Küberturvalisus ja andmekaitse on lõputu teekond, mis ei saa kunagi otsa. Küll aga saab sel teel lihtsamini edasi liikuda, kui tead täpselt, kuhu lähed. Suuna annab kätte OIXIO küberturbe ja võrgu ärisuuna juht Andres Vallistu, kes soovitab, millest alustada ja mida edasi teha.
Alati on hea aluseks võtta mõni tuntud raamistik või standard, millest lähtuda. Nii pole võimalik teelt eksida ja samas pole mõtet ka ise hakata jalgratast leiutama, kui oma valdkonna profid on juba selle tee läbi teinud.
OIXIO ise lähtub oma töös näiteks ISO 27001, E-ITS-i ehk Eesti Infoturbestandardi, CIS-i ehk Center for Internet Security ning SASE ehk Zero Trusti kontseptsioonist (viimase kohta loe lähemalt blogist).
Ükskõik milline ülaltoodud raamistik valida, ikka on kõigil neil üsna sarnased etapid ja lülid turvalisuse saavutamisel.
Küberturvalisuses kehtib nõrgema lüli põhimõte
Ettevõtte turvalisus on just nii hea, kui on selle kõige nõrgem lüli. Need lülid, mida tugevdada, on järgmised:
- kontod
- andmekaitse
- seadmed
- infovarade haldus
- juurdepääs
- turvanõrkuste tuvastus
- sisselogimine
- pahavara kaitse
- partnerite turvalisus
- andmete taastamine
- võrguturvalisus
- küberhügieen
- rakendused, nende seire ja haldus
- testimine
- füüsiline turve
Selle üsnagi pika keti lülisid peab seega tugevdama ühtlaselt ja kindlasti ei tohiks üht neist teemadest unarusse jätta, sest ükskõik kui tugevad on teised turvalahendused, võib küberintsidendi läbimurre toimuda just selle ühe kõige nõrgema lüli kaudu.
6 praktilist soovitust
Küberturvalisuse parandamiseks saab palju ära teha, kuid mõned tegevused on mõjusamad ja lihtsamad. Just need järgnevad kuus tegevust ongi täpselt sellised – aitavad palju kaasa ning samas pole väga kontimurdvad.
1. Kaardista IT-varad! Hea on kaitsta, kui tead, mida vaja kaitsta. Kaardista ettevõtte riistvara, tarkvara, teenused, infosüsteemid, andmekogud.
2. Kaitse andmeid! Andmete kaitsmiseks on kõige tõhusam nende krüpteerimine, andmelekke tõkestamine ja töötajate isiklike seadmete turvamine. Läbi tuleb ka mõelda, kas ning millistel tingimustel lubada töötajatel andmetele liigipääs? Kas näiteks koduarvutitest tohib ligi pääseda? Risk on suur, kui seda üldse ei piira ja siis ei oma enam keegi ülevaadet, kes millele – ja mis seadmega juurde pääseb. Lekete eest aitab ka ennetav hoiatamine – näiteks antakse teada, et kliendile kontorist välja jagatavad andmed võivad olla tundlikud.
3. Loo turvalised ligipääsud! Kanna hoolt, et töötajate identiteet oleks kaitstud ning paroolilekkega ei saaks kontosid üle võtta. Tänapäeval ei tohiks olla enam ühtegi vabandust, miks ei saa pilveteenustele ligipääsuks rakendada mitmefaktorilist autentimist (MFA) ning tingimusliku ligipääsu poliitikaid, samuti võiks kasutada korralikku VPN-lahendust eemalt juurdepääsuks või Zero Trust kontseptsiooni ehk “vaikimisi ära usalda mitte kedagi”.
4. Vii seadmete turvatase maksimumini! Kõige suurem mõju on siin turvauuendustel ja turvapaikade paigaldamisel. See tegevus on samas ka olulisem, kui kunagi varem, sest iga päev avastatakse uusi turvaohte ja neid püüavad küberründajad pidevalt ära kasutada. Turvaohu vähendamiseks võiks vähendada kasutusel olevaid rakendusi. Asjatult pole mõtet seadmetesse mittevajalikku tarkvara paigaldada, sest iga lisaprogramm toob lisaohte.
5. Tegele ennetuse ja intsidentide tuvastusega. Teavitus ja töötajate harimine aitab intsidente üsna hästi ära hoida. Organisatsioonis peavad turbeteemad olema igapäevaselt tähtsal kohal. Regulaarselt võiks läbi viia küberhügieeni tõstmise koolitusi töötajatele, sest nõrgimaks lüliks on üsna tihti just töötaja ise, kes klõpsab kahjulikul lingil või lööb sisse oma konto parooli mõnel kahtlasel saidil. Logida tuleb ka kõiki tegevusi, et hiljem saada teada, mis ettevõttes toimus.
6. Ole süsteemne! Sea küberturbele kindlad eesmärgid ja mõõdikud, jälgi neid pidevalt, vii läbi küber-auditeid. Need toovad välja tegelikud probleemid, sest võib juhtuda, et ettevõttes tegeletakse hoopis valede teemadega.
Kui ettevõtte küberturvalisuse kitsaskohad asuvad kuskil mujal, mida seni pole märgatud, võib nende kuue soovituse rakendamine aidata vähemalt suuna kätte anda peidetud probleemide leidmiseks. Samas ei tasu oma küsimuste ja muredega üksi jääda, oma ala asjatundjad saavad alati tõhusamalt aidata. Selleks võta ühendust OIXIOga.
