Mõni kuu tagasi toimunud andmeleke Hiinas näitas ilmekalt, et andmed on ühtaegu nii kõige väärtuslikum kui ka kõige kergemini kättesaadav saak – sageli pelgalt näiliselt tühise vea tõttu. See juhtum oli muljetavaldav mitte ainult oma mastaabi poolest (lektis 1,7 miljardit unikaalset kirjet), vaid ka põhjuse tõttu: selgus, et kogu info oli ligipääsetav ilma paroolita.
Teisisõnu, aastaid kogutud andmed muutusid avalikult kättesaadavaks ühe läbimõtlemata sammu tõttu. Ja see pole sugugi erand. Maailma Majandusfoorumi andmetel on lausa 95% kõigist küberintsidentidest seotud inimlike eksimustega – sarnaste vigade, harjumuste või hooletusega.
See statistika sunnib tunnistama: tehnoloogia ise ei ole enamasti probleem. Oluliselt sagedamini on tegelik riskiallikas meie endi käitumine, kiirustamine ja andmekaitsekultuuri puudumine. Kui sellised lekked toimuvad riigi- või koguni ülemaailmsel tasandil, mida see siis tähendab väiksematele ettevõtetele, kus andmed liiguvad iga päev kümnete inimeste, seadmete ja rakenduste vahel?
Just seal, igapäevatöö, aja nappuse ja ebaselgete vastutuste ristumiskohas, peitubki tavaliselt kõige rohkem turvaauke. Kuidas neid riske juhtida ja muuta andmekaitse mitte hirmutavaks kohustuseks, vaid loomulikuks igapäevaseks harjumuseks? Olulisemaid vastuseid jagab Eglė Tankevičienė, äriprotsesside konsultant, brändi „Laikas plėstis“ asutaja ja ISO standardite juurutamise praktik.
Juurdepääs andmetele ei ole kontrolli all? Siis ei kasuta neid ainult teie meeskond
Kas eelistada mugavust või turvalisust? Paljud ettevõtted valivad endiselt esimese variandi, andes ligipääsu samadele failidele kogu meeskonnale – ka nendele töötajatele, kes tegelikult seda infot oma tööks ei vaja. Kuid kas tänane aja kokkuhoid ei muutu homme kadunud andmeteks ja lekete ohuks?
Üks olulisemaid põhimõtteid ettevõtte andmete kaitsmisel on see, et iga töötaja näeks ainult neid andmeid, mida ta vajab oma igapäevaste ülesannete täitmiseks. Mida rohkem infot töötaja näeb, seda suurem on mitte ainult hajameelsuse ja eksimuste oht, vaid ka potentsiaalselt lekkida võivate andmete maht.
Ohukohaks võib osutuda ka endine kolleeg, kellele pole ligipääse pärast lahkumist kinni pandud: piisab ühe e-posti konto ülevõtmisest, et konfidentsiaalne info satuks valedesse kätesse. Eglė Tankevičienė rõhutab, et andmeturbe kultuur algab pisiasjadest: „Juurdepääsu haldamine on harjumus, mis näitab, kas organisatsioon mõistab oma andmete tegelikku väärtust.
Kui seda protsessi ei juhita, tähendab see, et meeskonnas puudub inimene, kes vastutaks andmete turvalisuse eest. Ja see omakorda tähendab, et riskime need andmed kaotada.“
Kuidas meeskonnas juurdepääse turvaliselt hallata?
Äriprotsesside konsultant soovitab lähtuda järgmistest sammudest:
- Piira ligipääsu vastavalt ametikohale – igaüks peaks nägema ainult seda, mis on vajalik tema tööülesannete täitmiseks;
- Vaata õigusi regulaarselt üle ja eemalda ligipääsud, mida enam ei kasutata või ei vajata;
- Blokeeri lahkuvate töötajate kontod ja ligipääsud kohe, mitte mõne nädala pärast;
- Kasuta võimalusel ainult tööadresse ja tööseadmeid, isiklike kontode ja seadmete kasutamisel hinda kriitiliselt, kas see on tõesti vältimatu.
Nõrgad paroolid, tugevad tagajärjed
Kuigi andmed on väärtuselt võrreldavad raha ja mainega, on paroolid, millega me neid kaitseme, tihti sisuliselt väärtusetud. ISO 27001 info turvajuhtimise standardit ettevõtetele juurutades näeb Eglė Tankevičienė üht ja sama probleemi ikka ja jälle: „ISO 27001 on üks enim valitud standardeid, kui ettevõtted hakkavad tõsiselt andmeturbele mõtlema.
