Sageli arvatakse, et kui arvutitele on paigaldatud korralik viirusetõrje ja tulemüür, siis on see piisav, et ettevõtte küberturvalisus oleks tagatud. Kahjuks näeme sageli, et nii see ei ole, sest küberturvalisuse puhul mängib alati rolli veel üks faktor – ettevõtte töötajad, kes puhtast teadmatusest võivad teha ühe vale liigutuse ja sellega oma organisatsioonile palju kahju tekitada.
Viiruste, pahavara ja õngitsuskirjade eest ei ole kaitstud keegi. Õngitsejate jaoks on ühtemoodi atraktiivsed nii üksikisikud, väikeettevõtjad kui ka suurettevõtte töötajad. Halvim, mis juhtuda saab, on see, kui ühel heal päeval on klientide andmed lekkinud laia internetti või failide vastu nõutakse kopsakat lunaraha. Iga päev saadetakse välja miljoneid õngitsuskirju ja kahjuks lähevad paljud inimesed nende õnge. Seepärast on hästi oluline oma ettevõtte töötajaid harida, et nad oskaks ära tunda, millised on potentsiaalsed ohud virtuaalses maailmas.
Küberteemad on olulised ka kaugtöö kontekstis, sest selles olukorras on tööandjal väiksem kontroll töötaja virtuaaltöökoha üle. Nii võibki juhtuda, et kahju on selleks ajaks juba üsna suur, kui probleemile jälile jõutakse.
Näide elust enesest
Toome siin ühe tõestisündinud näite elust enesest, osapoolte kaitseks me nimesid ei nimeta. Mõni aeg tagasi saadeti ühe ettevõtte töötajatele klassikaline õngitsuskiri. Ettevõtte müügijuht avas kirja ja klikkis pahaaimamatult õngitsuskirjas olnud veebilehele, kuhu sisestas oma Office 365 kasutajanime ja parooli. Tänu sellele pääses kurikael ligi müügijuhi e-postkastile, samuti sai ta ligi kõigile pilves asuvatele failidele.
Sisuliselt avanes õngitsejale kogu müügijuhi postkastis olev kirjavahetus. Leidnud sealt klientide andmed, saatis pahalane müügijuhi nimel klientidele välja arved koos muudetud pangarekvisiitidega. Selle õnge läks omakorda üks koostööpartner, kes tasuski arve, sest pealtnäha oli tegemist tavalise kaubaarvega.
Lisaks leidis õngitseja postkastist ettevõtte suure turunduskampaaniaga seotud Exceli tabeli, kus olid kirjas tuhande kliendi ja koostööpartneri isikuandmed. Pahalane asus ettevõttelt krüptovaluutas raha välja pressima, ähvardades andmed lekitada. Müügijuhi survestamiseks krüpteeris ta ka mõningad ettevõttele olulised pilves olnud failid…
Õnneks jagus siinkohal müügijuhil piisavalt tarkust, et aru saada, et miski on valesti. Ta pöördus IT-partneri poole ja mis selgus:
- – pahalane oli kopeerinud endale kogu müügijuhi postkasti sisu, lisaks suunanud koopia uutest e-kirjadest oma postkasti
- – õngitseja oli müügijuhi nime alt klientidele välja saatnud hulgaliselt valearveid ja muid õngitsuskirju
- – lisaks oli ta jõudnud endale kopeerida suure osa pilves olnud ettevõtte dokumentidest.
Koos IT-spetsialistiga suudeti krüpteeritud failid taastada ja pahalasest vabaneda. Olukord oleks aga olnud välditav, kui:
- – ettevõttel oleks olnud kasutuses korralik e-posti filter
- – kasutatud oleks kaheastmelist autentimist
- – isikuandmete hoidmist oleks ettevõtte tasandil reguleeritud rangemalt
- – müügijuht oleks läbinud IT turvalisuse koolituse.
Nagu näha, võib üheainsa töötaja eksimus ettevõttele kaasa tuua parasjagu peavalu. Seepärast ütleme alati oma klientidele, et kõige parem viis küberohtude vältimiseks ja ennetamiseks on oma töötajaid sel teemal harida.
Üks võimalus selleks on saata oma töötajad küberturvalisuse koolitusele. Omalt poolt soovitame näiteks Äripäeva e-koolitust Küberturvalisus kontoritöötajale, mille käigus saavad töötajad palju kasulikku infot, kuidas veebis varitsevaid ohte ära tunda ja neist eemale hoida. Samuti räägitakse koolitusel, kuidas luua turvalist salasõna, andmevahetust korraldada ning ka seda, millised ohud kaasnevad kaugtööga.
Ettevõtte küberhügieen koosneb kolmest suuremast temaatikast – üks osa sellest on kõikvõimalikud tööriistad nagu tulemüürid, viirusetõrjed jne. Teine osa on reeglid ja juhised. Ja kõige olulisem osa IT-turvalisusest on ettevõtte inimressurss ehk töötajad ja nende käitumine veebis. Küberturvalisuse tagamiseks tuleb ohtude teadvustamisega tegeleda juba enne võimalike küberrünnakute toimumist. Samuti on oluline ettevõtte sees kokku leppida, mis saab siis kui keegi avastab mõne potentsiaalse õngitsuskirja või turvaprobleemi ja keda sellises olukorras teavitama peab.
Aitame muuta Sinu ettevõtte virtuaalse töökeskkonna turvalisemaks
Greip IT tegutseb terves Baltikumis. Meie klientideks on eelkõige keskmised ja suurettevõtted, kellele pakume mitmesuguseid IT-teenuseid, alustades haldusest ja IT-juhtimisest, lõpetades turva- ja pilvelahendustega.
Oleme korduvalt näinud, millist kahju võivad tekitada turvaaugud ja andmelekked. Aitame muuta Sinu ettevõtte virtuaalse töökeskkonna turvalisemaks. Vaatame üle ettevõtte protsessid, tuvastame turvalisuse murekohad ning leiame lahendused, et küberturvalisus oleks tagatud.
Võta ühendust:
Tarmo Saar
tarmo.saar@greip.ee