Väikestes ettevõtetes arvatakse sageli, et andmekaitse ja infoturve on midagi keerulist, mingi IT-inimeste või juristide teema, millega peaks tegelema siis, kui ettevõte suuremaks kasvab ja sellisteks asjadeks rohkem ressurssi jääb.
Tegelikult ei tähenda andmekaitse ja infoturbega tegelemine alati suuri kulutusi kallitele süsteemidele. Ettevõtte turvalisus sõltub hoopis suuresti töötajate igapäevastest harjumustest ning läbimõeldud tööprotsessidest. Andmekaitse Inspektsiooni taskuhäälingu samateemalises episoodis mainiti, et kurjategijatel on lihtsam manipuleerida töötajaga, kui hakata murdma tehnilisi kaitsemeetmeid.
Enamik andmeleketest, pettustest ja rünnetest ei alga keerulisest häkkimisest, vaid ühest tähelepanematust klikist, valesti saadetud meilist või liiga kergesti usaldatud telefonikõnest. Probleem on kohati isegi valusam just väikestes ettevõtetes, kus nende teemade jaoks puudub eraldi inimene, kes oskaks ohtudele tähelepanu juhtida, teisi töötajaid koolitada ning toimunud intsidendi või rikkumise järel kiirelt reageerida. Kui oled mikroettevõtja, siis ei saa lahendus olla täiendava töötaja palkamine. Mida siis ikkagi teha, et sinu ettevõte oleks paremini kaitstud?
Panin kokku väikese ülevaate, mida saad oma töötajatega jagada või mille üle töötajate ja kolleegidega ühises lõunalauas mõtteid vahetada. Vajadusel kirjutage kõige olulisemad mõtted töötajatega jagatud ühisesse faili.
Rääkige omavahel läbi …
- Millised on ettevõtte infovarad?
Üldjuhul on kõigile arusaadav, et tööandja poolt antud töölaud, arvuti, kontoris olev prointer jne on ettevõtte vara. Kui aga räägime andmetest, siis läheb asi keeruliseks – kas näiteks meie klientide andmed, töötajate andmed, töö raames loodud failid on ka ettevõtte. Arutage läbi, millised andmed on need, mille loata kustutamine, muutmine või avalikustamine võiks ettevõttele negatiivset mõju avaldada.
- Kuidas tunda ära potentsiaalset ohtu?
Jagage kogemusi ja mõtteid avatult! Kas kellelgi on tekkinud mõnikord tunne, et mõni e-kiri on veidi kahtlane. Mis seda tunnet tekitas? Kuidas võiks kahtlaseid e-kirju ära tunda (nt imelikud meiliaadressid, tundmatud kirja saatjad, kahtlased manused või imeliku URL-iga lingid). Mida võiksite ettevõttes teha alati, kui keegi mõne kahlase kirja saab (nt kutsu kolleeg ja nuputage koos, leia kirja saatja ettevõtte koduleht veebist ning kontrolli töötaja meiliaadressi)?
- Mida teha, kui kardad, et klikkisid kahtlast linki, saatsid isikuandmeid valedele adressaatidele või unustasid tähtsaid andmeid sisaldavad paberid avalikku kohta?
Ettevõtte turvalisus sõltub ka sellest, kas töötajad julgevad rääkida olukordadest, mis tunduvad kahtlased või ka iseenda eksimustest. Varem või hiljem puutume kokku mõne intsidendi või rikkumisega, kuid saame neile kiiresti ja adekvaatselt reageerides suuremaid probleeme vältida ja neist olukordadest õppida ning oma süsteeme ning protsesse seeläbi tugevamaks muuta. Kui neist olukordadest vaikitakse, võivad tagajärjed lõpuks palju tõsisemaks muutuda. Lisaks võtab see töötajatelt ära võimaluse õppida.
- Millised võiksid paroolid olla?
Arutage, milline on üks hea ja tugev parool. Kui sageli oleks mõistlik paroole vahetada? Kas mõnes süsteemis saate kasutusele võtta ka kaheastmelise autentimise?
- Mida saame veel teha, et ettevõtte varasid kaitsta
- Andmete kogumise läbi mõtlemine ja ebavajalike andmete kogumise lõpetamine.
- Ebavajalike andmete regulaarne kustutamine.
- Varukoopiate tegemine.
- Ligipääsuõiguste üle vaatamine.
- Tarkvarade regulaarne uuendamine.
- Kodukontoris töötamine.
Kuidas tagada seadmete turvalisuse. Kas ja mis tingimustel võivad teised pereliikmed tööarvutit kasutada? Kas avalikus wifis võib tööarvutiga tööasju ajada?
Kui soovid nendel teemadel rohkem infot, siis soovitan järgmisi linke:
- Andmekaitse Inspektsioon “Kuidas tõsta töötajate teadlikkust pettustest ja õngitsustest?”
- Riigi Infosüsteemi Amet “Ettevõtte küberturvalisuse lühijuhend”
- Andmekaitse Inspektsiooni andmekaitse ABC õppevideod
- Riigi Infosüsteemi Amet “10 soovitust turvaliseks kaugtööks”
Hanna Kriiska
Andmekaitseekspert
Olen ise mikroettevõtja ja lapsevanem ning tean, et laual on alati rohkem asju, kui aega nende tegemiseks.
Kui tunned, et soovid selles teemas paremini orienteerumiseks konsultatsiooni, oma töötajatele koolitust või abi ettevõtte siseste reeglite ja kokkulepete kirja panemisel, siis võta julgelt ühendust ning aitan sul selle ära teha.
- hanna@medata.ee
- +37256244441