Teadmised on jõud ja andmed on uus kuld!
Andmetel on kullaga mitmeid ühiseid jooni. Andmeid saab korduvalt kasutada uute teadmiste loomiseks nagu kulda saab uuesti ümber valades muuta uuteks väärisesemeteks. Nagu kullal on ehtena suurem väärtus, on andmetel suurem väärtus kui neist on tehtud ilus ja selge aruanne. Ja nagu kulla säilitamine nõuab ettevaatusabinõusid ning kulusid turvalisusse, vajab ka andmete säilitamine pidevaid investeeringuid turvalisusse. Erinevalt kullast tekib andmeid pidevalt juurde.
Juba aastal 2020 tekitas iga inimene maakeral andmeid keskmiselt 1,7MB sekundis, mis teeb päevas 143GB andmeid ehk umbes 7 tundi 4K resolutsioonis filmi (pakitult). Suur maht tuleb sellest, et uus loodav sisu on peamiselt audiovisuaalne. Paljud Teams koosolekud salvestatakse protokollimise eesmärgil, uued autod salvestavad AI õpetamiseks sõitusid, rakendused puhverdavad filme, muusikat ja veebilehti parema kiiruse saamiseks meie seadmetesse ning telefonid võimaldavad igast elu hetkest teha kõrglahutuses pilte ja videoid. Lisaks jälgib avalikes kohtades meid igal sammul videovalve ja iga meie samm veebis salvestatakse otsustamaks, millist reklaami kuvada.
Pilveteenused panevad ettevõtetele suurema vastutuse
Kui varem salvestasid inimesed andmeid oma arvutitesse, siis nüüd salvestatakse kõik dokumendid, pildid ja videod otse pilveteenustesse, mis paneb teenusepakkujatele senisest suurema vastutuse. Kui ettevõte pakub töötajatele kaasaegset töökeskkonda, siis lasub kõigi nende andmete säilitamise ja kaitsmise vastutus tööandjal. Seejuures muutub IT arhitektuur üha keerukamaks.
Pandeemia ajal võeti kiiresti omaks uued töövõtted ning nende toetamiseks uusi läbi proovimata rakendusi. Ettevõtetes, kus ei olnud kaugtöö kogemust, liikusid andmetega toimuvad protsessid kiiresti IT juhtimise kontrolli alt välja. Käest libisenud pilveteenuste keskhaldusesse saamine ei ole lihtne. Paljud uued rakendused ei ole ehitatud turvalisust või keskhaldust silmas pidades. Ettevõtted on hädas töötajatega, kes ei taha loobuda juba harjumuspärastest rakendustest, ning töötajate ümber õpetamine kasutama ettevõtte eelistatud rakendusi on aeganõudev.
Kasutajakontod on küberohtudele haavatavad
Pilveteenustele ehitatud IT taristus on andmed ligipääsetavad igal pool – nii tööl kui kodus. Ligipääsuks on vaja vaid õiget kasutajanime ja parooli. Mugavuse huvides kipuvad töötajad kasutama sama kasutajanime ja parooli paljudes erinevates teenustes. Nii on ühe teenuse rikke korral küberkurjategijatel lihtne haavata kohe järgmisi ettevõtte kasutuses olevaid süsteeme.
Selle riski juhtimiseks kasutatakse ühekordset sisselogimist (SSO) ja mitmikautentimist (MFA)
Ühekordne sisselogimine on selline süsteem, kus ettevõte kasutab kõigi arvutite, serverite ja teenuste kasutajate haldamiseks üht keskset kasutajaõiguste süsteemi (Active Directory, Entra ID). Iga järgmine kasutusele võetav teenus seotakse keskse kasutusõiguste süsteemiga selliselt, et töötaja kasutab sama kontot kõikide teenuste kasutamiseks. Esmapilgul võib inimesele tunduda, et süsteem on samuti ehitatud üles põhimõttel, et ta kasutab igas teenuses sama kasutajanime ja sama parooli. See ei ole nii, SSO lahenduses ei säilita teenused oma andmebaasis paroole. Kui inimene soovib mõnda teenust kasutada, pöördub teenus ettevõtte keskse kasutajaõiguste süsteemi poole. Kui keskne kasutajaõiguste süsteem on inimese tuvastanud, kinnitab see teenusele konto autentsuse ja inimene saab teenusesse sisse. Kuigi kõigi teenuste kasutamiseks on tõesti sama kasutajanimi ja parool, toimub kõigi teenuste jaoks isiku tuvastamine ettevõtte kontrollitud süsteemis.
Mitmikautentimine (MFA) kohustab isiku tuvastamisel kasutama täiendavat vahendit, millele ei ole küberkurjategijal lihtsasti ligi pääseda. Näiteks mitmes kohas sama kasutajanime ja parooli kasutanud inimese rekvisiid on võimalik turvaveaga teenusest üle interneti alla laadida. Tema telefonile, millele SMSiga saadetakse turvakood, ei ole võimalik nii lihtsasti ligi saada.
Seepärast peab kaasaegne autentimine kasutama mitmikautentimist, et kasutajanime ja parooli lekkimisel ei oleks võimalik kohe saada volitamata ligipääsu. Kõige paremini on ettevõtte andmed kaitstud kui kasutusel on mõlemad, nii mitmikautentimine kui ühekordne sisselogimine. Siis on rünnet lihtsam ära hoida ja ründe korral konto kiiresti ühest kohast sulgeda.
