Edasi peamenüüsse Edasi sisusse

Kaitse oma vara

Kui on olemas hea ülevaade, mis seadmed ja tarkvara kontori võrgus ja töötajate kasutuses on, tuleb neid hakata kaitsma.

Kuna seadmed ja erinevad teenused (veebileht, majandustarkvara jne) võivad olla teenusepakkuja juures majutuses või neil võib juba olla mingi tarkvaraline kaitse (tulemüür, viirustõrje), siis võib tunduda, et ettevõttes kasutatavad seadmed ja tarkvara ongi juba kaitstud. Tegelikult sellest aga ohtude vastu kaitsmiseks ei piisa. Tõhusaks seadmete ja andmete kaitseks tuleb rakendada lisameetmeid ning tegeleda kaitsmisega aktiivselt.

Loe turvasoovituste kohta lähemalt:

Anna ligipääsuõigused põhjendatult

Rünnakud ja viirused levivad tavaliselt kasutajate kaudu. Mida rohkem õiguseid kasutajal on, seda kergem on ründajal või viirusel tegutseda.

Seetõttu tuleb iga ligipääsu andmisega läbi mõelda, kas neid ligipääse/õiguseid (näiteks ligipääsud jagatud kaustale, või majandustarkvarale, administraatori õigused arvutisse) on ka tegelikult tööks vaja. Kui on jõutud otsusele, et neid on tõesti tarvis, siis tuleb nende andmisel lähtuda vähima õiguse printsiibist ehk töötajale tuleb anda täpselt nii vähe õiguseid, kui tal on tööks vaja, ja mitte rohkem. Tihtipeale minnakse kergema vastupanu teed ja antakse õigused tervele kataloogile, seeläbi võib töötaja ligi pääseda andmetele, millele tal ei tohiks ligipääsu olla. Isegi kui töötaja ei tee selle ligipääsuga midagi, võivad ründajad seda ikkagi ära kasutada.

Töötajatel pole tavaliselt töökoha antud arvutis administraatori õiguseid vaja.

Administraatori õigustega kaasneb hulk ohte:

  • Töötaja võib paigaldada oma arvutisse programme, millega võivad kaasneda turvaaugud ja pahavara
  • Pahavara tekitatav kahju on suurem, kui töötajal on administraatori õigused.
  • Ründajad saavad siis kergemini arvuti üle kontrolli võtta jne.

Kui administraatori õiguseid on siiski vaja, tuleks selle jaoks teha arvutisse eraldi kohalik kasutajakonto, mida kasutataks ainult vajaduse korral, mitte igapäevatoiminguteks. Sedasi väheneb tõenäosus, et kasutaja kogemata installib pahavara, ning juhul kui töötaja konto andmed lekivad, ei saa ründaja kohe administraatori õiguseid. Kui see on töötaja isiklik arvuti, tuleb lähtuda punktist 1.4 „Loo reeglid isiklike seadmete kasutamiseks töökeskkonnas“, aga ka sel juhul võiks soovitada tööasjade jaoks eraldi kontot.

Kui IT-personal või -teenusepakkuja ligipääsuõiguseid annab, peaks ta need ligipääsude andmised ka dokumenteerima (millal, kuhu, kellele), et omada pidevalt ajakohastatud ülevaadet kellel kuhu ligipääs on. Antud informatsioon on abiks ka töötaja lahkumisel, sest siis on teada, mis ligipääsud peab sulgema.

Kui peaks toimuma mõni turvaintsident, siis võib selline dokumentatsioon anda teavet, kuidas see juhtus.

Uuenda tarkvara regulaarselt

Igasuguse tarkvara kasutamine on tänapäeval tavaline töö osa. Tarkvaradel avastatakse pidevalt turvaauke ja muid puudusi, mida ründajad saavad ära kasutada, et paigaldada pahavara, võtta arvuti oma kontrolli alla ja/või varastada andmeid. Seetõttu on tarkvara korrapärane uuendamine väga tähtis ja üks lihtsamaid tegevusi, millega oma ettevõtte vara kaitsta.

