Väikeettevõtjatel ei ole oma servereid ja IT-osakonda, selle asemel kasutame teiste ettevõtete teenuseid. Me hoiame andmeid pilves, kasutame pilves asuvaid programme ja seda kõike erinevate seadmete kaudu – reeglina vähemalt sülearvutist ja nutitelefonist, võibolla ka teistest arvutitest ja tahvelarvutitest.
Andmekaitsereeglid
Kui sa ise oled näiteks väike raamatupidamisteenuse osutaja, sul on ehk paar abilist ja mõnikümmend klienti, kellest enamus on samasugused väikesed ettevõtjad, siis paistab see IT-turvalisuse teema nii ebaoluline. Kellele need ostuarved ikka huvi pakuvad?
Aga võibolla on sinu klientide hulgas üks suurem ettevõte, kellele sa palgaarvestusteenust pakud? Tema konkurendile võivad need palgaandmed väga väärtuslikud olla ..
Andmekaitseseadus paneb ettevõtjale kohustuse tagada, et volitamata isikud ei pääseks andmetele ega seadmetele ligi. Isikuandmete hulka kuuluvad ka sinu töötajate andmed ja klientide kontaktandmed, neid andmeid on igal ettevõtjal. Seega IT turvalisuse tagamine on iga ettevõtja kohustus.
Mis võib juhtuda?
Väikeettevõtjat, kes toimetab peamiselt oma sülearvuti ja nutitelefoni kaudu ning kasutab pilveteenuseid, võivad ähvardada eeskätt järgmised probleemid:
- Andmetele ligipääsu võimaldamine kolmandatele osapooltele, kellel selleks õigust ei ole – andmeid võidakse kurikaelte poolt niisama uudishimust lugeda, andmeid võib muuta (nt su toodete hinnakirja) või andmeid võib kasutada kasu saamiseks (nt müüakse sinu klientide nimekiri sinu konkurendile).
- Äritegevuse katkestus – kurjategijad võivad saada ligipääsu failidele või pilveprogrammidele ja blokeerida sinu (või sinu klientide) ligipääsu nendele.
- Identiteedivargus – kurjategija saab sinu nime alt saata kirju, postitada sotsiaalmeediasse, muuta sinu veebilehe sisu vms. Ja sealtkaudu sinu mainet avalikkuse ees kahjustada või klientidelt andmeid varastada.
- Sinu IT-ressursside õigustamatu kasutus – sinu arvuti kettapinda saab kasutada rünneteks kolmandate isikute suhtes, pornopiltide ladustamiseks või kasvõi Bitcoinide kaevandamiseks.
- Otsene rahaline kahju -kurjategija saab ligipääsu sinu pangakontole ja kannab sealt raha välja. Või varastab sinu krediitkaardi andmed ja teeb sellega oste.
- Teenuse halvamise rünnak – kurjategija nakatab hulga arvuteid pahavaraga ja need arvutid hakkavad nt sinu veebipoodi päringutega pommitama, ummistades ligipääsu. Tegelikud kliendid ei pääse teenust kasutama.
- Sinu veebilehe või sotsiaalmeedia sisu muutmine – samuti levinud probleem, ettevõtte veebilehele murtakse sisse ja lisatakse ebasobivat sisu. Sama võib juhtuda sotsiaalmeedia kontodega.
Kuidas see võib juhtuda?
- Võid ise vea teha – võid ise kogemata avalikustada konfidentsiaalsed andmed või anda kurjategijatele kogemata ligipääsu oma programmidele – nt saata meili valele aadressile, kaotada oma lukustamata sülearvuti, jätta turvatarkvara uuendamata.
- Võid langeda kurjategijate tahtlike tegude ohvriks:
- sinu andmeid võidakse pettuse teel varastada, nt telefoni teel, teeseldes politseinikku või hoopiski kontorisse trügides,
- sulle saadetud e-mailid võivad sisaldada valele aadressile viivaid linke, meilidele lisatud failid võivad olla nakatunud viirusega,
- sinu sülearvuti või telefon võidakse varastada.
Kuidas probleeme vältida?
Andmekaitse reeglid ütlevad, et andmeid tuleb töödelda turvaliselt, kasutades asjakohaseid tehnilisi ja korralduslike meetmeid et kaitsta andmeid loata või ebaseadusliku töötlemise eest.
Millised need asjakohased tehnilised meetmed on?
Ettevõtja kohustuseks on hallata korrektselt töötajate ligipääsusid andmetele, tagada tööarvutite tehniline hooldus ja nutitelefonide kontroll, luua mõistlik paroolide haldamise võimalus.
Töötajatele tuleb kehtestada mõistlikud ja piisavad IT-turvareeglid, neid tuleb regulaarselt üle vaadata ja töötajaid koolitada.
IT-turvareeglid peavad kehtestama turvaintsidentidest teavitamise kohustuse, seadma reeglid arvuti ja nutitelefonide kasutamisele, sh ka avalikus WIFI võrgus. Lisaks peavad olema juhised andmekandjate kasutamisele, paroolide valiku, ja sotsiaalmeedia ja meilide turvalise kasutamise kohta. Töötajatel peab olema olemas ka arvutihooldaja kontakt ja teadmine, millal tema poole pöörduda.
Loe sellest kõigest lihtsas keeles lähemalt e-raamatust IT turvalisus ettevõttes.
| muudetud
|
miks sa arvad, et ettevõtjate hulgas it või kübervaldkonna inimesi pole?
sa väidad, et KÕIK hoiavad andmeid pilves (küberturbelisest vaatevinklist muide ülimalt ebaturvaline üldse hoida oma andmeid kuskil pilveserveriss) või et kõik ostavad teenust sisse (no ei osta!)
samas nt selliste asjade kohta, mille kohta infot tõesti vajan – näiteks täpset nimekirja neist dokumentidest, mis peavad kohe peale ettevõtte regamist vajadusel olema kontrollijatele ette näidata (sisekorraeeskirjad, asutamisleping jne) või kuidas ja milliseid pabereid tuleks toota selleks et töötervishoiuseadust täita – see info puudus teie algaja ettevõtja vebikursuses üldse :-((
Okei, enamus, mitte kõik 🙂
Ei tule su väikeettevõtet keegi kontrollima peale asutamist.. ära muretse üle.
Aga see mõte on muidugi hea, bürokraatia-dokumentide-kogumik. Panen ideena kirja, aitäh!
Palun tootmisettevõtetele ka bürokraatiakogumikku; töökaitseeeskirjade täitmine, toidutootmises vajalikud nõuded.
Oh, see jääb minu ampluaast väga välja 🙁
Aga võibolla keegi teine lugejatest võtab ette?