12/05/2026

Andmeturveː tehnoloogia, koolitus ja reeglid (08.05-15.05)

Selle nädala keskseks teemaks on andmeturve ning selle erinevad tahud. Toetudes Kevin Mitnicki valemile, kirjeldan lähemalt üht IT-turvariski ning selle võimalikke maandamisvõimalusi. Mitnicki järgi tugineb andmeturve kolmele omavahel seotud komponendile: tehnoloogiale, koolitusele ja reeglitele. Otsustasin postituses keskenduda just andmepüügile, kuna antud probleemiga on ilmselt kokku puutunud meist igaüks.

Postituse pilt: Pexels

Mis on pahavara ning kuidas seda maandada?

Mida mugavamaks muutub digimaailm, seda suuremaks kasvavad keskkonnas varitsevad ohud. Üheks selliseks ohuks on andmepüük ehk inglise keeles phishing, mis on tänapäeval üks levinumaid IT-turvariske. Mingis mõttes sarnaneb andmepüük oma kahjuliku mõju tõttu pahavarale. Ent samas võiks väita, et andmepüük on isegi ligipääsetavama, ja seekaudu ohtlikum, sest pahavara tuleb ikkagi tarkvara näol alla laadida. Esmapilgul võib jääda mulje, et andmepüügi puhul on tegu pelgalt petukirjade või kahtlaste linkidega, siis tegelikult on see palju laiem probleem, sest see kasutab ära nii tehnoloogilisi nõrkusi kui ka inimeste tähelepanematust. Seda tõendab kasvõi asjaolu, et järjest rohkem kuuleme uudistes lugusid sellest, kuidas jälle keegi kaotas tuhandeid eurosid petukirjade tõttu. Eriti ohustatuks võib pidada vanemat põlvkonda, kelle seas leidub mitmeid piiratud digikirjaoskusega inimesi.

Tehnoloogia vaatenurgast on andmepüügi vastu võimalik kasutada mitmesuguseid kaitsemeetmeid. Nende hulka kuuluvad näiteks e-posti filtrid, pahavaratõrje, linkide ja manuste kontroll ning mitmefaktoriline autentimine. Viimane on eriti oluline, sest isegi juhul, kui kasutaja parool satub vale inimese kätte, ei pruugi sellest veel piisata süsteemi sisenemiseks. Tehnilised lahendused ei kõrvalda küll ohtu täielikult, kuid aitavad ründeid varakult takistada ja nende mõju vähendada.

Samas ei piisa ainult tehnoloogiast. Andmepüük toimib sageli just seetõttu, et inimene ei tunne ohtu ära või ei tea, kuidas kahtlases olukorras käituda. Seetõttu on oluline kasutajate harimine: tuleb õpetada märkama petukirjade tüüpilisi tunnuseid, suhtuma ettevaatlikult linkidesse ja manustesse ning mõistma, miks paroole või muid tundlikke andmeid ei tohi kergekäeliselt jagada. Seda infot tuleb aga meelde tuletada regulaarselt. Lisaks tehnoloogiale ja koolitusele vajab andmepüügi ennetamine ka selgeid reegleid, mis määravad, kuidas organisatsioonis tundlikke tegevusi tehakse ja mida teha siis, kui kahtlane olukord on juba tekkinud. Nii saabki öelda, et andmepüügi vastu aitab kõige paremini mitte üksik lahendus, vaid teadlik, informeeritud ning terviklik turvakultuur.

Kommentaare ei ole:

Postita kommentaar

Raamatuarvustus: "Algospeak"

Siinse blogi kõige viimase postitusena sooviksin jagada üht hiljutist lugemiselamust. Nimelt otsustasin kursuse tarbeks võtta ette raamatu, ...