Liigu edasi põhisisu juurde
et
Veebimajutus Logo
Veebimajutus Logo
0
Veebimajutus.ee Veebimajutus logo

Hüppelaud veebis alustajale - vaata siit
Kõik Uudised Äri Disain Töövahendid Koduleht ja e-pood Turundus Eksperdile
Sulge
13 min lugemine
Veebileht Turvalisus kodulehe haldamine küberturvalisus veebilehtede arendamine

7 ohumärki, kui ettevõtte digiturvalisus pole nii korras, kui arvad

Kirsike Kukk-Viiol
02. veebr

Enamik väikeettevõtjaid ei ignoreeri digiturvalisust teadlikult. Vastupidi – tavaliselt arvatakse, et kõik on "üsna okei". Tihti nii ongi. Digiturvalisuse suurim oht ei ole mitte hoolimatus, vaid mugavad harjumused, mis on aja jooksul märkamatult riskideks kujunenud. Küberturvalisuse programmijuht Veebikoolis Kirsike Kukk-Viiol soovitab kontrollida, kas tunned oma ettevõttes ära mõne neist seitsmest ohumärgist.

1. Arvad, et sul pole "midagi väärtuslikku"

Paljud usuvad, et kuna nad ei töötle krediitkaardi- või terviseandmeid, pole nad küberkurjategijate jaoks ahvatlev sihtmärk.

Tegelikult on kliendiandmed, hinnapakkumised ja isegi sinu e-posti ajalugu piisavalt hea valuuta, et sinu äritegevus seisata või sinu nimel pettusi korraldada.

Mõtle neile olukordadele.

  • Arvepettus: kurjategija saadab sinu nimel kliendile "muudetud" pangakontoga arve. Sina jääd rahast ilma, klient on aga pettunud ja segaduses.
  • Tööseisak: sinu kliendihaldustarkvara krüpteeritakse ja ligipääsu eest nõutakse lunaraha. Kas suudad äri püsti hoida ilma ühegi kontaktita?
  • Mainekahju: sinu meilikontolt saadetakse koostööpartneritele pahavara. Sinu usaldusväärsus kaob ühe hetkega.


Illustratsioon: Gerd AltmannPixabay

Lahendus: kaardista oma ettevõtte kriitilised andmed, milleks on kliendibaas, raamatupidamine ja meilivahetus. Teadvusta, et nende kaitsmine on sinu äri jätkusuutlikkuse alus. Isegi kui andmed pole "delikaatsed", on need sinu ärile asendamatud. Kui sul on nimekiri ees, saad järjepanu kontrollida, kas neis punktides on 2FA (kahefaktroiline autentimine) peal ja paroolid unikaalsed. See hoiab ära olukorra, kus kaitsed küll hoolega e-posti, aga unustad täielikult Dropboxi, kus asuvad kõik sinu lepingud.

2. Sama parool kordub mitmes keskkonnas

Nagu mainitud, peavad salasõnad ehk paroolid olema unikaalsed. Kui kasutad sama parooli e-kirjas, raamatupidamisprogrammis ja mõnes vähetähtsas e-poes, ei pea keegi sind "häkkima". Piisab, kui lekib ühe suvalise teenuse andmebaas ning robotid proovivad automaatselt sama parooli kõikjal mujal.

Mõtle neile olukordadele.

