Kui sel aastal pole veel küberturvalisus ettevõtte ühtede tähtsaimate teemade hulka tõusnud, siis tasub anda lubadus vähemalt uuel aastal selle teemaga tõsisemalt tegeleda. Koos uusaastalubadusega maksab jälgida ka neid viit olulist trendi, mida peaks algaval aastal arvestama.
1. Privaatsuse turvalisus on eluliselt vajalik
Privaatse info lekke eest võib Euroopa Liidus saada suure trahvi, mis paljudele ettevõtetele võib olla isegi surmavaks löögiks, sest trahvid kasutajate isikuandmete lekitamise eest on päris krõbedad. Seega peab iga ettevõte kogutud andmetega eriti delikaatselt ringi käima. Lisaks kodulehel olevale hoiatusele, et vastavalt GDPR-ile peab andmete kogumise eest kasutajat teavitama ja temalt loa küsima, peab ka andmete säilitamise eest hoolt kandma ning igasugused võimalikud lekked välistama. Lisaks krediitkaardiandmetele võib väga kulukaks minna ka tavaliste kasutaja isikuandmete leke.
2. Vaid salasõnaga sisselogimine hakkab hääbuma
Lekkivad salasõnad on juba üsna vana teema, kuid nüüd peaks, kui vähegi võimalik, oma süsteeme kaitsma kas mitmeastmelise autentimisega või salasõnavaba isikutuvastusega. Salasõnade lekke eest pole keegi kaitstud, see võib toimuda väljaspool firmat ning ükskõik kui hästi ka oma süsteeme ei turvataks, on lekkinud parool nagu noalöök selga.
Wordpressi lehe jaoks on olemas mitmeid autentimise võimalusi e-postile saadetavast koodist mõne autentimise äpini või miks mitte ka kodumaise turvalise mobiil-ID või Smart-ID kaudu. Samuti saab määrata turvalisi seadmeid, millest sisselogimine on alati lubatud, aga mujalt mitte.
Lisaks on paroolivaba sisselogimine kasutajate jaoks mugavam, sest salasõnu ja kasutajanimesid ei pea meeles pidama ega kuskil alles hoidma. Hea ja lihtne on näiteks sisse saada näotuvastuse või sõrmejäljega.
3. Õngitsuskirjade vastu tuleb midagi ette võtta
Sel aastal on täiesti soliidsed ja usaldusväärsed firmad langenud alatute õngitusrünnakute ohvriks, kui ettevõttele saabub justnagu tegevjuhi kiri, milles palutakse kiirelt mõni tähtis pangaülekanne ära teha. Tegelik kirjasaatja on aga hoopis mõni pahalane, kes esineb varastatud identiteediga.
Seega maksaks üle vaadata oma e-posti seaded, määrata ära turvalised serveri seaded ja keelata teistest kinnitamata serveritest firma domeeni e-posti aadressidelt kirjade väljasaatmine. Kui suurema summa ülekanne äratab kahtlust, võiks alati teha nii-öelda mitmeastmeline autentimine. Näiteks võiks ülekande tegija enne tegevjuhile üle helistada ja suuliselt küsida, kas ta ikka tahtis pangaülekannet teha.
4. Rohkem riiklikult mahitatud ründeid
Käimasolev Venemaa agressioonisõda Ukrainas on toonud ka Eestisse uusi massilisi rünnakuid mitte ainult riigiasutuste, vaid ka eraettevõtete vastu. Ohvrid ei pea ise mitte millegi poliitilisega silma paistma - sellised riiklikult mahitatud või poliitiliselt suunatud rünnakud võtavad sihile kõik sihtriigi domeenid ja ettevõtted sügavamalt süvenemata, kes midagi on teinud.
Sellised ründed on ka aina rohkem automatiseeritud - kammitakse läbi suur hulk riigi domeene, et leida mõni nõrk koht ja sealtkaudu sisse pugeda. Eesmärgiks on maine kahjustamine, andmete näppamine, mõne tähtsama infrastruktuurifirma puhul ka otsese majanduskahju tekitamine võimalikult suures ulatuses. Tasub üle vaadata oma turvauuenduste poliitika, salasõnade ja sisselogimise tugevus ning vastupanuvõime nn toore jõu rünnakutele ehk DDoS-idele.
5. Koolita kasutajaid, et nad poleks kõige nõrgem lüli
Rohkem kui kunagi varem sõltub ettevõtte turvalisus kasutajatest - isegi väga hea turvalisusega süsteem võib langeda, kui kasutajad ei tea, mis on küberturvalisus ja kui nad annavad kogemata ligipääsu võõrastele. 2023 võiks olla väikeste, aga vajalike küberkoolituste aasta, et igaüks teaks, milline on tema osa firma turvalisuse tagamisel ja oskaks ära tunda, kui keegi üritab midagi ettevõttest välja õngitseda.