Viiruse või pahavaraga nakatumine võib olla vaid aja küsimus, kui ei pööra kübermaailmas valitsevatele riskidele piisavalt tähelepanu ja jätta teemaga tegelemata kartuses, et see nõuab põhjalikku IT tausta, kirjutab Datafoxi Turvalahenduste valdkonnajuht Tõnis Teder.
- Datafoxi Turvalahenduste valdkonnajuht Tõnis Teder Foto: Erakogu
Kübermaailmas valitsevad riskid ohustavad meid igapäevaselt, kuid sageli ei pööra me neile tähelepanu, sest paljuräägitud intsidendid meid otseselt ei puuduta. Samas on vaid aja küsimus, millal me mõne viiruse või pahavaraga nakatume või ründe objektiks satume. Taoline intsident võib kaasa tuua nii tööseisaku üksikisiku vaates kui ka otsese rahalise kahju ettevõttele, sest tihtipeale jäävad seetõttu kaubad tootmata, tellimused täitmata ning kliendid teenindamata. Suurim kahju, mida ei ole võimalik koheselt mõõta ning mille ulatusest meil sageli arusaam puudub, on ettevõttele tekkiv mainekahju.
Pilvekonverents 2017
08.03.2017Tutvu programmiga ja registreeru
SIIN.
Kui turvariski vaadelda IT lõppkasutaja vaatest, siis piisab mõnest lihtsast küsimusest, et aru saada millisel kujul võib turvarisk ettevõtte jaoks eksisteerida ja kas peaks midagi ette võtma.
1. Kas minu ja ettevõtte teiste töötajate seadmetes on töö- ja eraasjad üksteisest lahus?
Tasuks mõelda, kus on täna talletatud personaalsed ja tööalased andmed ning e-mailid. Kus andmed liiguvad ja kes neile ligi pääseb ning mis juhtub siis kui arvuti, mobiil või tahvel saab pahavara poolt kompromiteeritud. Tulemuseks võib olla mitteautoriseeritud ligipääs ettevõtte olulistele andmetele, mis võib kaasa tuua tahtmatu andmelekke.
2. Kas mina ja ettevõtte töötajad kasutavad erinevatel kontodel erinevaid paroole ja millal viimati paroole vahetati?
Tihtipeale on kasutajate paroolid lihtsad ja järele aimatavad (enamlevinud on nimi + sünniaasta javana-hea Tere123). Samuti on risk, kui kasutatakse ühte ja sama parooli mitmesse eri keskkonda sisse logimisel - näiteks kasutatakse sama parooli nii ettevõtte andmebaasi kui ka sotsiaalmeedia kontole sisenemiseks. Viimase aja näidetel on paljudelt suurtelt e-teenuse keskkondadelt kaaperdatud sadu miljoneid paroole, mis näitabki seda, et sotsiaalmeedias kasutatav parool võib olla ettevõtte vaates turvarisk. Selliste juhtumite ennetamiseks tasub paroole regulaarselt uuendada. Lisaks on soovitatav kasutada kaheastmelist autentimist, mis aitab vähendada riski, et parooli kätte saanud pahalane kuritegusid korda saadaks.
3. Milline on minu ja minu kolleegide turvateadlikkus?
Kas ma tean, millised on mu õigused ja kohustused IT turvalisuse vaates? Kuidas käituda kui ma avastan mõne ohuallika või tekib kahtlus, et minu arvutis toimub midagi anomaalset? Kas ettevõttes on kehtestatud sellest arusaamiseks juhendid ja kas ma olen nendega kursis võitutvunud. Kas ma olen osalenud mõnel ettevõtte poolt korraldatud turvalisuse koolitusel, läbi mille on teadvustatud võimalikke ohuallikaid ning tõstetud minu teadlikust. Nendele eelpool toodud küsimustele mõeldes ja neid riske teadvustades saan ma ennetavalt elimineerida võimalikke tekkivaid turva intsidente ning minimeerida nende mõjuulatust. Tihtipeale ei ole nende läbiviimine ja protseduuride juurutamine üldse kulukas, vaid vajab lihtsalt käsile võtmist.
