Andmeturbe määrab töötaja, kuid vastutab juht

Lauri Levo 20. aprill 2004, 00:00

- Marko Müürisepp: See on iga inimese vaba valik, kas ta jätab mobiili autosse nähtavale ja läheb ise poodi või jätab rõdu akna lahti, kuigi elab esimesel korrusel. Ka ettevõtetes on erinevaid kultuure. Kui firma kaevab kraave ja eriti konkurentsi selles äris ei ole, siis polegi turvalisuse tagamine nii tähtis. Teisest küljest on jälle ettevõttel, kes teeb infotehnoloogilisi lahendusi, vaja olla turvalises keskkonnas. Samas on ettevõtte töötaja arvuti turvalisuse tagamine sama elementaarne kui töölt lahkumisel kontoriukse sulgemine.

- Indrek Arro: Mõni jätabki auto uksed lahti ja paneeli ette, kui ise sõiduki juurest eemale läheb. Kõik oleneb sellest, kas sul on, mille pärast muretseda. Kui arvutis midagi olulist pole ning oled nõus laskma viiruse enda masinasse, siis on see oma valik.

- Oleg Shvaikovsky: Toon paralleeli ? mina kui perekonna liige. Minu valida peaks olema, kas teen gripisüsti sügisel või ei tee. Kui teen, siis laste ja abikaasa haigestumise oht on tunduvalt väiksem. Kui autosse nähtavale jäetud mobiilis on ettevõttele sensitiivsed andmed, siis on kohus tagada turvalisus.

- Shvaikovsky: Seda peaks tagama konkreetsete ettevõtete tasandil. Näiteks kui ettevõttes on teada, et Shvaikovsky arvutis on firmale sensitiivsed andmed, peab ta arvuti vastama teatud turvanõuetele. Tänapäeval on see üks osa firma sisereeglitest.

- Müürisepp: Seaduslikul tasemel pole seda vaja tagada. Sama oleks siis nõue, et kõik lukustaksid oma uksed. Nõustun, et see on iga ettevõtte mure. Tegelikult peaks see sõltuma ka ettevõtte tegevusest, kui sügavale need turvanõuded lähevad. Mõnel peavad need olema rangemad kui teisel.

- Müürisepp: See hakkab juhist pihta. Lõppvastutaja on ettevõtte juht, see on samasugune nagu igasuguse vara säilimisega. Juht peab vastutama, et töötaja kätte antud mittemateriaalsed vahendid säiliksid ja oleksid turvatud.

- Arro: Täpselt sama on ohutustehnikaga. Juht peab vastutama inimeste tervise eest, tagama neile vastava koolituse, instrueerimise, täitma vastavad paberid. Arvutiturvalisus langeb samasse kategooriasse. Lõppkasutaja täidab mingeid paika pandud protseduurireegleid. Juhul kui midagi ikka juhtub, on alati võimalik reguleerida nõudeid.

- Shvaikovsky: Ettevõtte juht vastutab, küll ei saa ta ise tegeleda selle tagamisega. Tema delegeerib teistele arvuti turvalisuse tagamise ülesandeid, kusjuures IT-juht pole sugugi ainus juht, kes peab sellega tegelema. Arvutiturvalisusel on mitu aspekti. Näiteks pole IT-juhi taga, et töötaja ei kirjutaks paroole paberile ega kleebiks neid monitori külge.

- Müürisepp: Eraisikuna ei oskagi öelda, kui palju raha info turvalisusele kulutan. Meie ettevõttes sõltub info turvalisus klientide nõuetest. Mõnel kliendil on karmimad ja mõnel pehmemad nõuded. Lisaks seab see meie üldistele turvanõuetele omad reeglid. Rahaliselt ei oska öelda, sest kõik infrastruktuurilised lahendused, mida kasutame, sisaldavad turvakomponente. Turvalisus pole üldse infotehnoloogiline asi. See on ikkagi ettevõtte üldise turvakontseptsiooni osa, kuhu kuulub ka näiteks see, et sa ei räägi oma paroolidest teistele.

- Arro: Kas kulutuseks pidada seda, kui näiteks MicroLinkist ostetakse arvuti, siis sel on juba kaasas mingi turvalisust tagav tarkvara. Kindlasti on see kulutus, aga seda pole võimalik välja tuua. Aega kulutan siis, kui laen internetist alla tulemüüri, aga otseseid rahalisi väljaminekuid küll pole.

- Shvaikovsky: Siin on kaks küsimust, kui palju kulutan ja kui palju tuleb kulutada. Kehtib kuldreegel: turvalisuse peale pead kulutama nii palju raha, et tagad mudeli, kus andmete kättesaamine maksab rohkem kui andmed ise. Peab tagama selle, et minu väärtasjad on seifis, mille lahtitegemine maksab rohkem kui need asjad ise. Kui olen selle taganud, ei hakkagi keegi seda lahti tegema. Ja seda põhimõtet turvas tuleb alati jälgida.

- Müürisepp: Kõik asjad tulevad õppimise kaudu. Ettevõtte sisekultuuri ja koolituse arendamine on need momendid, kus seda turvalisust saab tõsta ja kokkuvõttes ettevõttele odavamaks teha.

- Arro: Teisiti ei saa, kui läbi koolituse, info jagamise. Hea õppetund on alati see, kui firmas midagi on juhtunud ja seeläbi on kannatatud, siis ka töötajad näevad, hakkavad reaalselt ette kujutama. Kui midagi juhtunud pole, siis inimesed ei oskagi karta. Reatöötaja, kes on huvitatud vaid palga kättesaamisest, ei huvitu turvalisuse tagamisest, samas kui firma juhtkond mõistab probleemide tõsidust.

- Shvaikovsky: Tuleb kommunikeerida reegleid läbi koolituste ja seminaride. Juhtumite analüüs ja nende seletamine töötajatele. Kui sarnases ettevõttes mingi juhtum on olnud, tuleb seda ka oma töötajatele tutvustada ja midagi ette võtta, et selline asi meie juures ei juhtuks.

- Müürisepp: Paljudes ettevõtetes ongi keelud. Suurtes rahvusvahelistes korporatsioonides on ära määratud, millistele veebilehtedele töötajad saavad minna. Need keelud on turvalisuse pärast.

- Arro: See ei ole kindlasti hea. On firmasid, kus konkreetne töötaja on otseselt seotud tema poolt tekitatava käibe ja kasumiga. Ta toodab ettevõttele raha. Niisugusele isikule ei tohiks rakendada mingeid keelde, sest tema tegemine või tegemata jätmine otseselt väljendab seda numbrit, mida ta genereerib. Samas on firmasid, kus on võimalik niimoodi tööd teha, et sa sisuliselt istud ja täidad mingit toimingut. Kas sa teed seda hästi, halvasti, kiirelt või aeglaselt, siin on vaja juba teistsuguseid reegleid. Sõltub ettevõttest ja inimeste tasustamise viisist. Kui oled suurettevõtte juht ja sul on sadu alluvaid, on neid päris raske kontrollida, mida nad oma arvutis teevad. Juhi eesmärk on ikkagi jälgida, et tööajast MSNis rääkimine ja internetis surfamine ära jääks. Juht maksab palka ja töötajad peavad selle ikkagi välja teenima.

- Shvaikovsky: Teatavat laadi keelud on kasulikud. On asju, mida lihtsalt reeglite järgi ei tohi teha. Täpselt sama moodi nagu ma lastele kodus seletan, et nad näppe elektripistikusse panna ei tohi. Kui ta need esimene kord sinna paneks, võib tagajärg olla väga halb. Täpselt nagu ettevõttes. Tuleb reeglites paika panna parooli pikkus, keerukuse tase, teatavat laadi tarkvara ei tohi laadida endale arvutisse. Täpselt samamoodi on meil HEX Tallinnas piirangud ja keelud. Iga tarkvara, mida lased arvutisse installeerida, peab olema kooskõlastatud IT-osakonnaga. See on täiesti loogiline. Ei tule ju töötaja endale arvutisse Photoshopi piraattarkvara installeerima, sest tont teab, mis seal sees võib olla.