Kui tarkvara automaatne uuendamine on võimalik (näiteks arvutite ja nutiseadmete operatsioonisüsteemide puhul), siis tuleks see sisse lülitada. Kui aga tarkvaras sellist funktsiooni pole (näiteks eri programmid või võrguseadmete tarkvara), peab seda tegema käsitsi (ise, IT-personali või -teenusepakkuja abiga) või kasutama lahendust, mis aitab seda teha automaatselt. Näiteks paljud tänapäeva viirustõrjelahendused pakuvad funktsionaalsust, mis aitab mugavalt ja automaatselt programme uuendada.

Kui tootja tarkvara versiooni või riistvara enam ei toeta ega uuenda, siis tuleks üle minna uuemale versioonile. Näiteks Microsoft ei toeta 2020. aastast Windows 7 operatsioonisüsteemiga arvuteid, kuid neid on ikka veel ettevõtetes kasutusel. Sel juhul oleks tulnud kindlasti minna üle Windowsi operatsioonisüsteemi uusimale versioonile, sest isegi kui veel ei ole vanas tarkvaras turvaauke avastatud, on ainult aja küsimus, kui neid avastatakse ja hakatakse ära kasutama. Tuleb lähtuda põhimõttest, et kui on olemas turvaauk, siis on olemas ka ründaja, kes seda heameelega ära kasutab.

Korralda oma ettevõtte arvutivõrgu ja selle kasutajate kaitse

Piiri avaliku interneti ja kontorivõrgu vahel nimetatakse perimeetriks. Mida vähem kahtlast liiklust pääseb kontori võrku, seda väiksem on oht kontori võrku kasutavatele töötajatele ja seadmetele. Perimeetri kaitsmisel on abimeheks tulemüür, mis on vahendaja või lüüs avaliku ja kontori võrgu vahel ning filtreerib ohtliku liikluse. Rohkemate funktsioonidega tulemüürid suudavad tuvastada ja ka takistada kontori võrgu vastu suunatud rünnakuid. Sellised tulemüürid suudavad lisaks piirata, mis lehekülgedele on töötajatel lubatud või keelatud minna. Näiteks saab blokeerida tuntud ohtlikke lehekülgi või muid kahtlase väärtusega lehekülgi, mille kaudu võib tulla viiruseid. Samuti saab kontrollida, millised töötajate poolt kasutuses olevad rakendused internetti pääsevad (näiteks saab keelata filmide ja muusika allalaadimise veebist).

Kuna palju viiruseid ja rünnakuid tuleb just e-kirjade kaudu, on rämpspostitõrje olemasolu vajalik. Selline tarkvara eemaldab kahtlased kirjad (spämm, õngitsus- ja viirustega kirjad jms) nii, et need ei jõua töötajateni. Enamik meiliservereid sisaldab mingil määral rämpspostitõrjet, kuid selle funktsionaalsus on tihtipeale piiratud. Rämpspostitõrjet on olemas ka näiteks välise teenusena pilves või majutuses (mis asub kontori võrgust väljaspool) või eraldi serverina kontori võrgus. Paremates rämpspostitõrje tarkvarades on hulk funktsionaalsusi, mis teevad 8 töötajate elu kergemaks – kinni jäänud spämmi kohta raporti tellimine, kirjade vabastamine, saatjate blokeerimine ja palju muud.

Kuna ründajad on leidlikud, jõuab pahavara aeg-ajalt ikkagi kasutajateni. Seetõttu on tähtis, et kõigis seadmetes oleks kasutusel viirustõrje tarkvara, mis selle vastu kaitseks. Viirustõrje tarkvara puhul tuleb ka kindlasti jälgida, et see on viimane versioon ja uuendatud ning kõik funktsionaalsused on sisse lülitatud, sest ainult sel juhul on kaitse tõhus.

