Kuidas Tartu Tamme Gümnaasium endale küberturbeauditi tellis

„Kogu küberturveauditi protsess on olnud hästi meeldiv ja tore ning see tulem on olnud enam, kui me oskasime küsida. Me ei teadnud täpselt, kui me sinna sisse sukeldume, et mis me sealt saame väljundina, aga see üllatas meid positiivselt,“ räägib Tartu tamme Gümnaasiumi IT-juht Mathias Mõttus.Shutterstock

2020. aasta alguses oli Tartu Tamme Gümnaasiumi juhtkond jõudnud arusaamani, et koolil oleks vaja infoturbedokumenti, mis sisaldaks ülevaadet kooli küberkaitstuse hetke taseme kohta. Koolis pole suurt IT-osakonda, vaid üks IT-juht ja juhtkond, ning kõik osapooled soovivad kindlustunnet, et nad on oma tööd hästi tegemas. 

Tartu Tamme Gümnaasiumi IT-juht Mathias Mõttus, kes töötab seal juba 2015. aastast, selgitab: „Ka mina IT-juhina tahan teada, et kasutan oma töös parimaid praktikaid, olen õiges tasakaalus mugavuse ja turvalisuse kiigel, ning juhtkond omakorda vajab kindlustunnet, et inimest kelle nad on palganud, saab jäägitult usaldada, teeb õiget asja ja tüürib õiges suunas.“

Otsiti sobivat partnerit

Hakati otsima partnerit, kes aitaks luua täpsemat selgust, kas koolil on vaja infoturbedokumenti, auditit, ISKE raamistiku rakendamist või hoopis midagi muud ja kellelegi ei olnud pädevust seda vajadust täpsemalt hinnata. Suheldi paljude riigigümnaasiumite IT-juhtidega ja selgus, et huvi on väga suur, aga keegi polnud veel pretsedenti loonud. „Saime ka mõned hinnapakkumised, aga kuna puudus selge arusaam, mida me tahame, siis nii see ka mõneks ajaks jäi“ lisab Mõttus. 

„OIXIO pakkumine tundus meile nagu rusikas silmaauku, sest olime midagi sellist otsinud ja pakutud lahendus tundus algusest peale päris selge,” selgitab Mõttus. Tema sõnul on paketid OIXIO kodulehel väga hästi välja töötatud, mistõttu oli lihtne aru saada, mida see sisaldab. “Nüüd oli vaja lihtsalt selgeks teha, et kas juhtkond on valmis selle ära kinnitama,” lisab Mathias Mõttus.

Selgus, et hinna-kvaliteedi suhe oli täpselt paigas ja sobis aasta varem eelarvestatuga. Tamme Gümnaasium otsustas auditiga alustada. „Kogu see protsess on olnud hästi meeldiv ja tore ning see tulem on olnud enam, kui me oskasime küsida. Me ei teadnud täpselt, kui me sinna sisse sukeldume, et mis me sealt saame väljundina, aga see üllatas meid positiivselt,“ räägib ta. 

Algas taustatöö

Peale juhtkonna nõusolekut auditi läbiviimise kohta algas taustatöö. Esimesena viidi läbi intervjuud ja seletati lahti raamistik, mille põhjal audit toimub. Edasi toimus kirjalik küsimuste ja vastuste voor, kus uuriti struktuursete punktidega sisendit ja gümnaasiumi töötajad andsid omapoolsed vastused. See sisaldas nii ligipääse, infot olemasolevate dokumentide kohta, näiteks võrgu kaardistus ja erinevate süsteemide kasutamise kohta, viirustõrje haldus tarkvara küsimused ja kõikvõimalik muu taoline. 

Mõttuse sõnul selgitas kool OIXIO-le, mida, miks ja kuidas nad kasutavad ja andsid vajaliku ligipääsu, et koostööpartner saaks asja lähemalt vaadata. 

“Tegelikult toimus see ülejäänud protsess peale intervjuud üsnagi taustal. Mina koguaeg umbes teadsin, mis toimub, sest me panime omapoolse arvuti koolis käima, mille toimetamist oli kaughalduse kaudu võimalik jälgida. Teadsin, kui tihti ja kuidas, OIXIO töötajad seal toimetasid. Selle koha pealt ma saangi kiita ja öelda, et tegelikult panustati sellesse auditeerimisprotsessi kõvasti aega.“ lisab Mõttus.

Hetkeolukorra üldpilt on hea

„Auditi tulemusena saime kinnitust, et hetkeolukorra üldpilt on üsna hea,” räägib Mõttus. Lisaks sai kool ka tema sõnul konkreetse nimekirja, mida üle käia ja parendada. See nimekiri käsitles kõikvõimalikke potentsiaalseid turvariske ja ohte ning muudatussoovitusi, mis käidi üksipulgi koos juhtkonnaga läbi.