4. Kas ettevõttes on kasutusel pahavara/viirusekaitse?
Milliseid lahendusi ettevõttes kasutatakse ja kuidas need mind kaitsevad? Tihtipeale piirdutakse paljudes ettevõtetes ainult viirusetõrjega ja ei pöörata tähelepanu võrguturvalisusele, andmelekete vältimisele, lunavara ning mobiilseadmete kaitsele. Kas minu kasutuses olevad lahendused toetavad minu töötajate kasutusharjumusi? Tihtipeale on ettevõtte IT osakonna poolt kunagi soetatud lahendused iganenud - makstakse küll iga-aastaseid uuenduste tasusid kuid ei mõelda sellele, kuidas antud lahendus sobib minu tänase töökultuuri ja ülejäänud IT süsteemidega.
5. Kus minu äri andmed asuvad ja kuidas need on kaitstud?
Kus minu äri andmed täna reaalselt on - kas arvuti kõvakettal, ettevõtte failiserveris, "pilves" või hoopis personaalses Dropboxis? Kuidas on need hallatud ja kes neile ligi pääseb? Kuidas need andmed liiguvad? Kuidas on tagatud tahtlikud ja tahtmatud andmelekked? Ja kõige tähtsam, kui juhtub tõsine intsident ja andmed hävivad, siis kas need andmed on mul korralikult varundatud ja vajadusel ka taastatavad? Kõikidele nendele küsimustele kasvõi hetkeks mõeldes tagab selle, et võimalike riskistsenaariumite puhul on tagatud ettevõtte andmete säilimine ja järjepidevus.
Need 5 küsimust ja neile mõtlemine annavad kiire ja lihtsustatud ülevaate ettevõtte IT turvalisusest ja riskifaktoritest. Kui juba üks küsimus annab eitava või ebakindla vastuse, siis tasub antud teemale ning edasiseks analüüsile mõelda. Ei tasu ka karta, et küsimustele vastamiseks peab omama põhjalikku IT tausta – juba nende küsimuste tähtsuse mittemõistmine võib olla üks potentsiaalsetest riskidest.
Tõnis Teder,
Datafoxi Turvalahenduste valdkonnajuht
Autor: Tõnis Teder
Seotud lood
Arvutite ühendamisel võrku tuleb arvestada, et iga internetti ühendatud seade on vaikimisi seadistuses avatud küberruumis levivatele ohtudele. Kogenematu arvutikasutaja, kes ei oska sellele tähelepanu pöörata, võib avalikku arvutivõrku kasutades tekitada suure ohu mitte ainult oma arvutis olevate andmetele, vaid kogu ettevõtte infosüsteemile, kirjutab Äripäeva ITuudiste ja KPMG koostöös toimuval andmekaitse seminaril ettekandega esinev KPMG Eesti IT nõustamisteenuste juht Teet Raidma.
Enamikes Eesti peredes on kasutusel vähemalt üks nutiseade, paljudel juhtudel on nende seadmete hulk aga suurem. Nutiseadmed on saanud meie elu loomulikuks osaks. Samas - kui turvaliselt me neid seadmeid kasutame?
Tänasel Turvalise interneti päeval avalikustab Microsoft oma Digitaalse viisakuse indeksi, mis on kokku pandud peale põhjalikku analüüsi 14 riigis ning mis näitab, et 65% internetikasutajatest on kokku puutunud ohtudega internetis. Turvalise interneti päeval kutsub Microsoft kõiki üles looma turvalisema ja viisakama internetikeskkonna.
8. märtsil toimuv Pilvekonverents "Olla pilves või mitte - selles on äririsk" on sel aastal võtnud oluliste teemadena ette muudatused pilvevaldkonnas, trendid ja jagab kasulikke kogemuslugusid nii pilveteenuste kasutajatele kui ka loojatele. Soodushinnaga registreerumine lõppeb 27. veebruaril.
Arvutipargi renditeenus on mugav, säästlik ja (tuleviku)kindel. Green IT tegevjuht Asko Pukk usub, et ettevõtete äriline fookus peab alati olema enda põhitegevusel, sektoril, mida teatakse peensusteni, et olla konkurentidest paremad – just selleks vajaliku aja ja raha renditeenus vabastab.