Kool on peaaegu läbi… ärge laske häkkeritel arvutisse tungida

Turvalisuse küsimustes seisavad koolid silmitsi unikaalsete väljakutsetega. On keeruline mõelda ühestki teistsugusest organisatsioonist, mis kombineerib haridusega, tervishoiuga, rahandusega, kaubandusega ja teadustööga tegelemise koos tavapärasemate inimressursside juhtimisega ja raamatupidamisega. Sidudes säärase teenuste sügavuse turvavasteregulatsioonide tähestikusupiga, on teabe avatuse ootus nii organisatsiooni sees kui väljas oluliselt väljakutsuvam kui võiks arvata, eriti väga piiratud eelarve puhul.

 

Kriminaalid kasutavad seda võimalust aina enam, koolid aga tunnetavad survet. Educause’i 2015.aasta küsitlus näitas, et turvalisusmured olid koolide IT-juhtide jaoks kümne kõige vähem olulise valdkonna seas. 2016. ja 2017.aastal, peeti küberturvet number üks IT-mureks.

 

Tea, kas see on hea või halb, aga jaemüügi- ja tervishoiuettevõtted on olnud korduvalt tähelepanu all seoses suurte kuludega, mida korduvate märkimisväärsete turvaprobleemide tõttu kantud on. See on sundinud mõlemad sektorid tegelema oma probleemidega väga avalikul moel, seda just valitsuse ja tarbijate surve tõttu. Tohutusuurte lekete puudumine haridusinstitutsioonides võib tekitada probleemis suhtes eksliku turvatunde.

 

Privacy Rights Clearinghouse andmetel oli 2016.aastal haridussektoris vaid 19 leket, millega saadi kätte vähem kui 65 000 annet. Neist 19 lekkest aga lausa 11 juhul on teatatud sellest, et ei teata millisele hulgale andmetest ligipääs saadi, seega ei võetud neid lekkeid kogu lekkinud andmete hulga arvestamisel arvesse. Veel viis leket, millega saadi kätte vähemalt 613 000 annet, ei läinud samuti loetelus arvesse, sest lekkinud andmete koguhulka ei verifitseeritud. Andmete säärase ebatäielikkuse tõttu ei ole probleemi tegelik ulatus selge.

 

Lapsed on identiteedivarguste sihtmärgiks palju suuremal määral kui täiskasvanud, kuid ka selle probleemi puhul on tegemist alateatatud nähtusega. Kooli turvameetmete nõrkus võib aga neid lapsi kogu nende elu jooksul mõjutada.

 

Kuidas tegeleda ohuga, mida mõõta ei saa?

 

Üks esimesi samme, mida turvaeksperdid soovitavad teha, on põhjalik ja järjepidev riskihindamine. Suur osa selle protsessi mõttest peitub selles, et sellesse keskkonda läbinähtavust juurde tuua. See on eriti problemaatiline koolivõrkude puhul, sest neis on teiste organisatsioonidega võrreldes muutlikum populatsioon, kuid tegemist on nähtusega, mis tõstab esile selle regulaarse ülesande iga-aastast läbiviimist.

 

Tänu suurenenud läbinähtavusele on võimalik kasutada arvukaid lisavõimalusi. Mitte ainult ei tähenda see paremat turvaprobleemidest teavitamist ja nende jälgimist, see aitab esile tõsta ka anomaaliate esinemist. Valdkonnas, kus eelarvekärped on regulaarseks nähtuseks, on tegemist nähtusega, mis aitab põhjendada eelarveosade vajalikkust, võimaldades tagada piisav kaitse mistahes kasutatava rahaga. Parema varade hindamise korral on võimalik turvaintsidentide korral ka probleemidega kiiremini tegeleda.

 

Mida selle teabega teha?

 

Olles nüüd teadlik oma varadest ja nendega seotud riskidest, on järgmise sammuna tarvis seda riski minimeerida. Tegemist võib olla ülesandega, mis tundub liigkeeruline, seda just ohtude hulga tõttu, mis iga päevaga aina kasvab. Seega tuleb individuaalsetele ohtudele keskendumise asemel fokusseerida tähelepanu neile ohtudele, mis võivad tekkida just Teie keskkonnas.

 

Paljud ohud levivad vargsi, kasutades automatiseeritud meetodeid selleks, et süsteemi ja võrgu haavatavusi ära kasutada. Muud ohud põhinevad sotsiaalselt konstrueeritud ohtudel selleks, et ohvreid veebi või e-posti kaudu meelitada. See viitab kahele eraldi probleemile – üks on tehnoloogiline ja teine täielikult inimlik.

 

Tehnoloogia arendamise meetodid

 

Kergeimad tarkvaralahendused sisaldavad miljoneid ridu koode. Kui isegi väike osa neist ridadest sisaldab vigu, esineb suur hulk potentsiaalseid probleeme igas programmis või seadmes. Kui mõned neist vigadest viivad lihtsa tõrkeni, siis mõned neist vigadest on tõsised ja võivad võimaldada andmete varastamist või pahatahtliku koodi käivitamist. Mõned neist vigadest võivad jääda avastamata aastateks, võimaldades kindlaviisilist pahategude vaikset läbiviimist nii mõnegi aja jooksul.

 

Kuna igal seadmel ja rakendusel on potentsiaal olla Teie võrgu haavatavuse allikaks, on mõnede esemete puhul suurem risk kui teistel. On mõned seadmed, mis peaksid olema täielikult Teie kontrolli all ja mõned, mis võivad olla ka peamiselt Teie mõjusfäärist väljas. Kuid isegi suhteliselt mittekontrollitud seadmetest lähtuvat riski on võimalik vähendada:

 

Viige uuendusi läbi varakult ja tihti
Enamik meist on teadlikud regulaarsete tarkvarauuenduste läbiviimisest. Ometi ei ole tarvis kontrollida mitte ainult meie laua-, sülearvuteid ja mobiilseid seadmeid, mitte kõik seadmed ei anna ka uutest uuendustest ise teada. Ruuterid on näiteks veel üheks seadmeks, mida uuendada tuleb, kuid mille jaoks olemasolevaid uuendusi peab kasutaja ise kontrollima.

Võrgu segmenteerimine
Hoidke mittekontrollitud seadmed nagu personali või õpilaste mobiiliseadmed või sülearvutid ja internetti ühendatud „targad“ seadmed võrgupiirkondades, mille kaudu ei ole võimalik tundlikele andmetele, nagu pangaandmed, terviseandmed ja uurimisandmed, ligi pääseda. Hoidke tundlike andmetega seotud võrgud teistest võrkudest eraldi, et ründaja ei saaks kehvemini turvatud seadet kasutada Teie keskkonnas selleks, et pääseda ligi väärtuslikumasse piirkonda.

Vähima privileegi printsiip
Ärge andke ühelegi indiviidile, süsteemile või võrguosale rohkem ligipääsu kui hädapärast tarvis selleks, et tööfunktsioone täita. Näiteks peaksite hoolikalt kaaluda, kas Teie töötajatel on tarvis Teie masinatele või Teie osakondade välistele võrkudele pääseda administraatori privileegides ligi.

Autentimine ja autoriseerimine
Kasutage enamat kui lihtsad kasutajanimed ja salasõnad selleks, et oma kasutajaid tuvastada, eriti masinate puhul, kus on väärtuslikku või tundlikku teavet. Kaheosaline autentimine on nüüd saadaval enamike internetiteenuste puhul ja seda on kergesti võimalik lisada ka oma sisselogimisprotseduuridele. Ärge sundige kasutajat oma identiteeti kõigest tuvastama, kasutage ka vähima privileegi printsiipi selleks, et teha kindlaks, millistel kasutajatel kuhu ligipääs olemas on.

Võrguliikluse filtreerimine
Kasutage veebi- ja meilifiltreid selleks, et vältida spämmi ja andmepüüki, kuid blokeerida ka populaarseid failitüüpe, mida pahavara loojad kasutavad, see võib aidata vähendada võimaliku pahavara jõudmist Teie kasutajateni.

Tarkvara turvalisus
Pääsupunktis, võrgus ja lõpp-punktis kasutatav pahavara-vastane tarkvara saab aidata tuvastada ja takistada pahavara levimist Teie võrku või vähendada sääraste programmide tehtavat kahju, kui see jõuab Teie algsetest kaitsetest mööda. Tulemüürid ja sissetungimisvastane tarkvara on suutelised tuvastama tundmatut ja soovimatut võrguliiklust.

Krüpteerimine
Tundlikke andmeid tuleks krüpteerida juhul, kui need on salvestatud arvutitesse ja mobiiliseadmetesse ning kui neid saadetakse üle võrgu laiali näiteks e-posti, veebi või suhtlusprogrammide kaudu. Sel juhul, isegi kui ründajad tungivad Teie võrku, pole neil ikka võimalik Teie andmetele ligipääsu saada.

Valmistuge hädaolukordadeks
Tagavaraversioonid, mis toimivad korrektselt ja mida regulaarselt testitakse, on väga efektiivseks võimaluseks minimeerida võimalikku kahju, mida lunavara ja muu pahavara oma erinevates vormides tekitada võib.

 

Inimtegurist tingitud ohtude vähendamine

 

Tehnoloogilised lahendused saavad aidata mõnda riski minimeerida, kuid kui unustada ära võrku kasutavad inimesed, siis võib Teie raske töö olla ilmaasjata tehtud. Kui turvalahendused põhjustavad inimeste jaoks liiga palju ebamugavusi või Teie kasutajad lihtsalt ei mõista, mida tähendab turvaline arvutikasutus või milleks see vajalik on, siis võivad nad tehnoloogilised kaitsemeetmed kasutuks muuta.

 

Treenige varakult ja tihti
Te ei hakkaks ju kogu geomeetriat õpilasele üks kord juba seletama ja siis jätaks seda sinnapaika. Sarnaselt on oluline, et arvutiturvalisusega seonduvat õpetaksite mõistlike osadena, et aegamisi jõuda olulisemate kontseptsioonideni. Uurimused näitavad, et 52% andmeleketest on tingitud kasutajate vigadest, on oluline töötajate jaoks kohustuslikuks teha seda, et saadaks mingisugune arvutiturvalisuse alane haridus. Kui Teie IT-eelarve on piiratud, siis saate alustada vabavara nagu  Teil peab olema vastuvõetav kasutuspoliitika ja ühtlasi tuleb veenduda, et see on leitav kohtades, kus kasutajad seda tihti näevad.

Vaadake kuidas kasutajad oma tööd teevad
Küberturve on saanud omale halva kuulsuse sellepoolest, et loob pidevalt uusi võimatuid takistusi ja koormab inimesi. Oma kasutajatega koostööd tehes on aga võimalik turvameetmed nende vajadustele vastavaks kohandada, et nad saaksid turvaliselt teha seda, mida tarvis. Tehes seda õigesti, on võimalik nende privaatsust tugevdada.

Tunnustage turvalisemat käitumist
Kasutajad on Teie võrgu silmad ja kõrvad. Tuginedes nende abile, on võimalik kindlaks teha, milline käitumine on normaalne ja milline anomaalne, tunnustades turvalisemat käitumist, saate kasutajatele pakkuda rohkem põhjust aidata oma organisatsiooni turvalisust parandada.

 

 

Forbes avaldas hiljuti artikli „Miks küberturvalisus peaks olema nr. 1 äriprioriteet aastaks 2017“. Ma usun, et see on nii veel eriti haridusasutuste jaoks. Koole rünnatakse laial hulgal eri viisidel, andmete nappus viitab sellele, et probleeme on hulgi ja need on laiemalt levinud kui arvatakse. Nüüd on aeg hinnata oma turvastrateegiat ja anda oma töötajatele väljaõpet, nii saate kaitsta nii oma õpilasi kui personali.

 

Allikas: WeLiveSecurity