Ent juba esimestel sammudel leiame peaaegu alati sama nõrga lüli – paroolipoliitika. Isegi väga väärtuslike andmete puhul kasutatakse sageli paroole nagu „admin123“.“ Tema sõnul ei ole nõrgad paroolid tehnoloogiline, vaid käitumiskultuuri probleem. „Kui andmed on ettevõttes väärtus, peavad neid kaitsma sama tasemel paroolid,“ ütleb ta.
Igal töötajal peaks olema isiklik konto ja unikaalne kasutaja – kui andmeleke juhtub, aitab see kiiremini tuvastada, kust probleem alguse sai. Paroolid ise peaksid olema tugevad: sisaldama suuri ja väikseid tähti, numbreid ning erimärke. Jah, selliseid kombinatsioone on raske meeles pidada, kuid selleks on olemas paroolihaldurid, mis võimaldavad kõiki vajalikke paroole turvaliselt ja mugavalt hoida.
Tehisintellekt – abimees või oht?
Tehisintellekti tööriistad on saanud tavapäraseks osaks paljude inimeste ja ettevõtete igapäevasest tööst. Koos suurema efektiivsusega kaasneb aga uus risk: info, mida me nendele süsteemidele edastame, ei jää ainult meie kätte. Seda võidakse talletada, analüüsida, kasutada mudelite täiendamiseks või isegi avalikustada.
„Tehisintellekt ei ole iseenesest ohtlik – ohuks muutub ta siis, kui me kasutame seda läbimõtlematult,“ märgib Eglė Tankevičienė. „Näen järjest sagedamini, et tehisintellekt tekitab ettevõtetele uusi väljakutseid, mistõttu on eriti oluline luua selged reeglid ja vastutused.
See hõlmab nii juba kasutusel olevate tööriistade analüüsi kui ka konkreetseid juhiseid selle kohta, milliseid andmeid tohib tehisintellektiga jagada ja milliseid mitte mingil juhul.“
Viimastel aastatel on loodud ka vahendeid nende riskide juhtimiseks: näiteks ISO/IEC 42001 standard tehisintellekti süsteemide haldamiseks ning Euroopa Liidu tehisintellekti määrus (AI Act), mis seab rangemad piirid ja nõuded, kuidas neid tehnoloogiaid kasutada ja kontrollida. Miks see on oluline?
Me ei tea sageli täpselt, kuhu liigub info, mida tehisintellektiga jagame. Seda võidakse kasutada teiste vastuste genereerimiseks või halvemal juhul konkurentide kätte sattuda. Seetõttu ei ole enam tegu soovitusega, vaid vajadusega selgelt piiritleda, millise infoga „rääkida“ saab ja millisega mitte. Enne kui midagi tehisintellekti tööriista sisestad, tasub korraks peatuda ja endalt küsida: kas ma ütleksin sama asja ka oma konkurendile?
Kas andmeturve on ainult suurte ettevõtete mure?
Olenemata sellest, kas ettevõttes töötab viis või viissada inimest – andmekaitse on kõigi jaoks oluline. Isegi kõige väiksemad meeskonnad puutuvad iga päev kokku teabega, mis võib kellelegi olla väga väärtuslik. Seega ei ole küsimus enam „kas tasub andmeid kaitsta?“, vaid „kuidas seda targalt teha?“.
„Ettevõtted loovad andmekaitsesüsteeme väga erinevalt,“ selgitab Eglė Tankevičienė. „Mõned panevad ise paika oma reeglid ja protsessid, teised toetuvad juba rahvusvaheliselt tunnustatud praktikatele – näiteks ISO standarditele, mis aitavad üles ehitada selge ja arusaadava andmekaitsepoliitika kogu organisatsioonis. Kõige olulisem on aga see, et loodud süsteem töötaks päriselt, mitte ainult ei eksisteeriks dokumentides.“
Olgu juttu juurdepääsude haldamisest, paroolidest või tehisintellekti kasutamisest – andmeid tuleb kaitsta sama tõsiselt nagu iga muud väärtuslikku vara. Need on väärtus, mis hoiab ettevõtte pidevust, ainulaadsust ja mainet ning mille kaotamine võib osutuda oluliselt kallimaks kui mistahes turvameede.