  • Doominoefekt: sinu lemmik-e-poest või lõunapakkumiste lehelt lekivad kasutajatunnused ja paroolid. Kurjategijad ei huvitu sellest konkreetsest e-poest, vaid kasutavad automatiseeritud tarkvara, et proovida sedasama kasutajanime-salasõna kombinatsiooni sinu meilikontol, Facebookis ja pangas. Kui üks uks avaneb, langevad kohe ka teised, kui kasutasid sama parooli.
  • Andmepüük läbi usalduse: häkker saab tänu lekkinud paroolile sisse sinu sotsiaalmeediakontole. Ta ei pruugi seal midagi postitada, vaid loeb sinu vestlusi, et õppida selgeks sinu stiil. Seejärel saadab ta sinu nimel raamatupidajale "kiire" palve teha makse, kasutades siseinfot, mida ta sinu kontolt leidis.
  • Ligipääs pilvele: kui kasutad sama parooli oma isiklikus meilis ja ettevõtte pilveteenuses (näiteks Google Drive või Dropbox), võib ühe parooli lekkimine tähendada, et võõrastele on avatud kogu sinu ettevõtte dokumentatsioon, lepingud ja strateegilised plaanid.
  • Kontost ilmajäämine: kui kurjategija siseneb sinu kontole korduva parooliga, on tema esimene samm selle parooli ja taastamise e-posti aadressi muutmine. Sa oled omaenda äri tööriistadest välja lukustatud ja kontrolli taastamine võib võtta päevi või nädalaid, mille jooksul tehakse sinu nimel korvamatut kahju.

Lahendus: võta kasutusele paroolihaldur (näiteks Proton Pass, 1Password või LastPass). See loob ja jätab sinu eest meelde unikaalsed paroolid. Sulle jääb vaid üks peaparool, mida meeles pidada ning ülejäänud digimaailma uksed on igaüks oma unikaalse lukuga kaitstud. Proton Passi paroolihalduri seadistamise tasuta kursuse leiad siit.

3. Kaheastmeline autentimine on "kunagi plaanis"

Kui sinu olulised kontod on kaitstud ainult parooliga, on see pigem lootus kui kaitse. Digiturvalisus ei toimi vaid sellise lootuse najal. Kaheastmeline autentimine (2FA) on tänapäeval miinimumstandard, mitte lisaluksus, et äri kaitsta.

Mõtle neile olukordadele.

  • Õngitsuslehe ohvriks langemine: saad e-kirja, mis näeb välja täpselt nagu panga või Microsoft 365 teavitus ja sisestad "sisselogimiseks" oma parooli. Ilma kaheastmelise autentimiseta on kurjategijal kohe vaba pääs sinu kontole. Kui aga 2FA on peal, jääb ta ukse taha, sest tal pole sinu telefoni saabuvat kinnituskoodi.
  • Parooli lekkimine kolmanda osapoole kaudu: mõne kasutatava tarkvara andmebaasist lekivad paroolid. Isegi kui sinu parool on pikk ja keeruline, on see nüüd kurjategijate käes. 2FA on sel juhul nagu turvauks, mis püsib lukus ka siis, kui varas leidis üles sinu välisukse võtme.
  • Sotsiaalmeediakonto kaaperdamine reklaamirahade kulutamiseks: sinu ettevõtte Facebooki või Instagrami konto parool arvatakse ära või varastatakse. Kurjategija logib sisse ja hakkab sinu salvestatud krediitkaardiga tegema tuhandete eurode eest reklaami suvalistele toodetele. Kaheastmeline autentimine oleks selle sisselogimise peatanud ja sulle kohe märku andnud, et keegi võõras üritab siseneda.
  • Andmete kustutamine kiusu pärast: kui keegi saab ligipääsu sinu pilveteenusele (näiteks Google Drive või OneDrive) ainult parooliga, on tal võim kustutada kõik sinu ettevõtte failid jäädavalt. 2FA lisamine muudab sellise "tühjakstegemise" peaaegu võimatuks, sest ründajal on vaja füüsilist kontrolli ka sinu nutiseadme üle.

Lahendus: lülita 2FA (kaheastmeline kinnitamine) sisse igal pool, kus võimalik. Otsi seadete alt "Security" või "Sisselogimine" ja vali "Two-factor authentication". Alusta e-postist ja pangast, kuid ära unusta sotsiaalmeedia haldusõigusi ning raamatupidamisprogramme. Kasuta äppe nagu Google Authenticator või Microsoft Authenticator.

4. Sul on "digitaalsed kummitused"

Kas sul on täielik ülevaade sellest, kellel on ligipääs sinu failidele või süsteemidele? Endised töötajad, ajutised koostööpartnerid või ammu lõppenud projektide arendajad on sageli endiselt "ukse vahel", sest keegi pole jõudnud ligipääse sulgeda.

