Olulise info varundamine ja küberrünnakute eest kaitsmine on midagi, mida pidevalt meelde tuletatakse. Kuigi see on oluline, rõhutab Elisa tootejuht Kristjan Kuru, et kaitsemüüride ja tagavaralahendustega üle piiri minemine võib hakata turvalisust teisest otsast närima ja uusi probleeme tekitada.
Mingi piirini enda, oma lähedaste ja oma ettevõtte kaitsmine on igati mõistlik. Fotod peaksid olema varundatud, kontod parooliga kaitstud, serverist olema kuskil varukoopia ja kõige kriitilisemate IT-lahenduste jaoks peaks kuskil surisema varusüsteem, mis saab ootamatu rikke korral koorma enda kanda võtta. Kõike sellist aga liiga hoogsalt tehes on võimalik ühel hetkel piirist üle astuda ja parimat soovides luua olukord, kus kõik positiivsed tegevused hakkavad kokku avaldama negatiivset mõju.
Seda seetõttu, et iga turvatunnet tagav lahendus toob endaga kaasa ka midagi negatiivset. Mitmeastmeline autentimine on ajakulukam kui ühe klikiga sisse logimine. Varukoopiate tegemine eeldab varusüsteemi loomist, mis tähendab investeeringuid ja ülalpidamiskulusid. Töötajatele admin-õiguste andmata jätmine tähendab, et keegi peab pidevalt tegelema palvetega lubada arvutisse paigaldada mõni programm. Kõik need lähenemised on mõistlikud, aga kindlas kontekstis – kui mingi kaitseliigutus on tehtud selle reaalset mõju läbi mõtlemata, on lihtne reha otsa astuda.
Turvalisus ei saa olla liiga tüütu
Ettevõtte või enda ohtude eest kaitsmine ei saa jalgu jääda igapäevasele põhitegevustele, mis tähendab, et turvalahendusi ja varusüsteeme planeerides tuleks lähtuda kainest talupojamõistusest ja selgest vajadusest. Mida turvalisem miski on, seda ebamugavam on seda kasutada. Mida ebamugavam midagi on, seda enam on inimesed motiveeritud leidma viise püstitatud kaitselahendustest mööda hiilida.
Seetõttu on oluline, et iga seotud osapool mõistaks, miks midagi tehakse. Sageli on võimalik ühele kindlale turvariskile läheneda mitmel viisil, mistõttu on kriitiline kaaluda kõiki protsesse ja aspekte, mida konkreetne lähenemine puudutab, ning valida välja kõige mõistlikum ja laias pildis inimesi kõige vähem koormav lahendus. Riskitaluvus ja reaalsed tingimused seavad omad piirid, aga nii nagu on võimalik teha liiga vähe, on võimalik teha ka liiga palju.
Lennujaama minnes kontrollivad turvatöötajad meid põhjalikult, ent lennujaamast koju minnes mingit kontrolli ei ole. Täpselt samamoodi ei pane enamik meist endale koju kuulikindlat ust, sest turvauksest täiesti piisab. Sama loogikat tasub järgida ka ettevõtte turvalisuse puhul – iga firma ei pea end kaitsma terroriohu vastu ja igasse süsteemi sisse logimiseks ei pea andma kolme veretilka. Mõnel juhul peab, aga see ei saa olla baastase.
Selle kõrval peavad turvalahendused olema mõistlikud mitte ainult aja- ja ressurssikulu vaatest, vaid ka reaalsete riskide vaatest. Reaalsest elust leiab hulgaliselt näiteid, kus ettevõtted on mingi konkreetse riski maandamiseks hulga tegevusi teinud, ent kogu protsess pole olnud piisavalt läbi mõeldud. Näiteks kui riskiks on andmete kaotamine, siis ilmselge lahendus on varukoopiate tegemine. Ent pole ebatavaline, et need koopiad tehakse lõpuks lihtsalt kõrvaltoas asuvasse serverisse.
Kontori mahapõlemise korral pole sellest aga mingit kasu. Lihtsalt mingite tegevuste tegemine ilma liialt detailidesse süvenemata võib reaalseid riske hoopis maskeerida, muutes nii tervikpildi veelgi nukramaks. Kui arvad, et oled kaitstud, on lihtne probleemidest kogemata mööda vaadata.
Kõigepealt hinda riskide, seejärel turvalahenduste hinda
Kõike arvesse võttes on selge, et rakendatavate kaitselahenduste eelduseks peaks olema põhjalik riskianalüüs ja oma riskitaluvuse hindamine. See on koht, kus tuleb kõik võimalikud riskid endale selgeks teha ning iga riski puhul hinnata, kas kallim-ohtlikum on selle riski realiseerumine või selle ennetamine. Sõltuvalt riskidest ja ettevõtte eripäradest saabki tihti panustada rohkem või vähem erinevatesse valdkondadesse – mõnel juhul piisab tabalukust, teisel juhul on tarvis uks kinni keevitada.
Võetava lähenemise mõistlikkus on tihedalt seotud otsese ressursikuluga. Mida uhkem ja kuulikindlam, seda kulukam ja koormavam ta enamasti on. Seega on loogiline, et alati ei ole mõistlik end absoluutselt iga võimaliku ohu eest ogaraks turvata – kui asi võib juhtuda kord aastas, siis eeldab see teistsugust lähenemist kui igakuise riskiga tegelemine.
Enda ja oma ettevõtte võimalike ohtude eest kindlustamine ei ole lihtne. Turvalisuse puhul maksab alati ohtudele kaine mõistusega peale vaadata ja kuigi keskmise müügimehe missiooniks on pea alati pakkuda välja kõige kallim ja suurem pakett, siis vahel võib liigne agarus hoopis ettevõttele vastu töötama hakata. Mõnikord piisab juba olemasoleva läikima lihvimisest ja kodust välja minnes ukse lukustamisest. Või serveri parooliga kaitsmisest.
Fotod: Shutterstock, Microsoft