtne arvutus näitab, et ühes tööpäevas proovitakse firmale mingil viisil ligi pääseda või kahju teha umbes 60 korda tunnis ehk korra minutis. Seejuures ei rünnata sugugi ainult neid ettevõtteid, mille valduses on tundlikke andmeid. Näiteks pakuvad küberpättidele väga huvi hulgi- ja jaekaubanduse, töötleva tööstuse, kinnisvara ning majutuse ja toitlustuse ettevõtted. Koputamas käiakse aga ka loomingulise valdkonna väikeettevõtete ukse taga, kus seda enamikul juhtudel kartagi ei osata. Ja see on vaid Telia ärikliente puudutav statistika.
Seda enam on selge, et kõigi küberohtude blokeerimiseks ei piisa ühest Amazoni veebipoes müüdavast turvatootest, vaid vastavalt ettevõtte äriprotsessidele on vaja koostada tegevuskava küberohtudest tulenevate riskide vähendamiseks ning teha järjepidevat turvanõrkuste kontrolli. Kui mullu tuvastati üleilmselt üle 20 000 tark- ja riistvara ning võrguinfrastruktuuri haavatavuse, siis tänavu on neid leitud juba üle 14 000, mis tähendab, et nendele tähelepanu pööramata on küberkurjategijatele tehtud ligipääs ettevõtte võrku ja admebaasidesse imelihtsaks. Kuna selliseid haavatavusi lisandub pidevalt ning küberkuritegijad ei maga, ei saagi eeldada, et ettevõtte küberturvalisuse tagamiseks piisab ühest tootest või ühekordsest aktsioonist.
Suureks turvaohuks on saanud töötajad
Selleks, et olla küberkurjategijatest alati sammuke ees, ei tohi kindlasti unustada ka ettevõtte töötajate teadlikkuse kasvatamist. Järjest enam paistab silma, et isegi kui ettevõte tegeleb küberturvalisusega, siis tegevuskava ei pruugi hõlmata seejuures ka töötajate koolitamist. Samas teatavad uudised igal nädalal sadade igas vanuses ja kõikvõimalikel elualadel tegutsevate inimeste langemisest küberkuritegevuse ohvriks. RIA–gi tunnistab, et inimeste vähene tähelepanu küberohtudele on murettekitav. Eriti ajal, mil mõjuga küberintsidentide arv on Eestis kahekordistunud, on vaja ka tööandjate panust inimeste teadlikkuse kasvatamisse.
Näiteks Telia Company viimasest küberturberaportist selgub, et üle poole firmajuhtidest tunnistab, et nende töötajate teadmised küberturvalisusest on puudulikud ning isikliku ja tööelu vahel piire hägustav hübriidtöö on toonud kaasa uued digiturvalisuse riskid. Seega peab arvestama, et väljaspool kontori turvavõrku töötav ning küberohtudega mitte kursis olev töötaja võib oma tegevusega pahaaimamatult ohtu seada ka ettevõtte kõige paremini kaitstud andmed. Viimase kahe kvartali 1,3 miljardit tõkestatud küberrünnet peaks olema piisav ajend igale ettevõtjale, et teha töötajate järjepidev koolitamine ja väljaõpe enesestmõistetavaks ning muuta sellega veebis teadlikult käituv töötaja osaks suurest küberturvapuslest, mis tuleb kokku panna põhjalikukaitse tagamiseks. Kõnekas näide töötajate teadlikkuse tõstmise vajalikkusest on ka olukord, kus Telia Küberkoolituse tellinud IT-juht langes ise õngitsustesti ohvriks – juhtub ka parimatel ning lihtsalt vastutuse töötajatele lükkamine ei ole mõistlik strateegia.
