Kuidas töötajates tõsta teadlikkust IT turvalisuse osas?

IT süsteemi turvalisus

Digifi blogis oleme tihti rääkinud IT turvalisuse teemadel. Aasta-aastalt on inimesed muutunud ettevaatlikumaks ja teadlikumaks kübermaailmas paiknevate ohtude kohta. Ühtlasi on ettevõtetes hakatud üha rohkem IT turvalisust juurutama, et hoida ära töötajate teadmatusest tulenevaid küberohte, mis võiksid ettevõtte äriprotsesse negatiivselt mõjutada.

Kõige suuremad vead, mida ettevõtetes IT turvalisuse osas tehakse

  1. Paroole hoitakse märkmepaberil;
  2. Sama parooli kasutatakse tihtipeale aastaid, kui mitte aastakümneid;
  3. Ei kasutata kaheastmelist autentimist;
  4. Klikitakse kahtlastel linkidel;
  5. Külastatakse kahtlase sisuga veebilehti;
  6. Laetakse alla ja avatakse pahavaraga nakatunud manuses olevaid dokumente;
  7. Ei kasutata viirusetõrjet;
  8. Tarkvarauuendused visatakse homse varna või kasutatakse rakendusi, millele enam uuendusi ei väljastata.

Kõiki neid vigu on võimalik elimineerida, kui ettevõttes vähegi nendest teemadest oma töötajatele räägitaks!

Eeldada, et kõik töötajad on iseenesest teadlikud, kuidas hoida ettevõtte IT süsteemi turvalisena, on kohatu ja palju palutud. Kõige efektiivsem on nendest teemadest ettevõttes avalikult rääkida. Panustades paar-kolm tundi nende teemade arutamisele ja eluliste näidete ülevaatamisele, võib ära hoida suurema enamuse küberrünnakutest või -kuritegudest, mis üldiselt Eesti ettevõtete vastu toime pannakse.

  1. Paroole hoitakse märkmepaberil.

Kasutajanimed ja paroolid, mis märkmepaberitele kirjutatakse, on reaalne oht ettevõtte IT turvalisusele. Kunagi ei või teada, kes võib märkmepaberit näha ja mida ta selle saadud infoga teha võib.

Kui see olukord ei tundu reaalne, siis pea igapäevaselt toob suur osa töötajatest oma „sõbrad“ tööle kaasa. Tänapäeval teevad inimesed oma nutitelefonidega ka töö juures selfie’sid või pilte. Juhuslikult jääb pildi tagataustale märkmepaber ja inimene postitab selle oma 400 jälgijale Instagramis. Postitusele lisab ta veel juurde #work. Selle teemaviite kaudu otsib häkker võimalusi oma kuriteo sooritamiseks ja ühtäkki satub ta just töötaja pildile.

Kuigi sellised olukorrad ei tundu tavainimesele reaalsed, siis on see üks tõsine osa meie igapäevaelust. Näiteks on nii juhtunud ETV hommikusaate saatejuhtidega, kes kontori seinal asuvale tahvlile oma serveri nime ja parooli kirjutanud olid ning seda avalikult Ringvaate saates näidati, mis eetrisse minnes kõik Maarjamaa itimehed kihevile ajas.

Paroolid märkmepaberil
Paroolid märkmepaberil

 

  1. Sama parooli kasutatakse tihtipeale aastaid, kui mitte aastakümneid

Paroolid on tähtsad ja seetõttu tuleks neid aja jooksul uuendada. Ühte parooli mitu aastat järjest kasutada on suur risk. Kuid ka liiga tihedane paroolide vahetamine ei ole hea.

Kui uuendada oma parooli 10 aasta pärast, siis selle aja jooksul on Sinu parool suure tõenäosusega lihtsasti lahti murtav (kui Sa just NIST juhiseid ei kasuta oma parooli loomisel). Kui aga uuendada oma parooli liiga tihti, siis kipuvad inimesed sama mustrit kordama ja seegi ei ole turvaline. Näiteks kasutatakse jaanuaris parooli „janTurval1neparool1“ ja veebruaris „vebTurval1neparool2“ jne.

Parooli kirjutamisel pea meeles, et kasutaksid vähemalt 13 tähemärki, kuid märgime ära, et mida rohkem on paroolis erinevaid tähemärke, seda turvalisem see parool on. Parool peab sisaldama nii suuri- kui ka väikeseid tähti, numbreid ja tähemärke. Ühtlasi pea meeles, et Sa ei kasutaks globaalselt tuntud salasõnu, nagu qwerty123 või eesti keeles maasikas, mis on läbi aastate TOP10 levinuim salasõna eestlaste seas. Ühtlasi tasub parooli kirjutamisel meeles pidada seda, et paroolina ei tohiks kasutada konkreetseid sõnu. Kui kasutad parooli tüvena mingit sõna, siis muuda osad tähed numbriteks või tähemärkideks. Näiteks, selle asemel et kasutada sõna nukitsamees, võiksid selle muuta hoopis selliseks – _[Nyk|7s4Me35.

