Inimene kui turvarisk
Riigi Infosüsteemi Amet Eestis teeb endast kõik oleneva, et küberturvalisuse temaatika jõuaks iga kodaniku teadvusesse. Seda fakti kinnitavad erinevad artiklid päevakajalistes väljaannetes, millest üks konkreetne näide allpool on ilmunud Äripäevas.
"Hiljuti tuli ajakirjanduse vahendusel välja, et 2005. aasta suvel leidis juhuslik kodanik Tallinnast Tammsaare pargist mälupulga koos 300 000 kaitseväekohuslase isikuandmetega. See tõestab veelkord, et inimfaktor on IT-turvalisuse kõige nõrgem lüli.
Andmekäitluse tehnilised turvaelemendid võivad muutuda kasutuks, kui süsteemi sekkub inimene. Osalt teadmatuse tõttu, osalt laiskuse ja hoolimatuse tõttu võib inimfaktor muuta kalli tehnika püüdlused mõttetuks, viies konfidentsiaalsed andmed väljapoole turvalist perimeetrit ning eemaldades andmetelt salajasust tagava kilbi.
Turvarisk algab, kui IT-ala juhid ei tööta välja turvastrateegiat või ei vii seda ellu. Samuti on oma roll kasutajatel, kes ei käitu vastavalt turvaeeskirjadele. Väga kahjulik loomuomadus on ka inimlik uudishimu.
Esimene asi, millest alustada, on täpselt määratleda, mida töötaja tohib arvutiga teha ning mida mitte. Hea, kui programmide installeerimise õigust tavakasutajatele üldse ei anta - see peaks jääma ainult arvutivõrgu administraatorite õiguseks.
Kindlasti tuleb sätestada reeglid parooli keerukuse ja parooli vahetamise sageduse kohta. Samuti on oluline kirja panna käideldavate andmete turvareeglid - millised andmed on salajased ning millised mitte; kes millistele andmetele tohib ligi pääseda. Siinkohal tuleb hoolega jälgida reeglit: Nii palju kui vaja, kuid nii vähe kui võimalik."
Inimene ei ole turvarisk, mitte sellepärast, et ta oleks pahatahtlik, vaid seetõttu, et kui kehtestatud turvapoliitikad tema tööd suurel määral takistavad, siis ta teeb kõik endast oleneva, et leida alternatiivseid võimalusi enda tööd takistamatult edasi teha.
Tänapäevased tavapärased võrkude segmenteerimise ja turvapoliitikate kehtestamine administraatori vaatevinklist ei tööta. Eelistama peaks rohkem töövoogu paremini järgivaid lahendusi, isegi kui need esmapilgul tunduvad vähem turvalised. Tegelik turvalisus suureneb tänu sellele, et kasutajate motivatsioon selliseid reegleid rikkuda on väiksem.
Erinealt traditsioonilistest lahendusetst annab oluliselt parema tulemuse see, kui me ei tegeleks käskude ja keeldudega, vaid prooviks saavutada olukorda, kus inimesed ei vaata turvapoliitikat, kui segavat ja häirivat kohustust.
On võimalik vastu tulla kasutajate soovile pääseda kriitilistes süsteemides hoitavale informatsioonile ligi sisuliselt suvalisest võrgust, tagades ennekõike andmete terviklikkuse ja süsteemide käideldavuse, andes mõningal määral järele andmete konfidentsiaalsuse nõuetes. Seda tehes on viidud miinimumini kasutaja motivatsioon leida alternatiivseid meetodeid turvareeglitest mööda pääsemiseks ja suurendatud süsteemi tegelikku turvalisust, kuna kõik tegevused on turvatud ja monitooritud – sellisel juhul ei ole suurima turvrisk süsteemis enam lõppkasutaja ning infoturbega tegelevad spetsialistid saavad keskenduda peamiselt turvaliste konfiguratsioonide välja töötamisele.
Koolitusi on vaja, ainuüksi juba kasutaja teadlikkuse tõstmiseks, et millised on ohud ja mis need realiseerumine endaga kaasa võib tuua.