Tulemüürist üksi enam ei piisa

Internetist on saanud uus ja võimas meediakanal, kus sõnavabadus on antud kõigile, kes seda vaid kasutada oskavad. See on loonud viljaka pinnase uudishimulikele ja sageli pahatahtlikele inimestele, kes tunnevad haiglast huvi salastatud või piiratud juurdepääsuga andmete vastu.

60% internetikasutajaist peab end piisavalt kaitstuks, sest kasutavad viirustõrjeprogrammi. Ent neist vaid kolmandikul on kasutusel vahendid, mis vastavad nõuetele ja suudavad pakkuda efektiivset kaitset. Praegused ründed on iseloomult vastupidised mõne aja tagustega. Järjest vähem proovitakse tormijooksuga maha võtta tulemüüri või halvata mõne teenuse kättesaadavust. Nüüd otsitakse võimalust, kuidas meelitada teadmatut kasutajat avama tulemüüri turvaväravaid nii, et kasutaja seda ise ei märka.

Turbevahendite tootja TrendMicro andmeil jõuab keskmise kasutaja arvutisse iga 4,5 sekundi tagant pahavarast nakatatud veebileht, mis seotud identiteedi- ja andmevargustega. Symanteci uuringu järgi on ühe aasta jooksul pahavara esinemise juhtude arv tõusnud 468%, kogu e-postist on 71% spämm (2001. a vaid 8%).

Seega ei piisa kindlasti oma identiteedi kaitsmiseks vaid lihtsakoelistest viirusetõrjevahendeist. Olulisim on teadvustada, et küberturve on pidev protsess ega piirdu vaid tulemüüri või viirusetõrje uuendamisega. Oluline on meie endi teadlikkus võimalike ohtude suhtes, mis meid internetis võivad varitseda. Vähem oluline pole see, milliseid vahendeid me nende ohtude kaitseks kasutame.

Andmeturbe ja andmete eest vastutab asutuse juhtkond. Ehkki infoturvet jälgib ja tagab IT-osakond, tulevad otsused ja standardid juhtkonnalt. Esimese sammuna võiks asutuses olla sisse seatud ajakohane IT-turbe dokumentatsioon, mis reguleerib ja paneb paika vastutuse andmete ligipääsu, käideldavuse ja terviklikkuse suhtes.

Riigifirmadele on koostatud infoturbe standard ISKE. See on kergesti kohandatav ka erasektorile. Dokumentatsiooni loomisele oleks mõistlik kaasata sõltumatu infoturbeekspert, kes oskaks mõista nii juhtkonna kui IT-spetsialistide seisukohti. ISKE standardi kohaselt peab oma infosüsteemi pidevalt auditeerima. Erasektoris võiks infoturbeaudit olla ka algülesande püstituseks, mille abil on võimalik sisse seada asutuse infoturbepoliitika ja muu IT-turvet reguleeriv dokumentatsioon.

Olulisem kui dokumentatsiooni olemasolu on selle ellu rakendamine. IT-turvalisuse juurutamine nõuab tegelikult palju rohkem aega kui raha. Oluline on tõsta teadlikkust infoturbe kõige nõrgemas lülis - inimeses.

Autor: Margus Kanter