Andmeturveː tehnoloogia, koolitus ja reeglid

Vali üks suurematest IT-turvariskidest ja analüüsi seda ajaveebiartiklis. Mida tuleks "Mitnicki valemi" kolme komponendi (tehnoloogia, koolitus, reeglid) selle maandamiseks ette võtta?

    Minu arvates üheks kõige suuremaks turvariskiks on identiteedivargused. Phishing ehk õngitsemispettus on üks levinumaid internetipettuse liike. Kurjategijad teesklevad, et esindavad mõnda usaldusväärset teenusepakkujat, ja petavad kasutajatelt välja isikuandmeid. Andmete välja meelitamine võib käia nii positiivses võtmes ehk preemia lubamise kaudu (ülisoodsad kampaaniapakkumised; auhinnamängud; VIP-eeliste lubamine; „esimesed 100 saavad…“ jms) kui negatiivses võtmes ehk ähvarduste-hirmutamiste abil („Kontrolli, et sinu isikuandmed ei oleks häkkerite kätte sattunud andmebaasis“; „Sinu pangaarvale on sisse murtud – kanna oma raha teisele kontole üle“, „Turvarisk! Muuda oma salasõnu/PIN-koode siit“, „Kui sa ei tee XYZ, siis lõpetame teenuse pakkumise…“ jms). [1]
    Tegemist on ühe suure riskiga just seetõttu, et sellistel puhkudel ei põhjustata kahju mitte riistvarale vaid reaalsele inimesele. Langedes õngitsemispettuse ohvriks, on kahju varaline ning võib ulatuda väga suurtesse summadesse. Näiteks minu enda tuttav langes hiljuti LHV-d imiteeriva pettuse ohvriks. Ta sai SMS-i ennast tuvastada ning samal ajal oli ka ise panka sisenemas seega mõtlemata ta seda ka tegi. Samal õhtul oli kahju juba tehtud ning pangakontolt võis näha, et oli ostetud 100 euro kaupa krüptot ehk kokku 1200 euro väärtuses.
    Mida siis saaks selle maandamiseks ette võtta? "Mitnicki valemi" kolme komponendi (tehnoloogia, koolitus, reeglid) põhjal sobiks selleks kindlasti koolitus ja reeglid. Tuleks tõsta inimese teadlikkust erinevate turvariskide kohta internetis (mitte ainult pettused) ning teha selgeks, kuidas need toimivad, kuidas neid märgata, ennetada jne. Alustada saab iga inimene iseendast ehk näiteks tuleks üle vaadata oma paroolid (et ei oleks lihtsad), avada tuleks ainult oodatud kirjade manuseid ning õppida märkama detaile õngitsuskirjade puhul (kahtlased e-maili lõpud, segane tekst, tundmatu link jne). 
Oluline oleks paika panna ka reeglid, kuidas käituda, kui tegu on juba tehtud. Näiteks mõne organisatsiooni puhul tuleb paroolid kohe ära muuta ning teavitada IT-osakonda, et sealt juba täpsemad juhised saada.

[1] https://www.smart-id.com/et/turvalisus/netipettused/