Kui väärtuslikuks pead oma ettevõttes leiduvaid teadmisi?
Teadmised on jõud! Ettevõtte teadmised on kirjas infosüsteemis. Need teadmised peavad olema kaitstud varguse, rikkumise ja kustutamise eest – see on olnud aastaid peamine mõõdik kehtestatud turvanõuete ulatusele. Isikuandmete kaitse üldmäärus (GDPR) on toonud pildile ka ettevõtte käsutuses olevate teadmiste mõju füüsilistele isikutele. Turvameetmed ja nende ulatus sõltuvad sellest, kui väärtuslikuks juhid ettevõtte teadmisi peavad või kui suurt ohtu nende teadmiste lekkimine võib põhjustada.
Andmete turvalisus on teema, millest ei saa tänapäeval üheski eluvaldkonnas mööda vaadata. Igasse väiksemassegi vidinasse lisatakse mõni andur, mis mõõdab ja raporteerib. Kogutud andmeid on vaja süstematiseerida ja turvata. Samamoodi nagu on kasvanud andmeid koguvate seadmete arv, on kasvanud ka andmeid salvestavate, süstematiseerivate ja aruandeid koostavate süsteemide arv. Sageli ei halda neid süsteeme ettevõte ise, vaid need asuvad hoopis pilveteenuses, mis omakorda asuvad näiteks Microsofti andmekeskustes. Kirjade jaoks kasutatakse Microsoft 365 teenuses sisalduvat Exchange Online’i teenust, mis on omakorda tihedalt seotud grupitöölahendusega Teams ja dokumendihoidlaga SharePoint. Erinevad kliendihalduse lahendused on nende teenustega seotud ning asuvad ise kas Microsofti või Amazoni andmekeskustes, vahel ka privaatpilvedes. Selline hajutatud struktuur esitab suuri väljakutseid turvalisuse korraldamiseks alates süsteeme kasutavast inimesest kuni kõvakettani, kus andmed on füüsiliselt salvestatud.
Turvalisus peab olema tagatud inimese kasutatavas seadmes, võrguühenduses rakenduse serveriga, teistes seotud rakendustes, andmebaasides ja kõvaketastel. Petu- ja õngitsuskirjadega leviv pahavara võib mõjutada andmete terviklikkust igas sõlmpunktis ja kõigest vale valikuga dialoogiaknas on võimalik kõik ettevõtte väärtuslikud andmed pöördumatult hävitada. Olgu selleks hävitamiseks siis andmete kustutamine, osaline rikkumine või kõigi andmete krüpteerimine.
Kõige parem kaitse küberrünnakute eest on koolitatud töötajad, kuid kahjuks on täielikud teadmised kõikidel teemadel saavutamatu eesmärk. Seepärast on lisaks koolitamisele vaja rakendada ka tehnilisi meetmeid.
Millest alustada ettevõtte kaitsmist küberohtude eest?
Küberturvalisuse jaoks peab organisatsioon välja töötama ja sõnastama turbe standardid. Järjepidevalt on vaja hinnata küberturvalisusega seonduvaid vajadusi, riske ja riskide maandamise meetmeid.
Lahenduse väljatöötamiseks on vaja:
- välja selgitada ja analüüsida organisatsiooni vajadused,
- hinnata riske,
- hinnastada ja valida tehnoloogilised lahendused,
- töötada välja tehnoloogilised kaitsemeetmed,
- luua organisatsiooni eeskiri,
- koolitada kasutajaid,
- rakendada tehnoloogilisi meetmeid,
- protsessi järjepidevalt korrata.
Igas punktis on alajaotused, mis kätkevad palju eri tegevusi. Järgnevalt kirjeldatud meetmed on baastase, mille peab iga ettevõte turvalise IT-süsteemi jaoks saavutama. Kõik mis võimalik, tuleb automatiseerida, et lekete ja rünnete tuvastamine ning kaitsemeetmete rakendamine toimiks ega sõltuks inimesest.
Laias laastus jagatakse meetmed viieks.
Identiteet – kasutajakonto, millega andmetele ligi pääsetakse:
- kaheastmeline autentimine, mis tähendab, et lisaks salasõnale kasutatakse täiendavat seadet või PIN-i;
- üks identiteet eri rakendustes ja süsteemides. Seda on vaja halduse lihtsustamiseks ja turvapoliitikate rakendamiseks;
- automaatne identiteedi kaitse. Süsteem analüüsib infot vastavalt kasutaja käitumismustrile ja vajadusel blokeerib või nõuab lisameetmeid, kui tuvastatakse kõrvalekalle tavapärasest.
Seadmed ja rakendused – mida ja kust kohast kasutatakse:
- hallatud ja kontrollitud seadmed – seadmele määratud lubatud rakenduste koosseis; kasutaja tegevuse ulatuse piirang; ründe, kaitse ja analüütika programmid. Andmete krüpteerimine ettevõtte võtmega kaitseks kolmanda osapoole eest;
- mobiilsete seadmete korral on kaitstud rakendused ja seade keskselt hallatud. Mobiilsetes seadmetes piiratakse andmete liikumine ainult kaitstud rakenduste vahel, millele ligipääsuks on vaja eraldi autoriseerida ja mis nõuab, et seade oleks krüpteeritud;
- kasutatavate rakenduste analüüs ja automaatne rakenduste blokeerimine;
- ligipääsude piiramine, et kasutajad saaksid andmeid alla laadida ainult hallatud seadmetesse;
- teenuse ligipääsu piiramine asukohapõhiselt (nt EL-is lubatud).
Võrgud – ettevõtte võrk:
- ligipääsu autoriseerimine seadme ja kasutaja identiteediga;
- võrgus toimuva liikluse automaatne analüüsimine ja vastumeetmed rünnakute korral.
Andmed – e-kirjad, dokumendid, andmebaasid:
- andmete klassifitseerimine: millised andmed ja kus asuvad ning kes ja mil viisil neid kasutavad;
- andmete jagamise reeglid organisatsiooni sees ja organisatsioonist välja;
- andmete käitlemispoliitikad: varundus-, kustutus- ja säilituspoliitika vastavalt andmete olemusele.
Haldus, monitooring ja intsidentide käitlemine:
- kõik süsteemidesse ja rakendustesse sisenemised ja seal tehtavad muudatused peavad olema logitud;
- süsteemide haldajatel peavad olema minimaalsed õigused, mida neil läheb vaja administreerivateks tegevusteks. Õigused antakse taotlemise alusel piiratud ajaks;
- süsteemide taasteplaanid, juhuks kui toimub intsident. Peab olema läbi mõeldud, kuidas ja kui kiiresti suudetakse taastada normaalne äritegevus.
Primendis loome lahendusi inimestele, kes soovivad muuta oma ettevõtteid tulemuslikumaks. See sisaldab alati ka jätkupidevuse parameetrit, millest suure osa moodustab teadmiste/andmete turvalisus. Meie aitame IT-lahendusi välja töötada, hallata ja turvalisemaks muuta.
Artikkel ilmus kaubanduskoja ajakirja Teataja 2/2022 numbris rubriigis "KÜBERTURVALISUS"
Autor: Priit Timpson, Primend OÜ pilveteenuste arhitekt ja Toomas Mõttus, Primend OÜ tegevjuht