Riigi infosüsteemi ameti (RIA ) infoturbeekspert Joosep Sander Juhanson tõi välja neli soovitust firmajuhtidele küberrünnakute ennetamiseks.
küberrünnakute arv Eestis kasvab ja küberkurjategijad kimbutavad kohalikke ettevõtteid iga päev – ühtlasi muutuvad kurjategijad aina kavalamaks, mis eeldab ettevõtjatelt enda töötajate, vara ja maine kaitsmiseks üha suuremat tähelepanu.
Soovitus number üks. Pööra tähelepanu enda ja kolleegide küberhügieenile.
Levinud on arusaam, et küberturvalisuse tagamine on IT-osakonna või teenusepakkuja ülesanne. Juhansoni sõnul on selline suhtumine aga ohtlik, sest juhib eemale vastutuse. Iga inimese panus ettevõtte küberhügieeni parendamisse on oluline. Erandiks pole ka firma juhtkonna liikmed, kelle hoiakud aitavad kujundada organisatsioonikultuuri. Ühe inimese hooletu suhtumise tõttu võib kahju kanda terve ettevõte ja selle kollektiiv.
“Firma küberturvalisus sõltub igast töötajast. Sellest, kas nad kontrollivad tähelepanelikult kirja saatja nime ja meiliaadressi, rakendavad mitmeastmelist autentimist meilikontodel, hoolitsevad oma paroolide ja arvutite tarkvara uuendamise eest,” ütles Juhanson ja lisas, et tõenäosus kanda küberrünnaku käigus rahalist või mainekahju väheneb oluliselt, kui ettevõtted pööravad töötajaskonna isiklikule küberhügieenile tähelepanu.
Soovitus number kaks. Tea, millist riist- ja tarkvara sinu ettevõte kasutab.
Usaldusväärsed teenusepakkujad arendavad enda riist- ja tarkvara kasutajamugavuse või turvalisuse parendamiseks pidevalt. Juhanson märkis, et ettevõtete igapäevatöö on valdavalt kolinud arvutitesse. Firmad kasutavad erinevaid programme, alustades kliendihaldusprogrammidest ja müügi- ning majandustarkvarast ning lõpetades raamatupidamistarkvaraga. Seetõttu on sagedased ka märguanded, et üks või teine programm on uuenenud. Paraku jääb värskendus sageli tegemata.
“Levinud on suhtumine, et uuendus eest ära ei jookse. Ei mõisteta, et värskenduse edasilükkamisega antakse küberkurjategijale võimalus ning aeg pahategu planeerida,” selgitas Juhanson ja soovitas ettevõtetel valida välja inimesed, kelle ülesanne on jälgida, et töötajate programmid ja arvutid oleksid alati uuendatud.
Samuti tuleks hankida täpne ülevaade programmidest ja arvutitest, mida meeskond tööks kasutab.
Soovitus number kolm. Tea, millistel töötajatel on ligipääsuõigused andmetele.
Infoühiskonnas on andmed ettevõtetele väärtuslikumad kui iial varem. Seda teavad ka küberkurjategijad, kes otsivad pidevalt uusi võimalusi turvaaukude avastamiseks firmade infosüsteemides ja soovivad kätte saadud andmed võimalikult kiiresti rahaks teha.
“Ettevõttes peab olema selgelt teada, kellel on ligipääsuõigused erinevatele andmetele – olgu nendeks kliendiandmed, finantsandmed või muud tüüpi andmed,” rõhutas Juhanson ning lisas, et igas ettevõttes peaksid olema kehtestatud ka reeglid, kuidas andmetega ümber käia, neid hoida ja andmelekke korral toimida. “Selgete protseduurireeglite omamine aitab küberrünnakuid ennetada ja nende ilmnemisel probleemile kiiremini lahendus leida.”
Kindlasti tuleb Juhansoni sõnul veenduda, et töökohta vahetanud inimeste ligipääs andmetele peatatakse. Vastasel korral varitseb oht ettevõtet kohast, kus kiiresti reageerimiseks jäävad käed lühikeseks.
Soovitus number neli. Hari enda meeskonda levinumate küberrünnakute teemal.
Ettevõtte küberturvalisus saab alguse ennetustööst. Tegelemine ennetusega on märgatavalt otstarbekam kui küberrünnaku tagajärgede likvideerimine. Juhanson sõnas, et peamised Eesti ettevõtetele rahalist kahju toovad küberintsidentid – tegevjuhte matkivad petuskeemid, arvepettused ja lunavararünnakud – on küberteadliku inimese jaoks üldiselt tuvastatavad.
“Loomulikult leidub ka väga professionaalseid kurjategijaid, kes suudavad enda tegevust suurepäraselt varjata, kuid suurt hulka küberrünnakutest on võimalik siiski ära hoida,” märkis Junanson ja julgustas ettevõtjaid otsima võimalusi töötajate küberteadlikkuse tõstmiseks, sest asjatundmatul reageerimisel võivad küberrünnakud seisata terve firma tegevuse. “Levinumate küberrünnakute tundmine võib ettevõtet säästa kümnetesse tuhandetesse eurodesse ulatuvastest väljaminekutest küberkurjategijale. Koolitusi ja infomaterjale, mis aitavad küberhügieeni kasvatada, on palju. Hea võimalus küberruumiga tutvuse sobitamiseks on uurida veebilehekülge www.itvaatlik.ee.”
Juhanson lisas, et väga tähtis töötajate teadlikkus sellest, kuhu küberjuhtumitest teada anda. Küberintsidendist saab teada anda aadressil cert@cert.ee või täites ankeedi leheküljel www.raport.cert.ee