Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.
Suurim turvaauk on inimene
Hiljuti tuli ajakirjanduse vahendusel välja, et 2005. aasta suvel leidis juhuslik kodanik Tallinnast Tammsaare pargist mälupulga koos 300 000 kaitseväekohuslase isikuandmetega. See tõestab veelkord, et inimfaktor on IT-turvalisuse kõige nõrgem lüli.
Andmekäitluse tehnilised turvaelemendid võivad muutuda kasutuks, kui süsteemi sekkub inimene. Osalt teadmatuse tõttu, osalt laiskuse ja hoolimatuse tõttu võib inimfaktor muuta kalli tehnika püüdlused mõttetuks, viies konfidentsiaalsed andmed väljapoole turvalist perimeetrit ning eemaldades andmetelt salajasust tagava kilbi.
Turvarisk algab, kui IT-ala juhid ei tööta välja turvastrateegiat või ei vii seda ellu. Samuti on oma roll kasutajatel, kes ei käitu vastavalt turvaeeskirjadele. Väga kahjulik loomuomadus on ka inimlik uudishimu.
Esimene asi, millest alustada, on täpselt määratleda, mida töötaja tohib arvutiga teha ning mida mitte. Hea, kui programmide installeerimise õigust tavakasutajatele üldse ei anta - see peaks jääma ainult arvutivõrgu administraatorite õiguseks.
Kindlasti tuleb sätestada reeglid parooli keerukuse ja parooli vahetamise sageduse kohta. Samuti on oluline kirja panna käideldavate andmete turvareeglid - millised andmed on salajased ning millised mitte; kes millistele andmetele tohib ligi pääseda.
Siinkohal tuleb hoolega jälgida reeglit: "Nii palju kui vaja, kuid nii vähe kui võimalik".
Konfidentsiaalsete andmete käitlemise reeglites tuleb ära märkida, kuidas andmeid erinevate asukohtade vahel transporditakse. On elementaarne, et konfidentsiaalseid andmeid toimetatakse ühest kohast teise ainult krüpteeritult, ka mälupulgal olevaid andmeid on võimalik krüpteerida.
Kui turvapoliitika on paigas ja reeglistik põhjalikult läbi mõeldud, on järgmine oluline samm töötajate reeglitest teavitamine.
Soovitatavalt peaks töötaja allkirjaga kinnitama, et on reeglitega tutvunud ning kohustub neid täitma. Kirjalik nõusolek on oluline seetõttu, et hiljem oleks probleemide korral võimalik kohaldada selget vastutust.
Autor: Kristjan Pihus