NB! Sama parooli mitmel erineval veebilehel kasutada ei tohiks. Kui ühte veebilehte peaks manipuleeritama, siis võidakse ka teiste veebilehtede kontodesse sisse murda. Soovitame alati kasutata erinevatel platvormidel/veebilehtedel/rakendustes totaalselt erinevaid paroole!

Siit aga tekib kindlasti õigustatud küsimus, et kuidas peaks sellisel juhul neid paroole hoiustama? Rohkem kui kahe parooli meelde jätmine on keeruline ja seda Sa kindlasti tegema ei peaks. Meie soovitame kasutada LastPass’i poolt pakutavat paroolihaldust. Seda on lihtne kasutada ja sel on lisavõimalusi, mis aitavad ettevõttesiseselt paroole oma töötajatega jagada. Uuri lähemalt siit.

Soovid teada, kas informatsioon Sinu kasutajanime või parooli kohta on olnud mõnes andmelekkes? Selle kohta saad infot siit.

  1. Ei kasutata kaheastmelist autentimist

Kaheastmeline autentimine on küberturvalisuses suur samm edasi. Kui varem läks oma e-postiaadressile sisse logimiseks tarvis ainult salasõna, siis kaheastmelise autentimise abil on Sul sisselogimiseks vaja ka nutitelefoni. Avades nutitelefoni ekraanikoodi või sõrmejälje abil ja sisestades kaheastmelise autentimise rakenduse poolt genereeritava koodi, kindlustad Sa, et inimene, kes Sinu e-postiaadressi kaudu sisse logida soovib, ei saaks seda ilma Sinu nõusolekuta teha.

Google Authenticator
Google Authenticator

 

  1. Klikitakse kahtlastel linkidel

Erinevaid veebiportaale ja -lehti on palju. Tihti ei pruugi me tähele panna, mis lingile me kas kogemata või tahtlikult klikime. Kuigi üldiselt on veebilehitsemine ohutu, siis leidub ikka ja jälle selliseid linke, mis sisaldavad endas pahavara. Parimaks näiteks on siinkohal Facebookis jagatavad pahavara lingid, millele klikkides haaratakse mõjuvõimu Sinu Facebooki kasutaja üle. „Parimal juhul“ varastatakse Sinu kasutajainfo ja isiklikke andmeid, halvimal juhul hakatakse Sinu kasutaja kaudu spämmpostitusi levitama.

Digifi Eesti soovitab mitte klikkida kahtlastel veebilinkidel, mis on Sulle Facebooki sõnumitesse saadetud või mida levitatakse sotsiaalmeedia uudisvoos. Täna on Eestis populaarne see, et jagatakse laenuandmise reklaame ja kui inimene sellele lingile vajutab, siis kaaperdatakse tema konto ja selle kaudu hakatakse levitama Facebooki gruppidesse spämmi.

Cisco on vähendanud töötajate lingile klikkimiste arvu sellega, et kord kvartalis saadetakse inimesele „kahtlase sisuga“ kiri, mille lingile vajutades suunab Cisco IT turvalisuse osakond töötaja IT turvalisuse kohta käivat videot vaatama. Sellise aktsiooni tulemusel on Cisco drastiliselt linkide klikkimise arvu töötajate seas vähendanud.

Viimaste trendide ajendil võib kahtlastel linkidel klikkimine tekitada olukorda, kus Sinu arvuti ressursiga kaevandatakse krüptoraha. Sama probleemi on tabas hiljuti Äripäeva veebiväljaannet. Google Chrome veebibrauseri külge on võimalik liita rakendus, mis seda piirab/blokeerib.

  1. Külastatakse kahtlase sisuga veebilehti

Kuigi alati ei saa olla kindel, mis veebileht on legitatiimne ja mis mitte, siis meie soovitus on, et kui lehel avaneb liiga palju pop-up lehti ja „loteriisid“, siis sulgege see leht ja ärge seda enam avage. Kindlasti ärge klikkige nendel pop-up’idel ja loteriidel, sest just neile vajutamine võib viia pahavarasse nakatumiseni. Parim viis pop-up’ide vältimiseks on kasutada AdBlockerit.

  1. Laetakse alla manuses olevaid dokumente ja avatakse neid, mis on pahavaraga nakatatud

Oht varitseb meid igal pool. Selline dokument võidakse Sulle saata sõbra e-postiaadressilt või Facebooki kontolt, mis on kaaperdatud. Üldiselt on sellised failid .zip või .docx formaadis, mille avamisel palutakse Sul installida dokument oma arvutisse. Seda tehes nakatatakse arvuti pahavaraga ja kui tegemist on tööarvutiga, siis võib see nakatada terve ettevõtte IT-süsteemi.

