Kui turvameetmed segavad tööd, leitakse meetod, kuidas neist mööda minna. Näiteks kirjutatakse parool klaviatuuri alla või kollasele kleepsupaberile. Arvuti tavakasutajale ei saa turvalisuse osas lootma jääda ? tema ülesanne on teha oma tööd. Tuleb meeles pidada, et tehnoloogia pole imerohi ? kunagi pole nii, et võtate karbist turvatoote ja see teebki elu turvaliseks. Kasutajat tuleb harida töötama turvaliselt ja turvaline töö tuleb teha talle võimalikult mugavaks.
Võtame lihtsa näite ? traadita internet ehk WiFi-võrk kontoris. Mugavaim on kasutada WiFi tugijaama nii, nagu seade karbist tuleb ? jääb ära mure seadistuste ja paroolidega. Samas on see ebaturvaline ? 100 m raadiuses võib igaüks pääseda ettevõtte sisevõrku. Turvalisem on kasutada krüpteerimist ja võtmeid või ühendada WiFi tugijaam eraldi internetiühenduse taha ja kasutada sisevõrku saamiseks virtuaalset privaatvõrku ehk VPNi. Kõige turvalisem on kasutada dünaamilisi võtmeid, samas on see ka ebamugavaim ? seadistamine, sertifikaadi hankimine.
Turvalise WiFi probleemil on ka mugav lahendus ? kõik juhtmega võrgus domeeni logivad arvutid saavad automaatselt computer certificate?i, seadistub eelkonfigureeritud profiil, mida ei saa ise muuta ega kustutada. Kasutaja peab vaid sisestama WiFi kaardi, installeerima draiveri ja sülearvuti ongi turvaliselt ning mugavalt sisevõrgus. Muidugi eeldab see administraatorilt eeltööd.
Või võtame kaugtöö probleemid. Kuidas oma töistele dokumentidele ja e-kirjadele kodust või komandeeringust ligi saada? Kui sellist võimalust ei anta, hakkavad kasutajad trikitama ? saadavad konfidentsiaalseid dokumente kodusele ja ebaturvalisele e-aadressile, hoiavad olulisi andmeid varundatava serveri asemel sülearvuti kõvakettal jne. Muidugi saaks töötajaid töisele e-postile ligi lubada ? protokollide POP3 ja IMAP4 abil, luues e-postile/grupitööle veebiliidese või siis terminali serveri teenuse kaudu. Võrguketastele saab ligi veebikataloogide või VPN-ühenduse abil. Võimalusi on palju, kuid igaühel on oma puudused ? keerukas meelde jätta, keerukad häälestada.
Kaugtööl on ka mugav ja turvaline lahendus, kui firmas on kasutusel Exchange 2003 (mis sisaldab ka toodet Outlook 2003). Operatsioonisüsteemiga Windows XP varustatud sülearvuti puhul saab siis kasutada teenust, mis ühendab internetis oleva sülearvuti Exchange?i serveriga. Kasutaja ei pea peale oma võrguparooli sisestamise ise midagi häälestama ega tegema.
Teine võimalus on luua veebi üks sisenemispunkt, näiteks
server.firma.ee, mis ise suundub turvakanalile https://server.firma.ee. Avaneb veebileht, millel on lingid võrguketastele, Outlook Web Accessile, terminali veebiliidesele, intranetile jne.
Viiruste probleem on tänapäeval üks tõsisemaid ohte ? nakatumise tagajärjeks võib olla arvuti aeglustamine või andmete hävimine. Antiviirus peab olema kõigis serverites (failiserverid, e-postiserverid) ja tööjaamades. Arvestades uute viiruste loomise ja levitamise kiirust, on viirusetõrjet vaja pidevalt värskendada, muidu temast praktilist kasu pole. Enamasti uuendab antiviirus end automaatselt, aga kuidas seda üle kogu ettevõtte kontrollida? Kasutajad lülitavad vahel antiviiruse välja, kuna see aeglustab arvuti tööd.
Lahenduseks on keskhaldusega viirusetõrje, mis leiab ise uued arvutid võrgus, samuti installeerib sinna viirusetõrje. Uusi versioone ja värskendusi installeeritakse keskselt, neid tõmbab internetist server, millelt tööjaamad saavad oma uuendused.
Kehtestada võib ka erinevaid reegleid, keelata näiteks viirusetõrje väljalülitamise. Ühtlasi saab server küsida tööjaamadest infot, mis olekus on antiviirus, milline versioon on sellest arvutis, mis kuupäeva uuenduste seisuga, samuti infot leitud viirustest või tõrgetest. Kasutaja ei pea muretsema ja administraatoril on vajalik teave olemas.
Teine tõsine oht on võrguuss ehk kasutaja abita arvutist arvutisse leviv viirus, mille vastu aitab vaid tulemüür. Loomulik on tulemüür ettevõtte sisevõrgu ja interneti vahel, kuid ussviirused levivad kaitsmata kodukasutajaid pidi ja kodus nakatunud sülearvuti nakatab kogu sisevõrgu. Igas sülearvutis peaks olema personaalne tulemüür. Operatsioonisüsteem Windows XP (SP2) sisaldab täiustatud tulemüüri, kuid see ei jälgi väljuvat liiklust, samuti ei saa teha mitut profiili erinevate turvatasemetega ? näiteks sisevõrgu, avaliku WiFi, koduvõrgu jaoks.
