Töötajate andmevargus on 10 korda suurem oht kui häkkerid – 3 sammu selle vältimiseks
Klientide, hindade või äriplaanide info lekitamine konkurentidele võib anda igale ettevõttele surmahoobi. Digiajastul on töötajate poolt andmete varastamine ähvardavalt lihtne, aga sellele levivale ohtlikule trendile on ka vastumürki, selgitab meie tehnoloogiajuht Marek Piller.
Finora Panga tehnoloogiajuhi ning enam kui 15-aastase kogemusega küberturbeeksperdi sõnul peetakse töötajate kaudu andmeleket tihti suurfirmade mureks, kuigi ühiste võrgukaustade ajastul ähvardab see sisuliselt iga ettevõtet, ka väga väikeseid.
“Kahju võib olla otsene – töötaja võib varastada kliendikontaktid ja ettevõtte hinnapoliitika ning minna konkurendi juurde, kes saab teha täpselt õigetele klientidele veidi odavamad pakkumised. Samuti ähvardab konfidentsiaalsuskohustuse rikkumise trahv, mis suurfirmade lepingutes on krõbe. Lisaks mainekahju, sest uued kliendid ei saa kindlad olla, et selle ettevõttega saab tundlikke andmeid jagada, ning seetõttu võidakse valida konkurent,” selgitas Piller.
Eksperdi sõnul valdab tunnustatud digiteenuste võrdlemise platvormi Digital.com mulluse uuringu kohaselt tervelt 87% väikeettevõtetest tundlikke kliendiandmeid. “See aga tähendab, et andmelekke korral võivad ähvardada ka andmekaitse seadustest tulenevad hagid,” ütles Piller.
Tehnoloogiajuht tõi välja, et telekomiettevõtte Verizon läbiviidud uuringu kohaselt on tervelt iga viienda andmelekke taga oma töötajad – ja ühtlasi on töötajate tekitatud andmevargused üle 10 korra mahukamad kui välised rünnakud.
“Sügis ja talv tulevad tööturul pingelised, mis ilmselt viib ka töösuhete lõppemiseni. Aga kui lahkuminek ei ole kõige sõbralikum, ähvardab oht, et töötaja võtab lubamatult kaasa konfidentsiaalseid andmeid. Kuhugi pole kadunud ka pädeva tööjõu puudus ning andmete varastamise oht on aktuaalne ka siis, kui töötaja otsustab ise mujale minna või ta meelitatakse üle,” nentis Piller.
“Äritarkvaralahenduste pakkuja Datafox hinnangul on lahkuvate töötajate poolt ärisaladuste kaasaviimine olnud Eestis alates koroonakriisist tõusuteel,” lisas Piller.
Finora Panga tehnoloogiajuht soovitas ettevõtte sees oluliste andmete nägemise ja kasutamise selgelt ära reglementeerida ning andis selleks kolm soovitust.
Pane reeglid paika – hall ala tekitab halbu mõtteid
Töölepingusse või eraldi kohustuslikku kokkuleppesse tuleks kirja panna, et mistahes tööalaste andmete väljaviimine ettenähtud infosüsteemist või jagamine kolmandate isikutega on keelatud. Paika tuleks panna leppetrahv, mis võiks ulatuda mitme kuupalga suuruseni.
Samuti tuleks üheselt sätestada, et ka töötaja e-postkasti sisu kuulub tööandjale. Oluline on neid reegleid töötajatele juba tööle tulles selgitada – et igaüks teadvustaks, et andmevargus on sama tõsine asi kui raha või toodete vargus.
Sellised psühholoogilised tõkked ei välista muidugi midagi, aga muudavad andmevarguse otsuse tegemise raskemaks ja vähendavad selle tõenäosust.
Väldi andmevarguse kiusatust
Tihti on ettevõtte andmed ja failid koondatud ühisesse koostöökeskkonda. Kui ettevõte on päris algusjärgus ja tiim pisike, võib tõesti piisata ühest ühisest veebikaustast, kus kõik näevad kõike. Aga kui tööjaotus paigas ja tööl kasvõi juba viis inimest, pole selleks enam põhjust. Igaüks peaks nägema ainult seda, mida tal oma ülesannete jaoks tarvis.
Erinevad ligipääsuõigused koostöökeskkonna eri osadele ei tähenda paranoiat, vaid tegu on elementaarse küberhügieeniga. Tänapäeval on andmehalduse üldreegliks saanud printsiip Trust No One – ära usalda mitte kedagi.
Töölõikudes, kus andmetele ligipääsu piirata ei saa, tuleks kasutada mõnda andmekao vältimise Data Loss Prevention (DLP) tarkvaralahendust. Selline rakendus lubab täpsemalt määratleda reeglid, kuidas organisatsioonis saab andmeid jagada ja kaitsta, samuti logida ja jälgida, kes mis andmetega millal ja kuidas töötab. Nii saab vältida tundlike andmete kadumist, samuti jälgida GDPR-kohustuste täitmist.
Levinumate töökeskkondade tarkvara pakkujatelt on saadaval integreeritud DLP-lahendused, näiteks Google’i Sensitive Data Protection või Microsofti Purview. Samuti on võimalik juurutada ka eraldiseisvaid nii oma serverites asuvaid kui ka pilvepõhiseid DLP-lahendusi.
Tunne ohumärke ja reageeri kohe
Rahvusvahelistes uuringutes on esile tõstetud mitmeid ohumärke, mis lubavad andmevargust ennustada ja ennetada. Kolm kõige selgemat nö punast lipukest on:
- Töötaja hakkab talle kättesaadavaid faile seletamatul põhjusel, ajal või ootamatusse seadmesse alla laadima.
- Töötaja hakkab saatma e-kirju oma tööpostkastist oma era-aadressile.
- Töötaja loob ühisesse dokumendihaldussüsteemi uue kasutajakonto, kuigi tema töö seda ei nõua ja ta pole seda kooskõlastanud.
Sellisel juhul tuleks kindlasti tegevus tõkestada ja selgitust nõuda. Tuntumad DLP-tarkvarad võimaldavad selliseid liikumisi tuvastada ja aegsasti sekkuda.
Marek Pilleri sõnul vähendab igasugust, nii töötajate kui häkkerite poolset andmekao ohtu kõige rohkem see, kui ettevõtte andmetele ja failidele on võimalik ligi pääseda ainult tööandja poolt antud arvutist või telefonist, kus nii veebi kui mälupulkade ja -kaartide kasutus on jälgitav ja piiratud.
“Näiteks Finora Panga reeglid näevad ette, et USB-seadmete kasutus on viidud miinimumi ning pilvelahendus, kuhu saab faile sünkroniseerida ja kuhu üles ning kust alla laadida, on lubatud ainult panga enda virtuaalruumis. Kõik välised failide jagamise viisid, samuti töövälise e-posti kasutus tööseadmetes on piiratud,” tõi Piller näiteid praktikast.
“Selline lahendus on üsna kallis ja võib tunduda kohmakas, aga ärikriitilised andmed on veelgi kallimad. Rusikareegel võiks tegelikult olla see, et kui andmete konkurendi või avalikkuse kätte sattumine võib saada ettevõttele saatuslikuks, siis peaks neid saama näha ainult tööandja seadmest,” soovitas Finora Panga tehnoloogiajuht.
Artikkel ilmus Delfi Ärileht veebilehel.