Kümme võimalust täiustada ettevõttes infoturvet

Andmeturvet saab tõhustada näiteks muretsedes olulisi andmeid sisaldavale arvutile UPSi või visates tundliku infoga paberid tavalise prügikasti asemel turvaprügikasti.

Ukselukkude ja akende sulgemine pole enam tavaliselt probleem. Sagedamini toimuvad vargused päise päeva ajal, kui hetkeks tualetti minnes jäetakse kabineti uks lahti või pole ühiskasutatav koosolekuruum lukustatud.

Murelaps on võtmehalduse puudumine - ei peeta korrektselt arvet, kellele on millise ukse võtmed või turvasignalisatsiooni pääsuõigused antud. Kui töötajaga töösuhe lõppeb, pole ülevaadet, millised võtmed on vaja tagasi saada (tõsisema kaitse puhul lukud muuta) ja millised turvasignalisatsiooni koodid tühistada.

Riski vähendamiseks vaadake üle ettevõtte ligipääsukohtade kaitse, pidage arvet võtmete ja turvakoodide üle ning nõudke uste lukustamist ka päise päeva ajal.

Infosüsteemi kasutajatunnus on meie elektrooniline identiteet. Selle järgi eristab rakendus, kes tema kallal toimetab. Sagedasti ei peeta personaalsete kasutajatunnuste ja ligipääsuõiguste jagamist tähtsaks.

Ühiskasutatava tunnuse puhul on raske tagada andmete kasutamist vastavalt töötaja volitustele ning segaduse korral tagantjärele kindlaks teha, kes on rakenduses vale tegevuse teinud. Mõned viletsama turbega rakendused nõuavad käivitamiseks administraatori või nn superuser'i õigusi, mis toob kaasa võimaluse, et tavakasutaja rikub kogu süsteemi kogemata ära.

Riski vähendamiseks jagage ligipääsuõigusi personaalselt vastavalt töötaja volitustele ning pidage arvet, kellele, millal ja millised õigused on antud.

Kõige sagedamini leiavad turvaintsidendid aset kogemata ja teadmatusest. Töötaja on igapäevaselt või kriisisituatsioonis käitunud heauskselt teisiti, kui on andmekaitse seisukohast õige. Puudu on lihtsad kokkulepped ja protseduurid või pole töötaja nendest teadlik.

Näiteks ei tohi jätta töökohalt lahkudes arvutit kunagi avatuks. Lisaks võimalusele otsesteks pahatahtlikeks tegevusteks teie elektroonilist identiteeti kasutades, annate nii kõigile ligipääsu ka oma e-postile ja dokumentidele.

Ka pole teil enam tagantjärele võimalik tõestada, et pahanduse elektroonilises maailmas ei saatnud korda teie, vaid keegi teine teie kasutajanime abil.

Riski maandamiseks mõelge läbi, mida iga töötaja peab teadma või tegema ning tagage, et see teadmine ka nendeni jõuab.

Andmete tagavarakoopiate väärtust tunnetame kõige paremini siis, kui mõni vajalik andmebaas või olulised dokumendid on hävinenud. Tänapäeval on tavapärane, et serveris olevatest andmetest tehakse regulaarselt tagavarakoopiad.

Olulisi puudujääke on aga koopiate tegemise sageduses ja hoidmisel. Siinjuures tuleb arvestada, et kui teha andmetest koopia üks kord kuus, läheb halvemal juhul kaduma kogu viimase kuu töö.

Hoiustamise puhul tuleb arvestada, et intsidendi (tulekahju, vargus) toimumisel ei tabaks kurb saatus ka tagavarakoopiaid.

Riski maandamiseks tagage, et kõikidest olulistest andmetest tehtaks järjekindlalt tagavarakoopiaid ja et neid hoitaks turvalises kohas.

Lisaks dokumente hävitavatele ja infosüsteemide tööd aeglustavatele viirustele on suureks hädaks saanud pahalaste (nn troojalaste) levik. Vastikumad neist teevad teie arvutist salaja piraattarkvara ja porno jagamise keskuse. Lisaks kettamahu drastilise vähenemise ja arvutivõrgu liikluse aeglustumise probleemidele võib teid tabada ka korrakaitseorganite huvi.

Riski maandamiseks tagage, et viirustõrje rakendus on olemas igas arvutis ja viirustõrje värskendused jõuavad kohale kord päevas.

Vanade andmetega tekib kaks probleemi - kuidas vajalikke andmeid pikaajaliselt hoida ja ebavajalikke korrektselt hävitada. Hävitamise probleem esineb sagedamini paberil asuvate andmetega. Iga paberit ei viitsita paberihunti sööta. Mugav lahendus dokumentide hävitamiseks on visata ettevõttes kõik mittevajalikud väljatrükid ja dokumendid rutiinselt pitseeritud vanapaberikogujasse ja lasta need hävitada.

