Kübertugi

Viimase kahe aasta jooksul on Eestis olnud palju küberintsidente, mis on ettevõtetele märkimisväärseid kahjusid toonud. Kuidas ettevõtted oleksid teadlikumad küberturvalisuse ja äririskide osas, kuidas kaitsta paremini ettevõtte andmeid, kliente ja raha? Ettevõtte juhid ja töötajad ei pea infoturbe eksperdiks hakkama ja saavad ITL-i kuuluvate ettevõtete eksperte usaldada.

Näitame kolme ettevõtte kaasuse põhjal, mil moel end kõige parem kaitsta saaks. ITL-i liikmetest koosnevad meeskonnad korraldasid heatahtlikud ründed ettevõtetele Mobire Eesti AS, Finants ja Marketing OÜ ja EstHus OÜ (loe lisaks projekti kohta).

Soovitused ettevõtjale

ITL on oma valdkonna eksperdina kokku pannud parimad praktikad tegelemaks digitaliseerimisest lähtuvate riskidega ärile. Sõltumata sellest, kas te teete mingeid tegevusi ise või tellite sisse teenusena, on nende juures oluline teatud hügieenist aru saamine. Uurige lisa ka RIA kampaania IT-vaatlik juhenditest või KKK.  

Riskijuhtimine

Riskijuhtimine on mistahes juhtimise lahutamatu osa. Digitaalsed teenused, sh kõige lihtsamad IKT kasutamise juhud, toovad ettevõttele kaasa äririske. Näiteks võib olla teie äririsk olla seotud  ettevõtte töötaja sotsiaalmeedia kontoga, millest teil aimugi pole. Sagedamini siiski on riskid seotud otsesemalt äritegevusega: 

  • Finants või personalihaldus on tihti olemas vaid digitaalsena ja selle info leke või kadumine või muutumine olulisel määral võib ettevõtet oluliselt raputada.
  • Ettevõtte meiliteenus on, loomulikult, digitaalne ning selles andmete leke on olulise mõjuga teie usaldusväärsusele, kuid ettevõtte meiliteenuse volitamata kasutus võib veenda kolleege või koostööpartnereid kaasa minema petuskeemidega, millel võivad olla hukatuslikud tagajärjed 
  • Töötajate arvutid ja telefonid või kontoris olevad printerid ja skännerid on uksed ettevõtte sisemaailma. Sõltuvalt andmetega ümberkäimise hügieenist on juba seade ise tihti väärtuslik ründeobjekt, kuna sealtkaudugi on võimalik juba kogu maailmale end esitleda kui selle arvuti tegelikku kasutajat. 
  • Tootmise juhtimise või spetsiaalse äritarkvara kasutamisel on nende ebakorrektne käitumine või üldse mitte töötamise mõju juba vast ilmsem igale ärile, kuid tasub siiski äririskina meeles pidada. 
  • Töötajate teadlikkus ettevõtte jaoks olulisest infovarast ja ohtudest peab olema pidevalt ajakohane. Info vabatahtlik jagamine vestluses, telefoni teel, sotsiaalmeedias võib käima lükata sündmuste ahela, mis peatab ettevõtte töö.  

Kõik eelpool on muidugi seotud kuritegevusega, mis on kübermaailmas rahvusvaheline ning tihti ei olegi suunatud otseselt teie vastu, vaid massilised õngitsused kasutavad ära mistahes ohvri haavatavuse.


Riske hinnates aga hinnake ka lihtsalt õnnetuse riske, mis saab, kui neid loetletud teenuseid ei saa mistahes põhjusel kasutada 1 päeva, nädala või neid sel kujul enam üldse ei saa taastada. Milline on mõju teie ärile ning mis peaks juhtuma, et need stsenaariumid realiseeruksid? 


Sealjuures on sisse ostetud teenuste juures võimalik, ITLi pakutud hea tava jõustamisel lepingutes, oluliselt vähendada teadmatusest tekkivaid riske. 

Küberhügieen

Ettevõtte riskide hindamine ning preventiivsete tegevuste tegemine peab olema rutiinne ja regulaarne. Turvalisust ei saa pikaajaliselt oodata ühekordsest projekttegevusest.  

Seetõttu planeerige regulaarseid turvakoolitusi ja õppuseid, mille korraldamise eest keegi konkreetselt peab meeskonnas hoolitsema. Leidke see isik oma ettevõttes! Varieerige harjutusi ja teemasid – see hoiab värskust ja tähelepanu. 

Leppige kokku ja pange kirja, mis on see hügieenitase, mis teie ettevõttes on vajalik, et suurimad ärikahjud saaksid ära hoitud (mis andmeid ja kui tihti peab kuskile talletama, milliseid andmeid justnimelt ei tohi näiteks oma arvutis talletada jne). Õpetage seda hügieeni ka kõigile uutele töötajatele – see, mis teile tundub tavapärane, ei pruugi uuele töötajale selge olla!


1. VÄHEMALT kord aastas kohustuslik teadmiste värskendus ja kontroll

  • Efektiivsem on teha “koolitusampsusid” ehk pidevalt iga paari nädala tagant 3-5-minutiline väike koolitusamps mingil teemal. Aasta-pooleteisega käib ringi peale ja siis uuesti. 
  • Koolitusampsude juurde sobib hästi ka taustal aeg-ajalt käiv phishing-test – kui valel lingil klikid, saad uuesti koolitusele minna. See hoiab inimest kogu aeg valvsana ja igasugu linke kahltustava pilguga vaatamas. 

2. Kirjas on asjad, mida väljaspool ettevõtet ei räägita

3. Kirjas on keskkonnad, kus ettevõtte siseinfo võib olla kirjas

4. Kokku on lepitud raha käsitsemise põhimõtted 

  • Ei tee ülekandeid võõrastele kontonumbritele (ainult lepingus sätestatud numbritele) 
  • Teatud summast alates on mitme silmapaari printsiip 
  • On väga okei (isegi soovituslik) mingite kiireloomuliste soovide puhul juhtkonnalt (näiteks “kanna kähku sinna raha üle, jube oluline teema”) teist kanalit kasutades selline soov üle kinnitada 

5. Paroolide kasutamise põhimõtted (korduvad paroolid, tugevad paroolid jne) 

6. Kriitiliste infosüsteemide loetelu (kuhu võiks ligipääs olla ainult MFA-ga) 

Testimine

Aeg-ajalt on ikkagi hea ka kontrollida, kas kokkulepped peavad ning kas midagi on kahe silma vahele jäänud. See ei tähenda sugugi alati kalli väliseksperdi palkamist, kuid see ei ole ka kuidagi halb mõte. Ise saab palju ära teha, kui spetsiifiliste kokkulepete osas kolleegidelt mõni kord aru pärida – see ei ole rünnak, vaid vastutustundlik käitumine. 

Eestis on samas loomulikult olemas heal tasemel eksperte, kes aitavad ka testida, millistele riskidele ettevõte on avatud. Osatakse testida nii tehnosüsteeme kui ka praktiliste harjutustega ettevõtte otsustuprotsesside toimivust. 

Kriisijuhtimine

Kuigi meie kõigi pingutused on suunatud õnnetuste ja rünnete ennetamisele ning keegi ei soovi nende realiseerumist, siis vastutustundlik on luua ka ettevõttes suurusele ja riskidele vastav kriisiplaan.

Igaühel peab olema selge, mida ette võtta, kui tal on tunne, et ettevõtte jätkusuutlik toimimine on või võib olla ohus. Sellel hetkel on vaja infot jagada kiiresti, täpselt ning nende osapooltega, kellega vaja. Selleks peab kokku leppima, kuidas ja keda teavitatakse ning peab olema tagatud turvalisus, et teavitaja ei saa nuheldud teavitamise eest ja ka mitte teavitamisega hilinemise eest, vaid info ohtude osas on teretulnud ning aitab kaasa paremale homsele.

Hea kriisijuhtimise kokkulepe sisaldab vähemalt järgmist:

  • Kellele tuleb juhtumist teavitada
  • Kes juhib kriisi lahendamist
  • Kes ja mil moel on kriisi ajal kättesaadav ning mis on talle ootused
  • Kuidas hoitakse kursis töötajaid, partnereid, kliente, avalikkust kriisi ajal operatiivselt
  • Millised tavaolukorra kokkulepped võib kriisi ajal unustada ning milliseid kindlasti mitte
Head tavad, mille jälgimist teenusepakkujalt nõuda  

ITL on loonud „Hea Tava“ olulisemate teenuse gruppide jaoks, et ettevõtjad ei peaks igaüks omaette nuputama, millised on „mõistlikud ootused“ teenusele. Paljud neist tavadest ei pruugi olla arusaadavad teises sektoris toimetavale ettevõtjale, ent nende järgimise nõudmine koostööpartnerilt või oma IKT valdkonna töötajalt võiks aidata suuremaid hädasid ja vaidlusi vastutuste osas vältida.

Need tavad on kirja pandud IKT-sektori poolt eneseregulatsiooni eesmärgiga ütlemaks klientidele, et me teame, mida teeme ning võtame vastutuse tehtu eest. 

Eksperdid, kes aitavad küberturvalisuse alaseid küsimusi lahendada, leiate siit:

Videote tootmist rahastas Euroopa Regionaalarengu Fond Eesti IKT klaster projekti raames.