Kuigi tehnoloogial on küberrünnete ennetamises oluline roll, ei pööra ettevõtted piisavalt tähelepanu teisele vähemalt sama olulisele küberohtude ennetusmeetmele: oma töötajatele. Ärinõustamisfirma Grant Thornton hiljutise uuringu tulemused keskmise suurusega ettevõtete seas näitasid, et liigne tehnoloogiale lootmine on küberkaitse, sh isikuandmete turvalisuse puhul kõige nõrgem lüli.

Ettevõtete juhid peaksid mõistma, et tehnoloogiasse investeerimine pole küberohtude vähendamisel ainus võimalus. Vähemalt sama oluline on kõigi töötajate, mitte ainult IT-valdkonnaga tegelevate spetsialistide teadlikkuse suurendamine küberohtudest ja inimeste pidev koolitamine.

Mis on teie ettevõttes väärtuslikku?

Küberturvalisuse tagamisel ettevõttes tuleks esmalt püüda vastata kahele küsimusele. Millised on kõige väärtuslikumad kaitset vajavad varad, sh andmed? Mismoodi neid tõenäoliselt rünnata püütakse? Näiteks on jaekaubanduses kaupmeeste käsutuses klientide isikuandmed, sh nende ostude ajalugu – see on tundlik info. Mis juhtub, kui need andmed satuvad võõrastesse kätesse?

Kui ettevõttes on küsimused väärtuslike varade ja võimalike rünnete kohta vastatud, on selgem pilt, milline on küberohtude realiseerumise mõju, sh kliendisuhetele. Seejärel saab plaani pidada, kuidas ohte vähendada. Üks on aga selge – pidev tegelemine küberturvalisuse teemaga, sisemiste protsesside ülevaatamine ning oma töötajate kaasamine on küberrünnakute ennetamisel a ja o.

Tehnoloogia ei kaitse inimese teadmatuse eest

Ettevõtted võivad investeerida parimasse küberturvalisuse tehnoloogiasse, aga see ei pruugi ennetada oma töötajatest tingitud probleeme – on ju inimene see, kes avab e-kirja manuse, milles peitub viirus või laadib alla pahavara, mis hiljem krüpteerib arvutis olevad andmed.

Selge on see, et töötajaid peab küberohtude teemal koolitama, aga kuidas seda efektiivselt teha. Veebiseminare ja koolitusprogramme on ju aastaid tehtud, aga ikkagi langevad inimesed küberkurjategijate ohvriks.

Üks variant on kasutada lühemaid koolitusformaate. Keegi ei jaksa vaadata tund aega kestvat videot. Seega tuleks koolitusvideo kärpida maksimaalselt kahe minuti pikkuseks. Samuti on vaja pidevalt silma torkavaid meeldetuletusi, näiteks plakateid kontori seintel ning lühikest ja löövat sõnumit arvutiekraanil, et korrata inimestele üle küberturvalisuse ABC. Üks nipp on ka see, kui ettevõte loob ise andmete õngitsemise kirju, saadab need oma töötajatele ja teeb kirjale vastanutele täiendavaid küberturvalisuse koolitusi.

Töötajatele tutvustatakse viimati toimunud ründeid

Grant Thornton Balticus on elementaarne koolitada kõiki uusi töötajaid. Nad saavad ülevaate küberturvalisuse olukorrast, meie turvameetmetest jne. Toome koolitustel kindlasti ka näiteid ja põimime neid reeglitega. Silmast silma suhtlemine annab võimaluse küsida ja kokkuvõttes on see palju tõhusam viisist, kui inimene peab infoturbepoliitika lihtsalt läbi lugema. Loomulikult räägime koolitusel käsitletud teemad kord aastas üle ja seda kõigile töötajatele.

Lisaks tutvustab IT-spetsialist kord kuus ettevõtte üldises infotunnis viimaseid ettevõtte vastu tehtud rünnakuid. See paneb inimesi kaasa mõtlema ja aru saama, kuidas rünne tehakse ning mis toimub taustal. Innustame töötajaid pöörduma IT-spetsialistide poole, kui neil on probleem või tundub mõni e-kiri kahtlane. See on mõlemale poolele win-win lahendus, töötajad õpivad midagi uut ja IT-spetsialistid saavad uue ründetüübi kohta infot.

Lõpetuseks tasub üle korrata – küsimus pole selles, kas teie ettevõtet küberrünnak tabab, vaid selles, millal see juhtub. Seetõttu tuleb suuta rünnet ennetada ja selleks on vaja nii head tehnoloogiat kui ka küberturvalisuse ohtudest teadlikke töötajaid, kes oskavad oma teadmisi ka kasutada.