Küberkuritegevusest rääkides on lihtne ette kujutada, et ettevõtte suurimad ohud on välised. Reaalsus on aga, et aina suurem hulk ettevõtteid on mõistmas, et ka usaldusväärsed ja koolitatud töötajad võivad tõeliseks ohuks olla.
Haystax Technology hiljutisest raportist selgub, et 74% küsitletud ettevõtetest „tundsid end sisemiste ohtude poolt haavatavatena“ ning 56% andmeturbe ekspertidest on veendunud, et eelmise aasta jooksul on „sisemised ohud olnud senisest sagedasemad“.
Mõne rünnaku ja lekke taga on vimma pidavad töötajad aga paljude põhjuseks on ka hooletus, näiteks hoiatuste eiramine või protseduuride rikkumine, või lihtsad inimlikud vead. Oleme tuvastanud kolm andmelekkeid põhjustavat töötajatüüpi. Lugege edasi.
1. Süütud tegevused
Andmelekete puhul võivad täiesti süütud töötajad põhjustada sama palju kahju, kui pahatahtlikud häkkerid. Selle tunnistajateks on näiteks Norfolki, Suffolki ja Cambridgeshire omavalitsused Ühendkuningriigis, mida tabas aastatel 2014 ja 2015 üle 160 andmelekke. Enamik neist juhtus inimlike vigade tõttu (sealhulgas näiteks kaotatud mobiiltelefonid, valesti adresseeritud kirjad või koguni koos tundlike andmetega kolmandale osapoolele müüdud dokumendikapp).
Teiseks näiteks on Ameerika ettevõtet Federal Deposit Insurance Corp. (FDIC) 2016. aastal tabanud andmeleke. Sellel puhul laadis süütu endine töötaja „juhuslikult ja ilma pahatahtliku eesmärgita“ enda isiklikku salvestusruumi ettevõtte tundlikke andmeid.
Eelpool nimetatud on vaid mõned näited põhjustest, miks koguni 74% Haystaxi küsitlusele vastanutest oli juhuslike andmelekete pärast mures.
2. Hoolimatu või hooletu?
Kas mäletate vahel ekraanile ilmuvat turvalisuse hoiatust? Kas võtate selle ilmumisel alati viivitamatult ette ka vajalikud sammud? 2013. aastal Google poolt läbi viidud uuringust selgus, et 25 miljonist veebisirvija Chrome hoiatusest ignoreeriti koguni 70,2%. Sageli olid põhjuseks kasutaja puudulikud tehnilised teadmised ja seetõttu lihtsustas tarkvarahiid märkimisväärselt hoiatusteadetes kasutatavat keelt.
Teiseks näiteks on St. Joseph Health System, mille 2012. aasta andmelekke põhjuseks olid „valesti seadistatud“ turvaseaded, mille tõttu said privaatsed tervisekaardid internetis avalikult kättesaadavaks. Andmete tundliku iseloomu tõttu ei ole üllatav, et ettevõte pidi järgnenud kohtuasjas maksma miljoneid dollareid.
3. Pahatahtlik
Kahjuks on lisaks inimlikele vigadele sisemiste andmelekete taga ka töötajate pahatahtlikkus. Selle elavaks näiteks on Ühendkuningriigi andmesideregulaator OFCOM, kes avastas 2016. aastal, et nende endine töötaja oli salaja kogunud nende kolmandate osapoolte andmeid. Eriti šokeeriv oli avastus, et pahatahtlik tegevus oli kestnud koguni kuus aastat.
Vimma pidava töötaja ohvriks langes ka Ühendkuningriigi kaubamajagigant Morrisons, kelle töötaja postitas internetti ligi 100 000 töötaja isikuandmed. Kuigi juhtum toimus juba 2014. aastal, on ettevõtet endiselt ootamas võimalikud personali poolt algatatavad kohtuasjad.
Mida saate ette võtta?
Vastavalt 2016. aasta uuringule peab 93% vastajatest andmekaitse suurimaks ohuks inimeste käitumist. Uuringu tellijaks olev Nuix usub, et ettevõtted võivad tulevikus karistada töötajaid, kes „mõistavad, tõlgendavad või eksivad ettevõtte pikaajaliste turvapoliitikate ja protseduuride osas“.
Ning arvestades andmelekete poolt ettevõtetele tekkivat kahju, sealhulgas majanduslikku ja mainekahju, ei ole sugugi üllatav, et otsitakse aina uusi võimalusi arvutite väärkasutuse vähendamiseks ja piiramiseks.
Suurendage töötajate teadlikkust
Kõige loogilisemaks sammuks on veenduda, et töötajad on teadlikud enda tegude võimalikest tagajärgedest ja oskavad soovimatut andmekadu vältida. Oluline on koolitada kõiki töötajaid, mitte ainult IT-valdkonda.
Hoidke andmeid turvaliselt
ESET’i Stephen Cobbi sõnul „on andmete krüptimiseks miljoneid põhjuseid“. Kuigi kõik ei ole selleks veel valmis, on andmete krüptimine andmelekete vältimisel oluline osa.
Jälgige andmeid ja käitumismustreid
Üksikute töötajate arvutikasutuse ja käitumise lähedane jälgimine võimaldab ettevõtetel avastada ja analüüsida ebatavalist või riskantset tegevust. Eriti tähelepanelik tuleb olla ka ettevõtetel, mis võimaldavad töötajatel kasutada enda seadmeid (BOYD ehk bring your own device). Sellisel juhul tuleb nende seadmete kasutamist eriti hoolikalt jälgida ja kontrollida.
Vaadake tulevikku
Arvestades töötajate poolt tekitatavate riskide (ükskõik, kui süütu see ka ei tunduks) võimalikke katastroofilisi tagajärgi ei ole üllatav, et tööandjad võtavad tulevikus sisemiste turvariskide ennetamiseks kasutusele aina karmimaid meetmeid.
Kui soovite parandada ka enda töökoha küberturvalisust, on ESET’i küberturvalisuse teadlikkuse koolitus suurepäraseks alguseks.
Allikas: WeLiveSecurity