Riski maandamiseks mõelge läbi ja rakendage dokumentide hoidmise kord ning tagage ebavajalike dokumentide rutiinne hävitamine.

Väga lihtsalt lähevad serverid ja infosüsteemid rikki pärast ootamatuid voolukatkestusi. Elementaarne praktika on tagada olulistele seadmetele stabiilne elektrivool puhvertoiteallika UPSi või generaatoriga.

Riski maandamiseks soetage olulistele seadmetele tagavaravoolu allikad.

Igast tegevusest elektroonilises maailmas saab maha jätta elektroonilise jälje - kes ja millal mida tegi. Ilma jälgedeta on raske pärast kindlaks teha, mis täpselt turvaintsidendi põhjustas ning kes olid sellega seotud.

Kontrolljälgi ehk logisid võiks pigem rohkem olla - andmemahud pole tänastes süsteemides enamasti probleemiks. Kontrolljälgi tuleb rutiinselt analüüsida, nõnda saab üles leida nii salamahti tehtud pahateod kui ka teadmatusest tulenevad valed töövõtted.

Riski maandamiseks tagage, et kõikide oluliste süsteemide ja rakenduste puhul salvestataks kõikidest tegevustest kontrolljäljed ning logisid analüüsitaks rutiinselt.

Turvaintsidendi süüdlast otsides avastatakse tihti, et vastutus andmete kaitsel ja kasutamisel on reguleerimata. Puudub infosüsteemi kasutamise kord ja ka muudes tööd reguleerivates dokumentides (sisekorra reeglid, ametijuhend, tööleping) pole teemat käsitletud. Sageli pole võimalik vastutajat üles leida kontrolljälgede puudumise või kasutajatunnuste süsteemi puudulikkuse tõttu.

Riski maandamiseks tagage juriidiliselt korrektselt töötaja vastutus andmetega teostavate tegevuste eest ning kehtestage üheselt mõistetavad andmete ja infosüsteemi kasutamise reeglid.

Raske on vara kaitsta, kui neist puudub detailne ülevaade. Kummalisel kombel pole sageli ettevõttes ülevaadet, kui palju on seal arvuteid-servereid, mis andmebaase ja dokumente on loodud ning kuidas on arvutivõrk üles ehitatud.

Arvutivõrgu aukudega kaasneb pealtkuulamise oht. Tavaliselt on puudulik spetsiaaltarkvara dokumentatsioon ja põhisüsteemide seadistuste (konfiguratsiooni) info. See tähendab rikete korral pikemaid katkestusi, sest vea kõrvaldamisele lisandub avastamise ja õppimise aeg.

Riski maandamiseks koostage ülevaade kasutuses olevatest infovaradest, põhisüsteemide ülesehitustest ja seadistustest ning tagage muutuste dokumenteerimine.

Infoturbe parandamise teema kokkuvõtteks tuleb öelda, et artiklis toodud probleemide maandamisega saab ettevõtte andmete kaitse olukorda oluliselt parandada. Enamikul juhtudel ei ole selleks vaja mingeid eriteadmisi vaid ainult pealehakkamist.

Kui aga infotehnoloogia ja erinevad andmebaasid on ettevõttes strateegilise tähtsusega, siis on infoturbe parandamiseks mõistlik läbi viia riskianalüüs ja koostada äri talitluspidevusplaan.

Andmekaitse ei tähenda ainult info kaitsmist võõrastesse kätesse sattumise eest. Andmeturbel on kolm komponenti - konfidentsiaalsus, terviklus ja käideldavus.

Konfidentsiaalsus tähendab teabe kättesaadavust ainult selleks volitatud isikutele. Näiteks pole minu terviseandmed mõeldud lugemiseks naabrimehele. Terviklus tähendab andmete volitamata muutmise võimatust ja muutja allika tuvastatavust. Nii ei tohi ma saada ise muuta oma palganumbrit raamatupidamisrakenduses ning logidest peaks nägema, kes ja millal seda muutis. Käideldavus on kasutamiskõlbulike andmete õigeaegne ja hõlbus kättesaadavus volitatud kasutajale. Näiteks peab kliendiandmebaas olema müügimehele kogu aeg kättesaadav.

Nõrkus andmete kaitses ei tähenda tingimata, et midagi juhtub. Andmete turvalisust ähvardavad mitmesugused ohud, näiteks tulekahju, andmete volitamata kasutamine, elektrikatkestused jms. Kui kaitses on nõrkused - puudub tuletõrjealarm, pole UPSe või on kasutajaõiguste jagamise süsteem puudulik -, võivad mõned ohud realiseeruda ning sündida kahju.

Autor: Erkki Leego