1. Palka infoturbejuht ja taga tema sõltumatus
Teil on vaja kedagi, kes teeks süsteemset kontrolli infovarade, personali ja tööprotseduuride üle. Seda rolli saab täita edukalt vaid juhul, kui infoturbejuht on kaasatud asutusse juhtimisse, on iseseisev IT-osakonnast ning ülejäänud organisatsioon tajub tema antavate suuniste puhul tippjuhi toetust.
Võimalusel loo andmehalduse korraldamiseks ka spetsiaalne ametikoht andmekaitse spetsialisti näol. Isikuandmete kaitse üldmäärusest lähtuvalt on teatud juhtudel ka kohustus andmekaitsespetsialist organisatsiooni määrata. Täpsemalt saab selle kohta lugeda Andmekaitse Inspektsiooni koduleheküljelt.
2. Lähtu infoturbestandardist
Asutuse infoturbe korraldus võiks olla üles ehitatud standardile või parimale praktikale. See annab võimaluse nõuda info- ja võrguturbe korraldamisel kehtestatud reeglite järgimist ning süsteemset aruandlust. Standard annab vastused küsimusele: kuidas korraldada infovarade haldust, juurdepääsude ja kasutajaõigustega seonduvat; kuidas varundada andmeid ja kaitsta andmekandjaid jms. RIA on loonud Eesti infoturbestandardi (E-ITS), mille siht on arendada ning edendada Eesti avaliku sektori asutuste, aga ka erafirmade infoturbe taset, esitades eestikeelse ja Eesti õigusruumile vastava aluse infoturbe käsitlemiseks, mis samaaegselt on kooskõlas rahvusvaheliselt tunnustatud infoturbehalduse standardiga ISO/IEC 27001. Täpsem info
3. Planeeri vahendid infoturbeks
Küberturvalisusele suunatavad vahendid sõltuvad teenuse turbenõuetest ning asutuse äririskidest. Näiteks on tihtipeale ettevõtte ärimudeli peamine osa e-pood. Sel juhul tuleb tagada, et e-pood toimiks viperusteta ja oleks hea käideldavusega, st kättesaadav alati, kui klient sinna suundub. Vastasel juhul jääb ettevõttel lihtsalt soovitud tulu saamata. Kliendi ootus on aga turvaline integratsioon pangaliidesega ja see, et tema andmed ei lekiks. Ehk siis nõuded terviklusele ja konfidentsiaalsusele. Kui veebipoes pakutakse teiste osapoolte teenuseid, siis on ka nendega sõlmitud lepingud ja neiski omakorda käideldavuse, tervikluse ja konfidentsiaalsuse nõudeid. Vastavate nõuetega käivad sageli kaasas ka sanktsioonid või trahvid, mille ennetamiseks on vaja rakendada turvameetmeid. Samuti tuleb veenduda erinevate turvameetmete rakendamises juhul, kui süsteemide automaatika, millega ka inimesed töötavad, sõltub ITst. Palu IT-juhilt riskide hindamist (ning asutuse IKT eelarve kinnitamisel küberturvalisusega seonduvate kulude eraldi välja toomist). RIA loodud E-ITS võib aidata teil riske hinnata. Täpsem info
4. Testi teenuste ja süsteemide turvalisust regulaarselt
Leppige asutuses kokku põhimõtetes, et enne uute teenuste või olemasolevate teenuste uute versioonide kasutuselevõttu tuleb alati läbi viia turvatestid.
Nõua oma põhiteenuste süsteemset testimist võimalusel vähemalt kord aastas, selleks vajalike lepingute olemasolu ning planeerige selleks rahalised vahendid ettevõtte eelarvesse.
5. Kasuta Kübertesti asutuse küberhügieeni parendamiseks
Küberturvalisus sõltub töötajate teadlikkusest. Paraku näitab kogemus, et käitumismustrid on tihtipeale hoolimatud ning riskantsed. Kübertest võimaldab kiirelt ja tasuta anda asutuse töötajatele põhiteadmised küberhügieenist ning tagab operatiivse ülevaate asutuse töötajate küberturbeteadlikkusest. RIA uuendab kübertesti sisu iga aasta, et pakkuda testi kasutajatele kõige ajakohasemat teavet.
See on omakorda hea sisend täiendavate koolituste tellimiseks. Koolituste korraldamisel on abiks RIA, kes korraldab teavitusüritusi nii tavakasutajatele kui tehnilistele ekspertidele.
6. Investeeri võrgu kaitsesse ning seiresse
Kasuta sissetungi tõkestamise ja avastamise seadmeid ning nõua infoturbejuhilt, et võrguliiklust salvestataks ning analüüsitaks. Võrguliikluse võiks salvestada vähemalt ühe nädala, soovitavalt aga ühe kuu ulatuses. Võrguliikluse seirevõimekuse (sh sissetungi avastamine, kogu võrguliikluse salvestamine ja indekseerimine) saab luua kasutades vabavaralisi komponente, samas võib olla vajalik teha investeeringud riistavarasse. Võrguliikluse seire ja kaitse korraldamisel võib pakkuda täiendavat tuge CERT-EE lahendus CERT-EE Suricata for All (S4A). Viimane lihtsustab vabavaral põhineva võrguliikluse seirelahenduse ehitamist, võimaldab saada rünnete ja pahavara tuvastamiseks CERT-EE käest reegleid ja abi.
Täpsem info: [email protected]
7. Nõua kriitiliste logide pidamist
Leppige kokku põhimõtted logide pidamise kohta, sest see aitab hiljem tuvastada võimalikud kuritarvitused ning teenusega seonduvad probleemid. Oluline on, et lepitaks kokku, milliseid kriitilisi logisid talletatakse. Soovitatav on säilitada logid puutumatuna turvalises keskkonnas teile vajaliku aja jooksul eeldusega, et neid oleks võimalik küberintsidendi analüüsimiseks ka kasutada.
8. Krüpteeri andmevahetus
Üks peamisi ettevõtete vastu suunatud ründevektoreid seondub organisatsiooni e-kirjavahetuse kuritarvitamisega. Nõua, et asutuse andmevahetus, eelkõige meilivahetus, oleks krüpteeritud ning teie asutuse meiliaadresside võltsimine oleks kurjategijatele tehtud võimalikult keeruliseks (märksõnadena SPF, DKIM ja DMARC). RIA koduleheküljelt leitav juhend (PDF) tutvustab neid kaitsemeetmeid lähemalt ja aitab meilivahetuse turvalisemaks muuta.
Samuti võib e-kirjade ja veebiserverite andmevahetuse turvalisuse parendamisel abi olla Ameerika Ühendriikide küberturvalisuse ja infrasturktuuri turvalisuse agentuuri koostatud juhendist.
9. Nõua CERT-EE teavitamist turvanõrkustest ja intsidentidest
Ära hoia küberintsidente enda teada ning jaga teavet Eesti küberruumi seirava CERT-EEga. Iga intsidenditeade on vajalik tervikpildi hoidmiseks ning tihtipeale ka teiste kasutajate riskide maandamiseks. Kiire teavitus ning infovahetus CERT-EEga aitab kaasa riskide maandamisele riigis tervikuna. Kohustus intsidentidest teavitada on riigiasutustel ning küberturvalisuse seaduses (KüTS) nimetatud erasektori teenuseosutajatel, samas on oodatud kõikide teiste asutuste teavitused.
Täpsem info ja raporteerimine: [email protected] või raport.cert.ee
10. Veendu kriisiplaani olemasolus ja harjuta selle täitmist regulaarselt
Hinnake ära oma äririskid ning valmistage ette plaan B ehk kuidas teha nii, et küberintsident ei halvaks teie teenuste kättesaadavust. Mõtle läbi, mis saab siis, kui e-teenus (nt e-kirjad, laohaldustarkvara) mõnda aega ei tööta, koduleht on maas jms ning kuidas seda mõju leevendada. Oluline on omada tegevuskava kriisihalduseks, aga sellest ei piisa – kriisiplaani tuleks süsteemselt ka asutuses läbi harjutada.
11. Tutvu RIA koostatud ettevõtete küberturvalisuse lühijuhendiga
RIA koostatud küberturvalisuse lühijuhend on mõeldud selleks, et aidata ettevõtetel astuda esimesi samme küberturvalisemate äriprotsesside suunas. Sealt leiab põhimõtted, kuidas kaitsta oma kliente, süsteeme, töötajaid ja kaubamärki. Nende põhimõtete vajadusest peaks aru saama iga ärijuht ja nende meetmete rakendamisega peaks toime tulema iga vähegi infoturbeteadlik IT-teenuse pakkuja.
Lisaks: Kasuta turvalist riigivõrku (soovitus riigiasutustele)
Riigivõrk on riigi osutatav internetiteenus, mille kvaliteedi ja turvalisuse eest vastutab RIA. CERT-EE teeb riigivõrgu turvaseiret Eesti parima ohuindikaatorite loetelu, tehnilise ja sisulise võimekuse toel. Riigivõrguga liitumine parandab märkimisväärselt teie asutuse küberturvalisust ning tagab ka terviklikuma vaate Eesti küberruumis toimuvast. Rohem infot
Seotud viited
Viimati uuendatud 02.11.2023