Kas teie ettevõtte andmed on kaitstud?

EY pettuseriskide uuringus „EMEIA Fraud survey 2017“ nõustusid ligi pooled vastanutest, et küberrünnakute risk on nende hinnangul kõrge ja võib põhjustada intellektuaalse vara vargust või konfidentsiaalse informatsiooni lekkimist.

Oma igapäevatöö juures ei pruugi me tihtilugu endale teadvustada, kui olulise informatsiooniga me kokku puutume ja millised ohud võivad kaasneda, kui tundlik informatsioon satub kolmandate osapoolte kätte.

Selleks, et organisatsioonid saaksid takistada delikaatsete andmete lekkimist, tuleb rakendada erinevaid meetmeid, mis aitaksid maandada andmevarguse või -lekkega seotud riske. Üks võimalik tegutsemisstsenaarium oleks korraldada organisatsioonis andmete liikumise ja kasutamise seire, et tuvastada võimalikke nõrkusi andmete töötlemisel, salvestamisel ja jagamisel. See hõlmaks ettevõttes kasutatavate e-kirjade, suhtluskeskkondade ja vajadusel ka kõnelogide analüüsimist. Selline seire ei pruugi aga olla kuigi lihtne, kuna ettevõte peab järgima isikuandmete kaitse seadusest tulenevaid nõudeid.

Värskeimas EY pettuseriskide uuringus nõustusid 75% küsitluses osalejatest, et ettevõte peaks oma töötajate kasutatavate andmete jagamist analüüsima. Samas oli 89% vastanutest seisukohal, et selline andmete kogumine kahjustab nende privaatsust. Siit tulebki välja vastuolu ja probleem, millega ettevõtted silmitsi seisavad: ühest küljest soovitakse kaitsta ettevõtte vara/informatsiooni, teisest küljest ei soovi tööandja kuidagi piirata ja kahjustada töötajate isikuvabadust.

Reeglite kehtestamine

Ettevõtte juhatusele on seadusega pandud kohustus panna paika sisekontrollisüsteem, mis aitaks ettevõtte tegutsemist ohustavaid asjaolusid võimalikult vara avastada.

Ettevõte on kohustatud kehtestama kirjalikult tööd reguleerivad põhimõtted, sh andmete kasutamisega seotud reeglid, tutvustama neid kõikidele töötajatele ja hindama perioodiliselt meetmete sobivust organisatsiooni töökorraldusega.

Eelkõige peaks organisatsioonis olema kehtestatud reeglid ja põhimõtted ettevõttes kasutatava e-posti aadressi, telefoni, suhtluskanalite ja ettevõtte andmete kasutamise ja jagamises kohta. Tööandja kehtestatud töökorraldusreeglid on selleks, et selgitada ettevõttes kehtivaid põhimõtteid ning töötajad nendega kurssi viia. Töökorraldusreeglite koostamisel peaks tööandaja jälgima, et seatud põhimõtted ei läheks vastuollu isikuandmete kaitse või teiste seadustega.

Kontrollimeetmete rakendamine

Ernst & Young Baltic AS viis läbi pettuseriskide uuringu Eestis, kus selgus, et nendes organisatsioonides, kus viimase 24 kuu jooksul mõni pettusejuhtum aset leidis, panid 19% juhtudest rikkumise toime organisatsiooni juhtivtöötajad, 50% juhtudest organisatsiooni töötajad/spetsialistid ja 21% juhtudest organisatsiooni endised töötajad. Selleks, et ettevõte saaks tagada piisavalt turvalise keskkonna andmete säilitamiseks ja edastamiseks, tuleks analüüsida just neid sisekontrollisüsteemi mehhanisme, mis korraldavad andmete kasutamist ja säilitamist.