- Arro: Mulle need meelde küll ei jää, kuna ma ei mõtle selle peale. Norton Anti-Virus töötab päris hoogsalt mu arvutis. Ma ei tea, kas see on hea või halb programm, aga leiab pidevalt igasuguseid viiruseid. Ma ei tea, kust nad pärit on või kas nad on ohtlikud või mitte. Just viimane pool aastat on väga tihedalt viiruseteateid olnud. Varem nii palju ei olnud. Ma ei tea, millest see on tingitud. Laastamistöid pole viirused teinud. Neid on küll arvutis olnud ja olen nendega võidelnud. Üritan ikka varukoopiaid teha, et kui midagi juhtub, siis elu seisma ei jää.

- Müürisepp: Ma ei mäleta selle viiruse nime, kuid ma sain e-kirja. Ma ei olnud kaua aega selle inimese käest kirja saanud. Lisaks sain veel ühelt inimeselt kirja, keda polnud samuti kaua näinud. Igaks juhuks helistasin mõlemale üle, sest ma ei vaheta nendega iga päev kirju. Nad ütlesid, et nad ei saatnud mulle kirju. Olin väga rõõmus, et polnud neid e-kirju avanud.

Teisest korrast on ligi viis aastat möödas ? mingi suvaline viirus tegi täiesti puhta töö mu arvutis. Sel ajal veel püsiühendusi kodudes polnud ja õnneks ei saanud ta edasi levida. Ülikooliaegsed dokumendid kadusid kõik ära. Õnneks on uutel sülearvutitel komplektis CD-kirjutaja ja turvakoopiaid saab teha lihtsalt.

- Shvaikovsky: Viiruseid pole juba tükk aega olnud, kuna olen investeerinud piisavalt aega, et kindlustada enda arvutit. Rakendanud igasugust tarkvara, mis arvutit kaitseb. Viimase kuue aasta jooksul pole kordagi midagi juhtunud. See on nagu tühja makstud raha, kuid ma maksan ikka edasi ja investeerin sellesse tarkvarasse aega ja raha. Arvuti kalendris seisab meeldetuletus, et iga kuu esimesel kuupäeval õhtu poole teeksin oma arvuti failidest turvakoopiad. Lükkan arvutile CD-kirjutaja järele ja teen dokumentidest koopiad.

- Müürisepp: Saabuvasse e-kirja tuleb suhtuda terve paranoiaga. Teiseks ei tasu igasugustel kahtlastel lehekülgedel käia, sest seal jääb kindlasti mingi jälg maha. Mõne inimese jaoks on sinu viirustega piiname tõsine meelelahutus.

- Arro: Kustutan kohe ära, kui leian mingi e-kirja, mis ei kuulu seltskonda, kellega ma suhtlen. Kohe läheb prügikasti ja minema. Soovitan seda teistelegi.

- Shvaikovsky: Mis puudutab eraasju, siis mul on mitu erinevat postkasti. Isiklikus arvutis on olemas tarkvara, mis kirjad läbi skaneerib. Kõik e-kirjad, mis tunduvad mulle vähegi kahtlased või tulevad inimestelt, keda ma ei tea, kustutan täiesti süüdimatult ära. Mis puudutab tööasju, siis on turvalisus tagatud. Kustuta kõik, mis on kahtlane, uuenda pidevalt oma viirusetõrjet. Viirusetõrje ise polegi midagi väärt, aga tähtis on uute viiruste vastased lisad, mida internetist alla laadida.