Näiteks toimivad tänasel päeval sellise skeemi alusel krüptoviirused. Häkker saadab töötajale kirja nimega „Invoice 160023“ (näide) ja palub tänase päeva jooksul arve maksta. Töötaja laeb .zip faili alla (mis on juba iseenesest märk ohust, sest keegi ei saada .zip failina arvet) ja pakib faili lahti. Avades „arve“, aktiveerib ta krüptoviiruse ja pahavara hakkab kogu andmekandjatel olevat infot krüpteerima ehk lukustama. Mõne aja möödudes ei pääse kasutaja oma failidele ligi ja kui ettevõttes ei ole panustatud back-up süsteemidesse, siis ongi need failid igaveseks kaduma läinud. Võimalus on maksta kurjategijatele lunaraha oma failide lahti krüpteerimiseks, aga tõenäosus, et pärast tasumist te need andmed ikka tagasi saate, on minimaalne.

Kuidas sellised kirjad ikkagi meie postkastidesse satuvad? Kas need kirjad ei lähegi automaatselt spämmkirjade alla? See kõik oleneb meiliserveri filtritest. Kui need on nõrgad, siis tulevad need kirjad läbi. Ühtlasi aitavad meiliserveri filtrid sõeluda välja need manused, mis tunduvad ebaturvalised ja mis mitte ning vastavalt sellele lubab neid siis kas avada või mitte.

  1. Ei kasutata viirusetõrjet

Viirusetõrje kasutamine on IT turvalisuse A ja O. Ilma viirusetõrjeta peaks iga ettevõte tundma end kui kahurilihana lahingus. On meeldiv näha, et Eesti väikeettevõtetes on see teema pälvinud rohkem tähelepanu ja vähemalt on kasutama hakatud vabavaralisi viirusetõrjeid. Tasulise viirusetõrjeprogrammi eeliseks on see, et nende andmebaasid uute ohtude kohta täienevad pidevalt ja uut informatsiooni saadakse just suurelt hulgalt viirusetõrje kasutajatelt ööpäevaringselt.

Kui üldiselt mõeldakse, et aastane viirusetõrjelitsents maksab ettevõttele üüratuid summasid, siis meie kasutame organisatsioonidele teenust pakkudes mahupõhist viirusetõrjelitsentsi, mille kuumakse algab 1,50€ ühe masina kohta kuus. Esiteks, on see kuluefektiivne lahendus ettevõtjatele ja teiseks, tagab see maailmaklassi kaitstuse, sest Bitdefender viirusetõrjet kasutab ülemaailmselt üle 500 miljoni inimese!

Kes Bitdefenderi kasuks otsustada ei soovi, siis neile soovitame Windows Defenderit. Viimaste aastate jooksul on nad oma taset märgatavalt tõstnud ja täitsa adekvaatne turvalisus on nende poolt tagatud.

Bitdefender viirusetõrje
Bitdefender viirusetõrje

 

  1. Tarkvarauuendused visatakse homse varna või kasutatakse rakendusi, millele enam uuendusi ei väljastata

Tarkvara uuendamine on tähtis, sest ükski tarkvaraarendaja ei väljasta uuendusi lihtsalt oma lõbuks. Iga tarkvarauuendusega kaasneb suur hulk turvavigade parandusi, mis muudavad tarkvara kasutamist turvalisemaks. Lisaks sellele peitub uuendustes ka palju uusi võimalusi ja tööriistu parema kasutuskogemuse saamiseks.

Operatsioonisüsteemid on näiteks üks selline liik, mis vajab kindlasti esimesel võimalusel uuendamist. Microsofti operatsioonisüsteemide kasutajad on enam-jaolt tänaseks kolinud Windows 10 operatsioonisüsteemile, millele väljastatakse pidevalt uuendusi. Windows 8 saab veel loetud käe sõrmedel uuendusi mingi perioodini, kuid Windows 7 ja vanemad operatsioonisüsteemid enam uuendusi ei saa. Uuendamata operatsioonisüsteemid on aga suurepärane lahendus häkkerile tööjaama manipuleerimiseks ja selle üle kontrolli saavutamiseks. Uuendamata operatsioonisüsteem on kui lukustamata koduuks!

Kokkuvõtvalt

On ka teisi, rohkem spetsiifilisemaid aspekte, mis vajaksid tähelepanu. Kui organisatsiooni töötajaid on vaja IT turvalisuse alaselt koolitada, siis soovitame seda teha esimesel võimalusel. Mida rohkem teab IT turvalisusest teie töötaja, seda turvalisem on organisatsiooni IT süsteem! Vajadusel oleme valmis tutvustama IT turvalisuse algtõdesid teie organisatsioonis! 😊

digifi@digifi.ee
www.digifi.ee
Betooni 2a, Tartu

Lisalugemist:

Krüptoviirus – kuidas sellesse nakatutakse

3 elementaarset soovitust, kuidas end küberrünnakute eest kaitsta

Mida teha, kui Sinu ettevõte on langenud krüptoviiruse ohvriks?

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga