Neli soovitust ettevõtjale kuidas ennetada küberrünnakuid
Küberrünnakute arv Eestis kasvab ja küberkurjategijad kimbutavad kohalikke ettevõtteid iga päev. Ühtlasi muutuvad kurjategijad aina kavalamaks, mis eeldab ettevõtjatelt enda töötajate, vara ja maine kaitsmiseks üha suuremat tähelepanu.
Riigi Infosüsteemi Ameti infoturbe ekspert Joosep Sander Juhanson tõi välja neli soovitust firmajuhtidele küberrünnakute ennetamiseks.
Soovitus number üks. Pööra tähelepanu enda ja kolleegide küberhügieenile
Levinud on arusaam, et küberturvalisuse tagamine on IT-osakonna või teenusepakkuja ülesanne. Juhansoni sõnul on selline suhtumine ohtlik, sest juhib eemale vastutuse. Iga inimese panus ettevõtte küberhügieeni parendamisse on oluline. Erandiks pole ka firma juhtkonna liikmed, kelle hoiakud aitavad kujundada organisatsioonikultuuri. Ühe inimese hooletu suhtumise tõttu võib kahju kanda terve ettevõte ja selle kollektiiv. “Firma küberturvalisus sõltub igast töötajast. Sellest, kas nad kontrollivad tähelepanelikult kirja saatja nime ja meiliaadressi, rakendavad mitmeastmelist autentimist meilikontodel, hoolitsevad oma paroolide ja arvutite tarkvara uuendamise eest,” ütleb Juhanson. Ta rõhutab, et tõenäosus kanda küberrünnaku käigus rahalist või mainekahju väheneb oluliselt, kui ettevõtted pööravad töötajaskonna isiklikule küberhügieenile tähelepanu.
Soovitus number kaks. Tea, millist riist- ja tarkvara sinu ettevõte kasutab
Usaldusväärsed teenusepakkujad arendavad enda riist- ja tarkvara kasutajamugavuse või turvalisuse parendamiseks pidevalt. RIA infoturbe ekspert sõnab, et täna on enamik ettevõtete igapäevasest tööst kolinud arvutitesse. Firmad kasutavad erinevaid programme, alustades kliendihaldusprogrammidest ja müügi- ning majandustarkvarast ning lõpetades raamatupidamistarkvaraga. Seetõttu on sagedased ka märguanded, et üks või teine programm on uuenenud. Paraku jääb värskendus sageli tegemata. “Levinud on suhtumine, et uuendus eest ära ei jookse. Ei mõisteta, et värskenduse edasilükkamisega antakse küberkurjategijale võimalus ning aeg pahategu planeerida,” ütleb ta. Ta soovitab ettevõtetes määrata inimesed, kelle ülesanne on jälgida, et töötajate programmid ja arvutid oleksid alati uuendatud. Samuti hankida täpne ülevaade programmidest ja arvutitest, mida meeskond tööks kasutab.
Soovitus number kolm. Tea, millistel töötajatel on ligipääsuõigused andmetele
Infoühiskonnas on andmed ettevõtetele väärtuslikumad kui iial varem. Seda teavad ka küberkurjategijad, kes otsivad pidevalt uusi võimalusi turvaaukude avastamiseks firmade infosüsteemides ja soovivad kätte saadud andmed võimalikult kiiresti rahaks teha. “Ettevõttes peab olema selgelt teada, kellel on ligipääsuõigused erinevatele andmetele – olgu nendeks kliendiandmed, finantsandmed või muud tüüpi andmed,” rõhutab Juhanson. Ta lisab, et igas ettevõttes peaksid olema kehtestatud ka reeglid, kuidas andmetega ümber käia, neid hoida ja andmelekke korral toimida. “Selgete protseduurireeglite omamine aitab küberrünnakuid ennetada ja nende ilmnemisel probleemile kiiremini lahendus leida,” sõnab Juhanson. Kindlasti tuleb veenduda, et töökohta vahetanud inimeste ligipääs andmetele peatatakse. Vastasel korral varitseb oht ettevõtet kohast, kus kiiresti reageerimiseks jäävad käed lühikeseks.
Soovitus number neli. Hari enda meeskonda levinumate küberrünnakute teemal
Ettevõtte küberturvalisus saab alguse ennetustööst. Tegelemine ennetusega on märgatavalt otstarbekam kui küberrünnaku tagajärgede likvideerimine. Juhanson sõnab, et peamised Eesti ettevõtetele rahalist kahju toovad küberintsidentid – tegevjuhte matkivad petuskeemid, arvepettused ja lunavararünnakud – on küberteadliku inimese jaoks üldiselt tuvastatavad. “Loomulikult leidub ka väga professionaalseid kurjategijaid, kes suudavad enda tegevust suurepäraselt varjata, kuid suurt hulka küberrünnakutest on võimalik siiski ära hoida,” ütleb infoturbe ekspert. Ta julgustab ettevõtjaid otsima võimalusi töötajate küberteadlikkuse tõstmiseks, sest asjatundmatul reageerimisel võivad küberrünnakud seisata terve firma tegevuse. “Levinumate küberrünnakute tundmine võib ettevõtet säästa kümnetesse tuhandetesse eurodesse ulatuvastest väljaminekutest küberkurjategijale. Koolitusi ja infomaterjale, mis aitavad küberhügieeni kasvatada, on palju. Hea võimalus küberruumiga tutvuse sobitamiseks on uurida veebilehekülge www.itvaatlik.ee,” soovitab Juhanson. Ta lisab, et väga tähtis on seegi, et ettevõtte töötajad teaksid, kuhu küberjuhtumitest teada anda, et probleem saaks võimalikult kiire lahenduse. Küberintsidendist saab teada anda aadressil cert@cert.ee või täites ankeedi www.raport.cert.ee.
Teema: Küberturvalisus