Kuigi tehnoloogial on küberrünnete ennetamises oluline roll, ei pööra ettevõtted piisavalt tähelepanu teisele vähemalt sama olulisele küberohtude ennetusmeetmele: oma töötajatele. Ärinõustamisfirma Grant Thorntoni hiljutise uuringu tulemused keskmise suurusega ettevõtete seas näitasid, et liigne tehnoloogiale lootmine on küberkaitse, sh isikuandmete turvalisuse puhul kõige nõrgem lüli.
Ettevõtete juhid peaksid mõistma, et tehnoloogiasse investeerimine pole küberohtude vähendamisel ainus võimalus. Vähemalt sama oluline on kõigi töötajate, mitte ainult IT-valdkonnaga tegelevate spetsialistide teadlikkuse suurendamine küberohtudest ja inimeste pidev koolitamine.
Mis on teie ettevõttes väärtuslikku?
Ettevõttes küberturvalisuse tagamisel tuleks esmalt püüda vastata kahele küsimusele. Esiteks: millised on kõige väärtuslikumad kaitset vajavad varad, sh andmed. Teiseks: mismoodi neid tõenäoliselt rünnata püütakse. Näiteks jaekaubanduses on kaupmeeste käsutuses klientide isikuandmed, sh nende ostude ajalugu – see on tundlik info. Mis juhtub, kui need andmed satuvad võõrastesse kätesse?
Kui ettevõttes on küsimused väärtuslike varade ja võimalike rünnete kohta vastatud, on selgem pilt sellest, milline on küberohtude realiseerumise mõju, sh kliendisuhetele. Seejärel saab plaani pidada, kuidas ohte vähendada. Üks on aga selge – küberturvalisuse teemaga pidev tegelemine, sisemiste, protsesside ülevaatamine ning oma töötajate kaasamine on küberrünnakute ennetamisel a ja o.
Tehnoloogia ei kaitse inimese teadmatuse eest
Ettevõtted võivad investeerida parimatesse küberturvalisuse tehnoloogiatesse, aga see ei pruugi ennetada oma töötajatest tingitud probleeme – on ju inimene see, kes avab e-kirja manuse, milles peitub viirus või laadib alla pahavara, mis hiljem arvutis olevad andmed krüpteerib.
Selge on see, et töötajaid peab küberohtude teemal koolitama, aga kuidas seda efektiivselt teha? Veebiseminare ja koolitusprogramme on ju aastaid tehtud, aga ikkagi langevad inimesed küberkurjategijate ohvriks.
Üks variant on kasutada lühemaid koolitusformaate. Keegi ei jaksa vaadata tund aega kestvat videot, seega tuleks koolitusvideo kärpida maksimaalselt kahe minuti pikkuseks. Samuti on vaja pidevalt silma torkavaid meeldetuletusi, näiteks plakateid kontori seintel ning lühikest ja löövat sõnumit arvutiekraanil, et inimestele küberturvalisuse ABC üle korrata. Üks nipp on ka see, kui ettevõte loob ise andmete õngitsemise kirju, saadab need oma töötajatele ja teeb kirjale vastanutele täiendavaid küberturvalisuse koolitusi.
Tutvustame töötajatele viimati toimunud ründeid
Grant Thornton Balticus on elementaarne koolitada kõiki uusi töötajaid. Nad saavad ülevaate küberturvalisuse olukorrast, meie turvameetmetest jne. Toome koolitustel kindlasti ka näiteid ja põimime neid reeglitega. Silmast silma suhtlemine annab võimaluse küsida ja kokkuvõttes on see palju tõhusam viisist, kui inimene peab infoturbepoliitika lihtsalt läbi lugema. Loomulikult räägime koolitusel käsitletud teemad kord aastas üle ja seda kõigile töötajatele.
Lisaks tutvustab meie IT-spetsialist kord kuus ettevõtte üldises infotunnis 20 minuti jooksul viimaseid meie ettevõtte vastu tehtud rünnakuid. See paneb inimesi kaasa mõtlema ja aru saama, kuidas rünne tehakse ning mis taustal toimub. Innustame töötajaid kindlasti IT-spetsialistide poole pöörduma, kui neil on probleem või tundub mõni e-kiri kahtlane. See on mõlemale poolele win-win lahendus, töötajad õpivad midagi uut ja IT-spetsialistid saavad uue ründetüübi kohta infot.
Lõpetuseks tasub üle korrata – küsimus pole selles, kas teie ettevõtet küberrünnak tabab, vaid selles, millal see juhtub. Seetõttu tuleb suuta rünnet ennetada ja selleks on vaja nii head tehnoloogiat kui ka küberturvalisuse ohtudest teadlikke töötajaid, kes oskavad oma teadmisi ka kasutada.
