Kaitse oma vara

Rünnakud ja viirused levivad tavaliselt kasutajate kaudu. Mida rohkem õiguseid kasutajal on, seda kergem on ründajal või viirusel tegutseda.

Seetõttu tuleb iga ligipääsu andmisega läbi mõelda, kas neid ligipääse/õiguseid (näiteks juurdepääsud jagatud kaustale, majandustarkvarale, või administraatori õigused arvutisse) on tegelikult tööks vaja. Kui on jõutud otsusele, et neid on tõesti tarvis, siis tuleb nende andmisel lähtuda vähima õiguse printsiibist ehk töötajale tuleb anda täpselt nii vähe õiguseid, kui tal on tööks vaja, ja mitte rohkem. Tihtipeale minnakse kergema vastupanu teed ja antakse õigused tervele kataloogile, seeläbi võib töötaja juurde pääseda andmetele, millele tal ei tohiks juurdepääsu olla. Isegi kui töötaja ei tee selle juurdepääsuga midagi, võivad ründajad seda ikkagi ära kasutada.

Igapäevane töö peaks toimuma tavakasutaja õigustes kontoga, mitte administraatori õigustes kontoga. Administraatori õigustega kaasneb hulk ohte:

1. Töötaja võib paigaldada oma arvutisse programme, millega võivad kaasneda turvaaugud ja kahjurvara.
2. Kahjurvara tekitatav kahju on suurem, kui töötajal on administraatori õigused.
3. Ründajad saavad siis kergemini arvuti üle kontrolli võtta jne.

Kui administraatori õiguseid on siiski vaja, tuleks sellele kasutajale teha eraldi õigustega administraatori konto, mida kasutataks ainult vajaduse korral, mitte igapäevatoiminguteks. Sedasi väheneb tõenäosus, et kasutaja kogemata paigaldab kahjurvara, ning juhul kui töötaja konto andmed lekivad, ei saa ründaja kohe administraatori õiguseid. Kui see on töötaja isiklik arvuti, tuleb lähtuda loodud reeglitest isiklike seadmete kasutamiseks töökeskkonnas, aga ka sel juhul võiks soovitada tööasjade jaoks eraldi kontot..

Kui IT-personal või -teenusepakkuja juurdepääsuõiguseid annab, peaks ta need pääsude andmised ka dokumenteerima (millal, kuhu, kellele), et omada pidevalt ajakohastatud ülevaadet, kellel kuhu pääs on. Antud informatsioon on abiks ka töötaja lahkumisel, sest siis on teada, mis pääsud peab sulgema. Oluline on meeles pidada, et töölt lahkunud inimeste ligipääsud tuleb sulgeda ja õigused eemaldada.

Igasuguse tarkvara kasutamine on tänapäeval tavaline töö osa. Tarkvaradel avastatakse pidevalt turvaauke ja muid puudusi, mida ründajad saavad ära kasutada, et paigaldada kahjurvara, võtta arvuti oma kontrolli alla ja/või varastada andmeid. Seetõttu on tarkvara korrapärane uuendamine väga tähtis ja üks lihtsamaid tegevusi, millega oma ettevõtte vara kaitsta.

Kui tarkvara automaatne uuendamine on võimalik (näiteks arvutite ja nutiseadmete operatsioonisüsteemide puhul), siis tuleks see sisse lülitada. Kui aga tarkvaras sellist funktsiooni pole (näiteks eri programmid või võrguseadmete tarkvara), peab seda tegema käsitsi (ise, IT-personali või -teenusepakkuja abiga) või kasutama lahendust, mis aitab seda teha automaatselt. Näiteks paljud tänapäeva viirustõrjelahendused pakuvad funktsionaalsust, mis aitab mugavalt ja automaatselt programme uuendada.

Kui tootja tarkvara versiooni või riistvara enam ei toeta ega uuenda, siis tuleb üle minna tarkvara uuendada toetatud versioonile või riistvara välja vahetada. Näiteks ei toeta Microsoft 2025. aastast Windows 10 operatsioonisüsteemiga arvuteid. Sel juhul tuleks minna üle Windowsi operatsioonisüsteemi uusimale versioonile või kaaluda kasutusele võtta mõni alternatiivne operatsioonisüsteem. Aegunud tarkvara kasutamine võib mõjutada seadme turvalisust, ühilduvust ja tugiteenuseid, tuues endaga kaasa mitmed riskid. Näiteks jäävad uued turvaaugud ja haavatavused parandamata. See muudab süsteemi küberkurjategijate jaoks kergemini rünnatavaks. Isegi kui vanas tarkvaras ei ole veel turvaauke avastatud, on ainult aja küsimus, kui neid leitakse ja hakatakse ära kasutama. Tuleb lähtuda põhimõttest, et kui on olemas turvaauk, siis on olemas ka ründaja, kes seda heameelega ära kasutab. Hea varade haldus aitab jälgida näiteks uuenduste rakendamist või nende rakendamise vajadust.

Piiri avaliku Interneti ja kontorivõrgu vahel nimetatakse perimeetriks. Mida vähem kahtlast liiklust pääseb kontori võrku, seda väiksem on oht kontorivõrku kasutavatele töötajatele ja seadmetele. Perimeetri kaitsmisel on abimeheks tulemüür, mis on vahendaja või lüüs avaliku ja kontorivõrgu vahel ning filtreerib ohtliku liikluse. Rohkemate funktsioonidega tulemüürid suudavad tuvastada ja ka takistada kontorivõrgu vastu suunatud rünnakuid. Sellised tulemüürid suudavad lisaks piirata, mis lehekülgedele on töötajatel lubatud või keelatud minna. Näiteks saab blokeerida tuntud ohtlikke lehekülgi või muid kahtlase väärtusega lehekülgi, mille kaudu võib tulla viiruseid. Samuti saab kontrollida, millised töötajate poolt kasutuses olevad rakendused Internetti pääsevad (näiteks saab keelata filmide ja muusika allalaadimise veebist).

Kuna palju viiruseid ja rünnakuid tuleb just e-posti kaudu, on e-posti serveris vajalik viirusetõrje ja rämpspostitõrje tarkvara. Selline tarkvara eemaldab kahtlased kirjad (spämm, õngitsus- ja viirustega kirjad jms) nii, et need ei jõua töötajateni. Enamik meiliservereid sisaldab mingil määral rämpspostitõrjet. Rämpspostitõrjet on olemas ka näiteks välise teenusena pilves või majutuses (mis asub kontori võrgust väljaspool) või eraldi serverina kontorivõrgus. Paremates rämpspostitõrje tarkvarades on hulk funktsionaalsusi, mis teevad töötajate elu kergemaks – kinni jäänud spämmi kohta raporti tellimine, kirjade vabastamine, saatjate blokeerimine ja palju muud.

Kuna ründajad on leidlikud, jõuab kahjurvara aeg-ajalt ikkagi kasutajateni. Seetõttu on tähtis, et kõigis seadmetes oleks kasutusel viirustõrje tarkvara, mis selle vastu kaitseks. Viirustõrje tarkvara puhul tuleb ka kindlasti jälgida, et tarkvara on viimane versioon ja uuendatud ning kõik funktsionaalsused on sisse lülitatud, sest ainult sel juhul on kaitse tõhus.

Paratamatult juhtub mõnikord, et töötajad kaotavad oma seadmeid (nutitelefonid, tahvel‑ või sülearvutid jms) või need varastatakse. Kuna seadmetes võib olla konfidentsiaalseid ettevõtte andmeid või muud teavet, mis ei tohi sattuda kolmandate isikute kätte, siis tuleks planeerida, mida sellises olukorras teha.

Üheks abimeheks võib olla seadmete keskhaldusesse võtmisest, mis võimaldab seadme kaotamise korral see kaugelt lukustada, leida selle asukoht või kõik andmed sealt kustutada. Nutiseadmetele, nagu telefonid ja tahvelarvutid, on olemas ka tasuta rakendusi, mis võimaldavad teha samu tegevusi, ning need tasuks kasutusele võtta.

Andmetele ligipääsu aitab tõkestada ka krüpteerimine. Kui arvuti või väline kõvaketas varastatakse või läheb kaotsi, ei saa keegi seal olevaid andmeid lugeda, kui neil pole õiget parooli või võtit. Krüpteerimine teeb andmed loetamatuks, see on eriti oluline, kui seal on tundlik info (nt finantsandmed, isikuandmed või ärisaladused). Tänapäeva arvutites on juba olemas tööriistad, millega saab andmeid krüpteerida (näiteks BitLocker või FileVault). Samuti on olemas teised krüpteerimistarkvarad, mis võivad pakkuda lisaturvalisust. Oluline on meeles pidada, et krüpteerimine töötab hästi ainult siis, kui kasutad tugevat parooli ja hoiad selle turvalises kohas.

Lisaks tarkvaralistele kaitsemeetmetele tuleb tähelepanu pöörata seadmete füüsilisele kaitsele. Kõik seadmed, kus paiknevad olulised andmed, peavad olema kaitstud võõraste isikute ligipääsu eest. Näiteks tulemüürist ei ole mingit kasu, kui keegi võõras saab vabalt kontorisse jalutada, sealt edasi serveriruumi minna ning seeläbi seadmetele otse ligi pääseda.

Serverid, võrguseadmed ja muud tähtsad seadmed, kus on andmed, peavad paiknema eraldi seadmekapis või selleks mõeldud serveriruumis. Seadmekapi või serveriruumi uks peab olema lukustatud ning võti kindlas kohas hoiul. Ühtlasi tuleks serveriruumi külastuste üle pidada logi (panna kirja, kes, millal ja mis eesmärgil serveriruumi külastas), et pärast saaks tuvastada, kes ja millal seal viibis.

Selleks, et server töötaks tõrgeteta, peab see olema piisavalt hästi jahutatud (serveriruumis konditsioneer) ja ühendatud UPSiga, et kaitsta seda voolukatkestuste eest. Muidu võib server kuumal suvepäeval lõpetada töö või voolukatkestuse korral võivad andmed saada rikutud.

Kui kontoris on seinas võrgupesi, mida ei kasutata, siis ei tohiks nendest pesadest võrku pääseda (laske IT-personalil või -teenusepakkujal teha vastav seadistus). Muidu võib tekkida olukord, kus suvaline inimene ühendab sinna oma arvuti ja selle kaudu saab ligi kõikidele kontori seadmetele. Järgmine samm oleks teha seadistus, et arvutid ja serverid asuksid loogiliselt eraldi võrkudes, s.t kui keegi saab ligi arvutivõrgule, siis ei pääse ta kohe serveritesse. Töötajatele ja külalistele tuleb luua erinevad WiFi võrgud, mis hoiab ära olukorra, kus võõrad pääsevad võrgu kaudu ligi ettevõtte sisevõrgule.

Sama tähtis on töötajaid harida, et arvutist eemale minnes ei jäetaks seda lukustamata ja avalikes kohtades jälgitaks, et seadmed kuhugi maha ei unune, ega antaks neid kõrvalistele isikutele kasutada.