“Mõne koha peal me teadvustasime riski ja võtsime nii-öelda teadliku otsuse, et see on nüüd see koht, kus on mugavuse ja turvalisuse kiik ja me tahame hoida oma süsteemi niivõrd lihtsana, et see näiline turvalisus ei hakkas liiga palju domineerima,” selgitab Mõttus. 

“Ma toon näite siin paroolipoliitikast. Kui parooli peab vahetama iga kuu ja see peab olema niivõrd unikaalne ja nii pikk, et see ei jää kellelegi meelde, siis tekib omakorda lisa turvaauke,” nendib ta.

Mõttuse sõnul leiti väga palju kohti mida hakatakse või on juba korda tehtud ja parandatud. “Saime aru, et õpetajate toas on avalikud arvutid, kuhu jääb konfidentsiaalseid jäänukeid – prinditavad kontrolltööde failid, millele võivad õpilased, kes aeg-ajalt ruumis käivad, ligi pääseda,” toob ta lihtsa näite. 

“Peatselt oleme kinnitamas infoturbedokumenti, mille põhja OIXIO meile tootis ning lisaks on meil tulemina olemas selline võrgu kaardistus, mis on visuaalselt parem kui enne ja mitmesuguseid abimaterjalid veel, et meil tekkis tööriistakast,“ räägib Mõttus. 

Soovitused neile, kes alles mõtlevad auditist

„Juhi vastutus igas ettevõttes on väga suur ja igal juhul tasub oma vastutust mõistlikes piirides hajutada ning see on üks paremaid viise, kuidas seda väga tervislikult hajutada. Nii on sul juhina kontroll ja ülevaade ning samas mõistliku hinna eest see turvatunne, mida sa vajad,” kirjeldab Mõttus.

Tema sõnul tundub see lihtsalt mõistlik asi mida teha, et mitte näha IKT-d, kui mingit patsiga poissi, kes arvuteid vahepeal kruvivad, vaid näha seda kui ärisüsteemi lahutamatut osa. “Olgu siis kool või äriühing, see on nii läbiv teema,” lisab ta. 

“Kui me infoturbele tähelepanu ei pööra ja teame, et inimene on alati kõige nõrgem lüli, siis jäävad meil märkamata need inimlikud aspektid, kus tekivad hästi suured turvaaugud ja lõpuks tekib äriline, rahaline ja mainekahju. See otsus on hästi ratsionaalne.“ räägib Mõttus. 

„Juhina soovitaks kõikidele teistele koolidele auditi tegemist ja rõõmuga jagan ka meie kogemust. See on auasi, et selline võimalus on olnud. Me püüame Tamme Gümnaasiumis olla läbipaistva ja ausa kultuuri kandjad ning selline audit aitab kõvasti kaasa,“ kommenteerib olukorda Tamme gümnaasiumi direktor Ain Tõnisson. 

„Kui nõnda mõelda ja toimetada siis ei ole mitte midagi karta, sest juhtide huvi võiks ju alati olla see, et ettevõte oleks läbipaistev ning siis on küberturbeauditist ainult võita,” lisab Tamme Gümnaasiumi IT-juht Mathias Mõttus.

OIXIO nautis ladusat koostööd

OIXIO küberturbejuht Andres Vallistu sõnab, et Koostöö Tartu Tamme Gümnaasiumiga küberturbeauditi teostamisel oli väga ladus. “Oluline on, et kliendipoolne kontakt oleks koostöövalmis ja toetaks meid erinevates auditi etappides,” räägib Vallistu üksteise usaldamise olulisusest. 

“Kliendi poolt oli meil vastas Mathias Mõttus, kes oli turvateadlik ja oskas turbeteemade osas kaasa rääkida ja jagas meile vajalikku lisainfot, mis oli auditi edukaks läbiviimiseks vajalik,” jätkub Vallistul Tamme Gümnaasiumi IT-juhi kohta vaid kiidusõnu. OIXIO küberturbejuht räägib, et mida koostööaltim on klient, mida rohkem olulist teavet meiega jagatakse, seda operatiivsemalt saame meie tegutseda ja seda suurema väärtuse loob ka auditi lõpptulemus.

Auditi tulemusel selgus, et Tartu Tamme Gümnaasiumi küberturbe küpsustase on üle „keskmise“ hea, turbeteemad on olnud varasemalt tähtsal kohal, kooli juhtkond peab küberturvalisust oluliseks ja vastutus on paigas. Nüüd on olemas ka konkreetne tegevuskava veel eksisteerivate puuduste kõrvaldamiseks.

Märksõnad: , ,

Populaarsed lood

Viimati lisatud

Vaata kõiki artikleid

Sisuturundus

Populaarsed lood mujal Geeniuses

Kord nädalas

Ärigeeniuse uudised sinu postkastis

Ärigeeniuse uudiskiri toob sinuni valiku nädala olulisematest äriteemadest, põnevad persoonilood ja ekspertide soovitused.