Probleemi lahendab keskhaldusega personaalne tulemüür igas (süle)arvutis. Keskhaldusega saab muuta tulemüüri seadeid ja turvatase võib muutuda automaatselt. Lihtne on defineerida reegleid kõigile või gruppidele, kasutajale võib jätta otsustusõigust reeglite muutmiseks või ka mitte. Nii saab näiteks keelata rakenduse tasemel failivahetusprogrammide ? Kazaa, eMule vms pääsu internetti. Keskhalduse puhul on tulemüüri lihtne vajadusel ka keskselt ümber seadistada.
Spämmiuputus on teine nuhtlus, mida ei saa tänapäeval vältida. Kui inimene suhtleb e-posti teel, siis tema aadress satub varem või hiljem spämmisaatjate andmebaasi. Üle 50% kõigist internetis liikuvatest e-kirjadest on rämpskirjad, viirused genereerivad sadu miljoneid lisakirju, valesti konfireeritud viirusetõrjujad veel samapalju (teatades ?saatjale? viirusega kirja saatmisest ? tegelikult on viirus saatja aadressi võltsinud). Spämmi osakaal kasvab pidevalt, aga kindel on see, et ükski filter ei kaitse spämmi eest 100% ja ükski spämmifilter ei lase 100% õigeid kirju läbi, sest mis ühe jaoks spämm, võib teisele olla oluline info.
Lahenduseks on keskne spämmitõrje. Spämmi on mõistlik tõrjuda ettevõttes e-posti serveris või enne seda, sest kasutajad ei taha või ei viitsi enamasti ise spämmifiltreid häälestada. Üks võimalik lahendus on Linuxi baasil koostatud efektiivne spämmifilter koos tipptasemel viirusetõrjega (F-Secure või vabavara ClamAV), mis annab efektiivse kaitse ka e-posti teel levivate troojalaste ja nuhkvara vastu. Kasutada saab keelatud faililaiendite blokeerimist, olemas on ka ulatuslik statistikamoodul. Nii jõuavad kasutajateni vaid puhtad ja asjalikud kirjad.
BCSi 30 päeva analüüs näitas, et ligi 60% meile sisenevast postist on spämm. Enamik e-kirju hävitatakse enne postkastidesse jõudmist (keskmiselt 20 kirja inimese kohta päevas). Kui iga kasutaja kulutaks nende 20 kirja kustutamiseks ka vaid ühe minuti, siis kokku teeks see 60 inimesega firma peale 60 minutit päevas. Ehk kuluna umbes 48 000 kr aastas.
Kogemus näitab ka, et spämmifilter vajab peenhäälestust ? vajadused muutuvad, ilmuvad uued spämmifiltri moodulid, tekivad uued spämmimise meetodid. Spämmifilter ei toimi nii, et panete tööle ja unustate, hooldamata spämmifiltri tõhusus langeb.
Tegelikult on selline ennetav hooldus äärmiselt vajalik kõikidele serveritele, keskhaldusele, spämmifiltrile ? uuendused, häälestus, järelevalve ning kontroll.
Kui on loodud hästi läbimõeldud keskse haldusega süsteem, millele tehakse piisavalt ennetavat hooldust, vajatakse märksa vähem reageerivat hooldust kasutajaprobleemide lahendamise näol. Kuna servereid on vähe, siis on nende hooldamine efektiivsem kui kasutajaprobleemide lahendamine, sest kasutajaid on palju, lisaks maksab nende tööaja kadu. Hooldus tagab kokkulepitud reeglite kohase töö, aga vaja on ka arendust, parendust, uusi kokkuleppeid ja reegleid, olukorra dokumenteerimist.
Enamasti on mõistlik need tegevused lahutada ja kumbagi ei pea tegema oma palgal olev töötaja ? nii nagu IT hooldust saab osta, saab ka IT-juhti rentida.
Mille vastu tehnoloogia ei aita? Ikka inimese vastu, kes on infosüsteemi turvalisuse nõrgim lüli. Hinnatakse, et 70% turvaintsidentidest on firma seest ning ka suur osa väliseid rünnakuid kasutab ära inimpsühholoogiat ? e-postiviiruste puhul näiteks kirjamanuste ikoonide võltsimine, lisandit avama meelitav sisu, kirja soliidne välimus ja turvauuenduse pakkumine. Levinud on ka andmepüük petukirjadega (nt palutakse saata krediitkaardi andmed ja PIN-kood). Siin aitab vaid koolitus.
Autor: Jako Bergson
Seotud lood
Vanas Euroopas tavaline firmade ja muu vara põlvest põlve pärandamine on eestlaste jaoks uus teema. Meil siin on alles esimene põlvkond varavahetuseks ettevalmistusi tegemas.