– Tööandja e-kirjade jälgimine

Kindlasti leidub inimesi, kes kasutavad oma tööandja domeeniga meiliaadressi sõpradega suhtlemiseks või isiklike asjade ajamiseks. Töötajal on selleks täielik õigus, kui tööandja ei ole kehtestanud vastavaid reeglid. Lähtuvalt andmekaitse inspektsiooni juhendist on tööandjal õigus kehtestada nõue, et tööandja domeeniga e-posti ei või töötajad kasutada isiklike e-kirjade saatmiseks (või et selle lubamise korral tuleb hoida isiklikud kirjavahetused eraldi loodud alamkaustas). Töötajat peab olema teavitatud, et tööandjal on võimalus salvestatud e-kirju uurida, kui tuvastatakse töökohustuste rikkumine. Kui kontrollimise ja piiramise võimalus tuleneb töötaja ja tööandja vahel sõlmitud lepingust ning eeldusel, et töötaja tegevust kontrollitakse ainult töökohustuste täitmisega seoses, ei pea tööandja töötajat kontrollimise ega piiramise faktist informeerima.

– Tööandja arvuti kasutamine isiklikuks otstarbeks

Töötajale töö tegemiseks antud arvuti, eriti sülearvuti, suurendab oluliselt andmete lekke riski. Tööandajal puudub täpne ülevaade, kus töötaja sülearvutit kasutab, mis otstarbel, millistesse võrkudesse ta ennast logib. Muidugi on olemas mitmeid turvameetmeid ja abinõusid, mida tööandja saab arvutites seadistada. Näiteks piirata ligipääsu teatud aadressidele või võrkudele ning määrata keerukamad paroolikombinatsioonid, mis ei võimalda andmetele kiirelt ja lihtsalt ligi pääseda. Samuti soovitatakse töötajal avalikus võrgus olles kasutada tööandja loodud virtuaalset privaatvõrku (VPN). See võimaldab avalike võrkude kasutamisel andmeid edastada krüpteeritult, st kolmandal osapoolel, kes sooviks andmeid lugeda või muuta, puudub selleks võimalus.

Arvestada tuleb, et iga arvutis tehtud liigutus jätab digitaalse jälje. Allpool on mõned näited digitaalsetest jälgedest.

- Dokumentide loomisel salvestatakse metainfosse automaatselt arvutikasutaja nimi, dokumentide loomise ja muutmise kuupäevad.

- E-kirja saatmisel jäävad metainfosse IP-aadressid, saaja ja vastuvõtja andmed, arvuti nimi.

- Võrguserverisse jääb jälg külastatud veebilehtedest, IP-aadress ja külastusaeg.

- Kui töötaja külastab tööarvuti veebilehitsejaga paroolidega kaitstud võrgulehti ja lubab veebilehitsejal paroolid meelde jätta, on veebilehitsejast hiljem võimalik kõiki salvestatud paroole vaadata.

Kuna üldjuhul on pahatahtlik arvutikasutaja IT-vallas võrdlemisi võhiklik, pole ettevõttel keeruline kahjutekitajat välja selgitada. Seepärast peaksime tööandja arvutit kasutades eelkõige ise hindama, kas arvuti isiklikuks otstarbeks kasutamisega võib juhtuda, et kahjustame oma tööandjat või tema vara. Kui näib aga, et töötajatel on sellist põhimõtet keeruline järgida, on tööandjal soovitatav arvuti kasutamist reguleerida töökorraldusreeglites, kus täpsustatakse arvuti isiklikuks otstarbeks kasutamise võimalusi.

Kokkuvõttes sõltub andmete kasutamine ja jagamine meist endist. Igaüks peab olema valvsam ning hindama saadetud või vastuvõetud info tundlikkust ja võimalikke ohte, mis võivad kaasneda andmete valedesse kätesse sattumisega. Ettevõttes olevate andmete kasutamisel ja edastamisel võiksime endalt küsida:

- Kellega ma võin seda infot jagada?

- Kas andmete edastamine võib kahjustada minu organisatsiooni huve?

- Kas nende andmete kasutamine ja edastamine võib kahjustada teise isiku või teise ettevõtte huve?

Ettevõte saab aga ennast kaitsta, kehtestades töökorraldusreeglid, mis täpsustavad töötajate jaoks nii infokandjate (arvutite, kõvaketaste) kui ka infokanalite (võrgud, serverid) kasutustingimusi.

 

Artikkel ilmus Äripäevas.

Autor: Teet Tamme, EY pettuste uurimise spetsialist