Mõtle neile olukordadele.

  • Lahkunud töötaja ja klientide "ülevõtmine": sinu müügiinimene läheb konkurendi juurde tööle. Kuna tema ligipääsu kliendihaldussüsteemile (CRM) või ühisele Drive-kaustale ei suletud kohe, saab ta sealt alla laadida värskeima kliendinimekirja, hinnakirjad ja pooleliolevad pakkumised. Ta saab teha konkureerivad pakkumised sinu klientidele veel enne, kui arugi saad.
  • Vana koostööpartneri turvaauk: kasutasid kunagi vabakutselist arendajat või turundusagentuuri, kellel on siiani ligipääs sinu kodulehe haldusliidesele või serverile. Kui selle partneri enda konto kunagi tulevikus küberrünnaku ohvriks langeb, on ründajatel uks avatud ka sinu süsteemidesse, kuigi sa pole selle partneriga aastaid koostööd teinud.
  • Andmekaitse riive: kui sul on failikaustu, kus asuvad klientide isikuandmed ja neile on ligipääs inimestel, kes enam ettevõttes ei tööta, on see otsene andmekaitse reeglite rikkumine. Kui peaks toimuma andmeleke, on see raskendav asjaolu, sest sa pole piiranud ligipääsu "vajaduspõhiselt".
  • Juhuslikud vead failihalduses: endine töötaja, kellel on siiani ligipääs ühisele pilvekaustale, võib hakata seal oma isiklikke faile koristama ja kogemata kustutada või liigutada sinu ettevõtte olulisi dokumente, arvates, et ta on oma isiklikus kaustas.


Illustratsioon: Eden MoonPixabay

Lahendus: loo ettevõttesse selge lahkumisplaan (offboarding). Koosta nimekiri (checklist) kõigist keskkondadest, kuhu uutele tulijatele õigusi antakse. Töötaja lahkumise päeval võta see nimekiri ette ja sulge ligipääsud koheselt. Kord kvartalis tee täiendav revisjon, et veenduda, ega süsteemi pole jäänud ununenud ajutisi koostööpartnereid või kontosid, mis on jäänud sulgemata inimeste rollide muutumise tõttu. See hoiab sinu äriinfo ainult nende kätes, kes seda päriselt hetkel vajavad.

5. Kasutad failide jagamiseks "avatud linke"

"Lingiga kõigile kättesaadav" on mugav viis failide saatmiseks. Kuid piisab ühest valesti edastatud e-kirjast, kui sinu siseinfo on kontrolli alt väljas. See on nagu jätaksid kontoriukse pärani ja loodaksid, et möödakäijad sinna sisse ei vaata.

Mõtle neile olukordadele.

  • Edasi saadetud e-kiri: saadad koostööpartnerile lingiga juurdepääsu oma projekti eelarvele või strateegiale, partner saadab selle kirja edasi oma allhankijale, too omakorda kellelegi kolmandale. Ühel hetkel on ligipääs sinu tundlikule siseinfole inimestel, keda sa ei tea ega usalda ning sa ei saa seda protsessi enam peatada.
  • Töötaja eksimus vales aknas: ta kopeerib ettevõtte sisese "avatud lingi" kogemata kliendile saadetavasse kirja või klienditoe vestlusaknasse. Kuna link ei küsi sisselogimist, avab klient selle huvi pärast ja näeb dokumente, mis olid mõeldud vaid meeskonna sisekasutuseks (näiteks omahinnad või teiste klientide andmed).
  • Kontrolli puudumine ajaloo üle: kui jagad faile nimeliselt (e-posti aadressi põhjal), saad hiljem kontrollida, kes ja millal faili vaatas. Avatud lingi puhul on kõik vaatajad "anonüümsed loomad". Kui info lekib, pole sul võimalik tuvastada, millise kanali kaudu või kelle süül see juhtus.

Lahendus: jaga tundliku infoga faile alati konkreetsele e-posti aadressile (nimeliselt). Kui pead siiski kasutama linki, määra sellele pilveteenuses võimalusel aegumiskuupäev (näiteks 7 päeva) või lisa parool, mille saadad saajale teises kanalis. Nii säilitad kontrolli ka siis, kui link peaks rändama minema. Ülitundliku info puhul kasuta DigiDoc krüpteerimist – see on Eestis kõige kindlam viis tagada, et faili avab vaid õige inimene.

6. Seadmete kadumise plaan puudub

Mis saab siis, kui sinu (või töötaja) telefon koos töömeilide ja panga äppidega kaob ära? Kui sul pole selget plaani, kuidas ligipääsud distantsilt sulgeda, ei ole ohus ainult seade, vaid kogu ettevõtte töövõime.

Mõtle neile olukordadele.

  • Oma ärist väljalukustamine: sinu telefon on sinu "digitaalne võtmekimp". Kui see kaob ja sul on seal peal autentimise äpid (nagu Google Authenticator või Smart-ID), võid avastada, et sa ei pääse enam ühelegi oma kontole ligi isegi sülearvutist. See on irooniline olukord: turvameede, mis pidi hoidma võõrad eemal, lukustab nüüd sinu enda ärist välja. Kontode taastamine ilma telefonita võib võtta päevi.
  • Võõras pilk sinu kirjavahetuses: nutitelefonid püsivad tavaliselt sisselogituna. Kui seadmel puudub tugev ekraanilukk või distantsilt andmete kustutamise võimekus, saab seadme leidja lugeda kõiki sinu e-kirju, näha pangaväljavõtteid ja vaadata pilves olevaid dokumente ilma ühegi paroolita.
  • Sotsiaalne sissepääs: varastatud sülearvuti brauserisse on tavaliselt salvestatud kõik paroolid "salvesta parool" funktsiooniga. See on ründajale nagu kingitus – ta ei pea murdma sisse sinu süsteemidesse, vaid lihtsalt jalutab avatud uksest sisse, sest arvuti "mäletab" sind.

Lahendus: seadista oma seadmetes "Find My Device" (Android) või "Find My" (Apple), mis laseb seadme distantsilt lukustada või tühjendada. Veendu, et su tööfailid sünkroonitakse automaatselt pilve – nii on seadme kadumine vaid rahaline kulu uue riistvara näol, mitte aga kogu sinu töö häving.

7. "Meiega pole ju kunagi midagi juhtunud"

See on kõige ohtlikum mõtteviis. Enamik küberintsidente ei alga punaste hoiatustega. Sageli piisab ühest valest hiireklõpsust või "kiirest otsusest", mille mõju selgub alles nädalaid hiljem. See, et rünnakut pole märgatud, ei tähenda alati, et seda pole toimunud.

Mõtle neile olukordadele.

  • "Magav" pahavara: sinu arvutisse on sattunud programm, mis ei tee pealtnäha midagi halba: arvuti ei jookse kokku ja internet on kiire. Taustal aga kogub ja saadab see programm ründajale sinu klahvivajutusi. Nii jõuavad sinu paroolid ja klientide isiklik info võõrastesse kätesse ilma, et sa midagi kahtlustaksid.
  • Andmete kogumine tulevikuks: alati ei rünnata sind kohe täna. Vahel kogutakse ettevõtete andmeid "lattu", et neid hiljem hulgi teistele kurjategijatele edasi müüa. See, et täna on kõik rahulik, võib tähendada vaid seda, et sinu andmed ootavad mustal turul oma järjekorda.
  • Tagantjärele tarkuse hind: paljud ettevõtjad ütlevad pärast rünnakut: "Ma nägin küll seda imelikku sisselogimise teavitust eelmisel kuul, aga kuna midagi ei juhtunud, siis ma ei teinud välja." Kübermaailmas on "midagi ei juhtunud" sageli vaid vaikus enne tormi.

Lahendus: muuda digiturvalisus osaks oma rutiinist, mitte ühekordseks projektiks. Uuenda oma arvuti ja telefoni tarkvara kohe, kui teavitus tuleb – need uuendused lapivad sageli just neid auke, mida kurjategijad parasjagu ära kasutavad. Teadlikkus on parim kaitse.

Kas seda kõike on korraga liiga palju?

Kui tunned, et nende punktidega üksi tegelemine on liiga suur amps igapäevatöö kõrvalt, siis sa ei pea seda koormat üksi kandma. Turvalisus ei pea tähendama unetuid öid ega keerulisi koode – see tähendab selgust ja kindlustunnet, et sinu äri on kaitstud.

Just selleks on olemas ka Veebikooli küberturvalisuse õpiprogramm. Me ei tule sind õpetama IT-spetsialistiks, vaid aitame luua süsteemi ja harjumused, mis töötavad sinu kasuks vaikselt taustal. See on teekond, kus saab liikuda samm-sammult "enam-vähem" seisust päris kindlustundeni.

Aga kui sul on juba kõik korras? 

Kui said neid punkte lugedes kindlustundega märkida, et sinu ettevõttes on need asjad juba eeskujulikult lahendatud – siis see on imetlusväärne! Sel juhul on sul suurepärane põhi, et liikuda veel järgmine samm edasi. Küberturvalisuse programmis saab ka õppida, kuidas pakkuda küberturvalisuse teenust teistele. Nii saab oma teadmisi ja kindlustunnet jagada ning aidata ka muudel Eesti ettevõtjatel digimaailmas turvalisena püsida.

Kirsike Kukk-Viiol

Veebikool pakub ettevõtjatele 5-minutilisi tasuta ja taskukohase hinnaga õpiampse ehk lühikoolitusi, mille on loonud oma ala praktikud.

Vaata kõiki autori artikleid (2)

Kasutajad kes lugesid seda artiklit lugesid ka neid

Arendus kodulehe tegemine veebilehtede arendamine veebilehed
Millest kujuneb kodulehe tegemise hind?
Veebileht äri e-äri konsultatsioon kasutajakogemus
Kell kukub: 28. juunist peab ka erasektor veebilehed Ligipääsetavuse Direktiivi järgi kättesaadavaks tegema
Koduleht Turvalisus kodulehe haldamine
5 nippi, kuidas veebiturvalisust hoida
Koduleht kodulehe tegemine kodulehe haldamine
Kodulehe audit - kellele ja miks?
sisu kodulehe tegemine veebilehtede arendamine
7 head võimalust tehisintellekti kasutamiseks veebisisu loomisel
Veebimajutus on Facebookis. Sina oled kah.
Saame sõpradeks? Meil on Sulle palju rääkida, küllap Sul meilegi. Teeme ära?
Veebimajutus.ee
fox-head fox-head
Veebimajutus logo
Ka veebis tuleb targalt tegutseda. Eriti veebis!
Veebimajutuse 28 000 klienti rääkisid ja meie kuulasime - oleme teie vajaduste ning tagasiside põhjal loonud blogi, milleta ei saa hakkama ükski edukas e-ärimees. Eesti tippkirjutajad toovad Sinuni värskeimad nipid, uudised ja nõuanded. Ükski trend ei jää saladuseks ning väljakutse ületamatuks!
Klienditeenindus
E–N R
9:00–17:00 9:00–14:00
+372 6835 188 abi@veebimajutus.ee
Helista Saada email
Küsi julgelt, kui saame kuidagi aidata
Elkdata OÜ
+372 6835 188
abi@veebimajutus.ee
Telliskivi 60/2
10412 Tallinn, Eesti
Lepingud ja tingimused
Domeeni registreerimine E-posti majutus ja kontor Kodulehe majutus ja e-post Kodulehe ise-tegemine WordPressi paigaldamine Tasuta kolimisabi SSL sertifikaat
Blogi ja e-tarkusterad Partnerprogramm Klienditugi Kontaktandmed Firmast Uudised Koostööpartnerid
Tagasiside
Uudised, õpetused ja kavalad veebinipid. Otse meilile.
Sisesta oma e-mail ja liitu meie nädalakirjaga:
Success
Täname liitumise eest!