- Shvaikovsky: Inimsuhetes on erinevad kanalid. Telefon on hääle kanal, aga interaktiivne. TV on hääl koos videoga, kuid pole interaktiivne, kuna olen ainult vastuvõtja. E-post on interaktiivne, kuid tekstiline. Olen üsna kindel, et lähitulevikus toimub nende kanalite vahel konvergents. See võiks olla mitte enam e-post, vaid m-post vms, aga see kindlasti muudab postinduse olemust, kui võrgus tekivad interaktiivsed suhtlemisvõimalused, kus on seotud nii audio, video, tekst kui ka andmete edastamine üheskoos.

Viirused võivad meid hakata ootama täiesti müstilistes kohtades. Näiteks sõiduautod, mis on koodi ja elektroonikat täis ning juba hakkavad vaikselt suhtlema GPSi vahendusel. Kaugel pole ka aeg, kus autod hakkavad omavahel suhtlema. Hakkavad levima autode viirused. Näiteks Ericsson töötas välja külmkapi, mis oskab öelda, mis on tal sees, ja ise interneti kaudu oma varusid täiendada. Selles on samuti koodid ja viirused võivad neid nakatada. Näiteks sõidad autoga ja järsku ütleb arvuti, et paak on tühi.

- Arro: Isegi kümne aastaga võib juhtuda asju, mida keegi ei suuda hetkel ette kujutada. See, kas tuleb mõni suur leiutis, on pigem igasuguste tarkvarahiiglaste öelda. Sest nemad sisuliselt dikteerivad ja kui nad tahavad, et midagi muutub, siis see muutub. Ohud jäävad, kuid midagi katastroofilist kindlasti pole. Üks haru ei hakka teisest kiiremini arenema.

- Müürisepp: Arvan, et tulevikus on asjad rohkem üksteisega kokku seotud, mis teeb ka kogu süsteemi haavatavamaks. Ühtlasi ka efektiivsemaks, kuid nõrgemaks. Kui ühes lülis midagi juhtub, siis see võib kohe välja viia ka selle teise. Aga see, et autod jäävad viiruste pärast seisma, on juba suhteliselt lähedal. Kõige taga on ikkagi inimene. Tehnoloogia võib uueneda, aga inimese käitumine sellega jääb määravaks.

- Shvaikovsky: Ma vaatan selle peale positiivselt. Täpselt sama kiirusega, kui arenevad tehnoloogiad, arenevad ka viirusetõrjed. Kui tekib viirus, mis ütleb, et mu autol on kütus otsas, arenevad paralleelselt antiviirused, mis kontrollivad teise kanali kaudu, kas on ikka tühi. Tulevikus ei mängi rolli mitte viiruste tase, vaid inimfaktor. Sa võid kirjutada mis iganes viiruse ja antiviiruse, kuid kui inimene antiviirust ei installeeri, on ikkagi oht olemas. Tehnoloogiad jõuavad järele, kuid inimfaktor jääb alati kõige ohtlikumaks.

- Indrek Arro: Praegune tempo on hoopis teine. Kui varem kirjutasid mingi paberi välja ja faksisid ära, siis tänapäeval ei jõuakski sellisel järjel olla. Praegu istud ainult laua taga ja saadad ning võtad vastu e-kirju. Asjaajamine on niivõrd kiireks muutunud, et ilma arvutita pole enam midagi teha. Samas on laud ikka pabereid täis.

- Oleg Shvaikovsky: Samas polnud vanasti vaja aega raisata mõttetutele tegevustele nagu viirustega võitlemine. Sellepärast oli PC-eelne aeg puhtam ja ausam.

Raadio ettevõtlikule inimesele

Äripäeva raadio 92.4

Hetkel eetris

Kava

Vaata kogu kava
Äripäev http://www.aripaev.ee/img/id-aripaev.svg
25. November 2011, 09:39
Otsi:

Ava täpsem otsing