Ainult keskne haldus on kiire
Lisaks kontode haldusele on mõistlik tsentraliseerida ka teised ettevõtte küberkaitse teenused. Andmetele ligipääsu keskne haldamine, kasutuse keskne logimine, keskne varundamine ja muu tsentraliseerimine on pilveteenuste ajastul üha möödapääsmatu. Vaid nii on küberturvalisuse eest vastutavatel inimestel võimalik terviklikku ülevaadet omada. Süsteemide sisesed logid ja varukoopiad ei kata kunagi nii pikka perioodi.
Blumira ja IBMi 2021. aasta uuringus selgus, et küberintsidendi keskmine elutsükkel on 287 päeva, millest 212 päeva kulus rikke avastamiseks ning veel 75 päeva tõkestamiseks ja parandamiseks. Edukad küberrünnakud avastatakse tavaliselt alles kui tagajärjed on ilmsed. Nii ei piisa seadmete lokaalsetest logidest, mida seadmed säilitavad lühikest aega ja küberkurjategijate saagiks langenud süsteemide logid ei ole usaldusväärsed. Seepärast on mõistlik rakendada keskset süsteemide logimist ning andmete varundamist, kus andmed säilitakse vähemalt 365 päeva.
Millised turvameetmed on piisavad?
Et otsustada, milliseid andmeid kaitsta ning milliseid turvameetmeid neile andmetele rakendada, peab andmed klassifitseerima. Alati on mõned andmed olulisemad kui teised ning nende säilimine algsel kujul konfidentsiaalsena peab olema rohkem tagatud. Selle hindamiseks on mõõta andmete olulisust nende kasutuse vajaduse ning kasutuse mõju alusel. Seejärel tuvastada riskid, mis neile andmetele rakenduvad, ning sellest omakorda lähtuvad protseduurid ja tehnilised lahendused nende andmete kaitsmiseks.
Sageli otsustavad ettevõtted, et kõik andmed on võrdselt olulised või et kõigile andmetele rakendame samu turvameetmeid. Kui rahaliselt on otstarbekas rakendada kõigi andmete säilitamisele kõige kõrgemaid turvameetmeid, siis infoturbestandard ISO 27 001 seda ei keela. Siiski jääb kohustus töötajaid juhendada andmete töötlemisel, kas tegu on ärisaladusega või isikuandmetega.
Ärisaladuse kaitse seadus sõnastab, ärisaladus on teave, mis ei ole üldteada valdkonna spetsialistile, teabel on salajasusest tulenev kaubanduslik väärtus ning teabele on rakendatud meetmed selle salajasena hoidmiseks. Kui ärisaladus on kaitstud võrdselt kõigi teiste andmetega ning spetsialistil on ligipääs kõigile andmetele võrdselt ärisaladusega, on andmetest võimatu eristada ärisaladust. Spetsialist, kes ettevõttes töötab ja omab igapäevast ligipääsu andmetele, ei või teada, et antud andmed ei ole tööstusharus üldteada. Kui ärisaladus on veel täpselt sama moodi kaitstud kui ilmselgelt valdkonnas üldteada teave, on see töötaja jaoks nagu iga teine tööstusharu teave, mis aitab tal oma tööd paremini teha. Seepärast on oluline ärisaladus vastavalt tähistada, et eristada see tööstusharus üldteada teabest.
Isikuandmete töötlemisele rakendab Isikuandmete kaitse seadus veelgi rangemad nõuded. Näiteks seab paragrahv 14 muu hulgas nõude tuvastada andmesubjekt üksnes seni kuni andmete töötlemise eesmärk on täidetud ja loa töödelda isikuandmeid vaid kindlaks määratud õiguspärastel eesmärkidel. Ja paragrahv 17 nõuab, et kui isikuandmete säilitamise tähtaeg lõpeb, on vastutav ja volitatud töötleja kohustatud isikuandmed jäädavalt kustutama. Selliseid nõudeid on võimalik täita vaid juhul kui isikuandmed on muudest andmetest eristatud ning neile rakendatud seadusega nõutud protseduurid, mis on erinevad ülejäänud ettevõtte andmetele rakendatud säilimise ja töötlemise nõuetele.
Millistest küberkaitse meetmetest alustada?
Andmete kaitsmise tehniliste meetmetena on otstarbekas rakendada vähemalt:
- krüpteerimist nii andmete salvestamisel kui edastamisel;
- hoida turvalist varukoopiat teises asukohas;
- keskeselt uuendada kõiki seadmeid;
- rakendada kontodele mitmikautentimine (MFA);
- ühekordne sisselogimine kõikides teenustes (SSO);
- töötajate koolitamine küberohtude ja õngitsuskirjade ära tundmiseks.
Kui eelnev on tehtud, siis on järgmise sammuna mõistlik:
- Rakendada tehnilised meetmed andmelekete tõkestuseks;
- logida juurdepääse konfidentsiaalsetele andmetele;
- logida kasutajate ja administraatorite tegevusi;
- koondada kõik logid keskhaldusesse tervikpildi omamiseks;
- dokumenteerida tegevusjuhised turvaintsidentidele kiireks reageerimiseks.
Eelnevad soovitused esimesed sammud turvalisuse arendamisel. Iga ettevõtte spetsiifilised meetmed ja süsteemid sõltuvad ettevõtte tööstusharust, andmete tundlikkusest ja väärtusest.