Tõkesta ligipääs andmetele, mis on kaotatud või varastatud seadmetes

Paratamatult mõnikord juhtub, et töötajad kaotavad oma seadmeid (nutitelefonid, tahvel- või sülearvutid jms) või need varastatakse. Kuna seadmetes võib olla konfidentsiaalseid ettevõtte andmeid või muud teavet, mis ei tohi sattuda kolmandate isikute kätte, siis tuleks planeerida, mida sellises olukorras teha

Üks abimees on peatükis 1.3 „Kaalu seadmete keskhalduse kasutusele võtmist“ kirjeldatud keskhaldus, mis võimaldab seadme kaotamise korral see kaugelt lukustada, leida selle asukoht või kõik andmed sealt kustutada. Nutiseadmetele, nagu telefonid ja tahvelarvutid, on olemas ka tasuta rakendusi, mis võimaldavad teha samu tegevusi, ning need tasuks kasutusele võtta

Andmetele ligipääsu aitab tõkestada ka arvuti krüpteerimine – sellisel juhul on andmed arvutis küll olemas, aga varas ei saa nendega midagi teha. Krüpteerimiseks on erinevaid võimalusi, selleks on saadaval hulk programme ja lisaks saab kasutada krüpteerimistarkvara BitLocker, mis on operatsioonisüsteemiga Windows 10 kaasas.

Hoolitse ka andmete ja seadmete füüsilise kaitse eest

Lisaks tarkvaralistele kaitsemeetmetele tuleb tähelepanu pöörata ka seadmete füüsilisele kaitsele. Kõik seadmed, kus paiknevad olulised andmed, peavad olema kaitstud võõraste isikute ligipääsu eest. Näiteks tulemüürist ei ole mingit kasu, kui keegi võõras saab vabalt kontorisse jalutada, sealt edasi serveriruumi minna ning seeläbi seadmetele otse ligi pääseda.

Serverid, võrguseadmed ja muud tähtsad seadmed, kus on andmed, peavad paiknema eraldi seadmekapis või selleks mõeldud serveriruumis. Seadmekapi või serveriruumi uks peab olema lukustatud ning võti kindlas kohas hoiul. Ühtlasi tuleks serveriruumi külastuste üle pidada logi (panna kirja, kes, millal ja mis eesmärgil serveriruumi külastas), et pärast saaks tuvastada, kes ja millal seal viibis.

Selleks, et server töötaks tõrgeteta, peab see olema piisavalt hästi jahutatud (serveriruumis konditsioneer) ja ühendatud UPSiga, et kaitsta seda voolukatkestuste eest. Muidu võib server kuumal suvepäeval lõpetada töö või voolukatkestuse korral võivad andmed saada rikutud. Ka konditsioneer võiks olla ühendatud UPSiga, sest muidu võib voolukatkestuse korral server esialgu küll tööle jääda, kuid hiljem ülekuumenemise tõttu töö lõpetada.
Kui kontoris on seinas võrgupesi, mida ei kasutata, siis ei tohiks nendest pesadest võrku pääseda (laske IT-personalil või -teenusepakkujal teha vastav seadistus). Muidu võib tekkida olukord, kus suvaline inimene ühendab sinna oma arvuti ja selle kaudu saab ligi kõikidele kontori seadmetele. Järgmine samm oleks teha seadistus, et arvutid ja serverid asuksid loogiliselt eraldi võrkudes, s.t kui keegi saab ligi arvutivõrgule, siis ei pääse ta kohe serveritesse.

Sama tähtis on töötajaid harida, et arvutist eemale minnes ei jäetaks seda lukustamata ja avalikes kohtades jälgitaks, et seadmed kuhugi maha ei unune, ega antaks neid kõrvalistele isikutele kasutada.

Vaata BCE koolituseksperdi juhendvideot: