Uuringute järgi peetakse ettevõtete suurimaks turvariskiks töötajate käitumist. Enamus IT-turvalisuse eest vastutajaid peab ettevõtte suurimaks varaks andmeid, informatsiooni ja oskusteavet ning samal ajal suurimaks ohuks hooletuid töötajaid, kellel on juurdepääs nendele varadele. Töötajaid peetakse isegi suuremaks turvariskiks kui küberkurjategijaid ning lisaks on just töötajate tegevusel suurim mõju andmete säilimisele ja kaitstusele. Kuigi organisatsioonid teevad suuri investeeringuid tehnoloogiasse ja protsessidesse, et kaitsta ettevõtte andmeid, jäetakse siiski tihti tahaplaanile infoturbe kolmas komponent – inimesed.
Õigustatud mure kõikvõimalike turvariskide suhtes on viimastel aastatel maailmas kordades kasvanud. Andmed ei asu enam ammu ühes kindlas varamus, kust neid ainult vastavalt kehtestatud reeglitele välja võetakse ja kuhu seejärel vastavalt kehtestatud reeglitele uuesti tagasi asetatakse. Lood, kus kõikvõimalike küberpaharettide sihtmärgiks on vaid arvutivõrgud, serverid, andmebaasid ja inimesed, kes neid haldavad, pärinevad samuti rohkem 90-ndate keskpärastest põnevusfilmidest. Tegelikkuses pole vahet kas keskastmejuht, konsultant või koristaja – potentsiaalseks märklauaks on igaüks, kellel on taskus, sahtlis või kodulehel küberrünnak-puzzle kokku panemiseks vajalik infokilluke. Olgu selleks siis uksekaart, mobiiltelefon, asutuse IT-alased juhendid ja kontaktid või põrandale kukkunud 
märkmepaberil Instagrami kasutajatunnused (suure tõenäosusega kasutatakse sama või sarnast parooli ka tööarvutisse sisse logimiseks).
Üks levinumaid ründemeetodeid – social engineering (eesti k. sotsiaalne manipuleerimine) – just seisnebki inimeste käitumismustrite, teadmatuse ja loomuomase koostöötahte ärakasutamises, et saada juurdepääs konfidentsiaalsele infole. Hägustunud või kadunud on piirid tööalase ja koduse IT-turvalisuse vahel. Esmapilgul turvaline tööarvuti, mis töötab ebaturvalises avatud või koduses WEP-võtmega „kaitstud“ Wi-Fi võrgus, ei pruugi olla enam turvaline tööarvuti. Dokumendid, mille ainus varukoopia lebab kaubanduskeskuse parkimisplatsil krüpteerimata mälupulgal, ei ole ilmselgelt varundatud ega konfidentsiaalsed. Organisatsiooni sisekorraldusest aimu andvad Facebooki profiilid ja postitused on puhas kuld häkkeritele, kräkkeritele ja muule ebasoovitavale kontingendile. Selliseid ohte ei suuda ükski tehnoloogia ega regulatsioon mitte kunagi elimineerida, kui on jäetud tähelepanuta andmeturbe kõige haavatavam lüli – inimesed.
Organisatsioonid, kes soovivad kindlustada oma andmete konfidentsiaalsust, terviklikkust ja kättesaadavust, peaksid kindlasti mõtlema ka oma töötajate teadlikkuse tõstmise peale. Pelgalt IT-osakonna telefoninumbri või infosüsteemide kasutustingimuste jagamine paraku enam ei päde. Lühendid nagu WPA, VPN, SSL, HTTPS, IPS, 2-FA/MFA võivad esmapilgul tunduda paljudele täiesti võõrad ja hirmutavad, kuid elementaarne teadmine nende tehnoloogiate olemasolust ja rakendustest, võiksid olla osa iga töötaja, kellel juurdepääs ettevõtte mistahes andmetele, digitaalsest sõnavarast.
Ajal, mil paljud asutused seisavad silmitsi uute IT-alaste väljakutsetega nagu töökohtade mobiilsus, koostöölahendused, BYOD (inglise k. bring your own device) jne ja teevad suuri kulutusi, et kaitsta oma andmeid muutuvas keskkonnas ja samas säilitada konkurentsivõimet, tasuks kindlasti kaaluda oma töötajate üleüldise infotehnoloogilise teadlikkuse tõstmise peale. Võita on palju, kaotada vähe ja tehtava investeeringu kasumlikkus kõrge.
Soovid tõsta oma töötajate IT turvalisuse teadlikkus? Telli koolitus SIIT.
Autor: Indrek Korela, DPA Nordic IT infrastruktuuri lahenduste konsultant
squalioblog 