11. mai 2017

Kas sinu ettevõtte andmed on kaitstud?

Teet Tamme, EY pettuste uurimise spetsialist
Autor: Ettevõtlusblog E&Y

Ettevõtete majandustegevus on tihedalt seotud andmete kogumise, kasutamise ja jagamisega. Suhtluse efektiivsemaks toimimiseks on välja töötatud mitmesuguseid võimalusi erinevate suhtluskeskkondade, pilve- ja andmejagamise teenuste ja muude lahenduste näol. Sellest tulenevalt on aga kasvanud ettevõtete haavatavus küberrünnakute, andmete varguse ning manipulatsiooni suhtes.

EY pettuseriskide uuringus „EMEIA Fraud survey 2017“ nõustusid ligi pooled vastanutest, et küberrünnakute risk on nende hinnangul kõrge ning võib põhjustada intellektuaalse vara vargust või konfidentsiaalse informatsiooni lekkimist.

Oma igapäevatöö juures ei pruugi me tihtilugu endale teadvustada, kui olulise informatsiooniga me kokku puutume ning millised ohud võivad kaasneda, kui tundlik informatsioon satub kolmandate osapoolte kätte.

Selleks, et organisatsioonid saaksid takistada delikaatsete andmete lekkimist, tuleb rakendada erinevaid meetmeid, mis aitaksid maandada andmevarguse või -lekkega seotud riske. Üks võimalik tegutsemisstsenaarium oleks korraldada organisatsioonis andmete liikumise ja kasutamise seire, et tuvastada võimalikke nõrkusi andmete töötlemisel, salvestamisel ja jagamisel. See hõlmaks ettevõttes kasutatavate e-kirjade, suhtluskeskkondade ning vajadusel ka kõnelogide analüüsimist. Selline seire ei pruugi aga olla kuigi lihtne, kuna ettevõte peab järgima isikuandmete kaitse seadusest tulenevaid nõudeid.

Värskeimas EY pettuseriskide uuringus nõustusid 75% küsitluses osalejatest, et ettevõte peaks oma töötajate kasutatavate andmete jagamist analüüsima. Samas oli 89% vastanutest seisukohal, et selline andmete kogumine kahjustab nende privaatsust. Siit tulebki välja vastuolu ja probleem, millega ettevõtted silmitsi seisavad: ühest küljest soovitakse kaitsta ettevõtte vara/informatsiooni, teisest küljest ei soovi tööandja kuidagi piirata ja kahjustada töötajate isikuvabadust.

Reeglite kehtestamine

Ettevõtte juhatusele on seadusega pandud kohustus (ÄS-i § 306 lg 7) panna paika sisekontrollisüsteem, mis aitaks ettevõtte tegutsemist ohustavaid asjaolusid võimalikult varakult avastada.

Ettevõte on kohustatud kehtestama kirjalikult tööd reguleerivad põhimõtted, sh andmete kasutamisega seotud reeglid, tutvustama neid kõikidele töötajatele ning hindama perioodiliselt meetmete sobivust organisatsiooni töökorraldusega.

Eelkõige peaks organisatsioonis olema kehtestatud reeglid ja põhimõtted ettevõttes kasutatava e-posti aadressi, telefoni, suhtluskanalite ja ettevõtte andmete kasutamise ja jagamises kohta. Tööandja kehtestatud töökorraldusreeglid on selleks, et selgitada ettevõttes kehtivaid põhimõtteid ning töötajad nendega kurssi viia. Töökorraldusreeglite koostamisel peaks tööandaja jälgima, et seatud põhimõtted ei läheks vastuollu isikuandmete kaitse või teiste seadustega.

Kontrollimeetmete rakendamine

Ernst & Young Baltic AS viis pettuseriskide uuringu läbi ka Eestis („Pettuseriskide uuring Eestis 2017“), kus selgus, et nendes organisatsioonides, kus viimase 24 kuu jooksul mõni pettusejuhtum aset leidis, panid 19% juhtudest rikkumise toime organisatsiooni juhtivtöötajad, 50% juhtudest organisatsiooni töötajad/spetsialistid ning 21% juhtudest organisatsiooni endised töötajad. Selleks, et ettevõte saaks tagada piisavalt turvalise keskkonna andmete säilitamiseks ja edastamiseks, tuleks analüüsida just neid sisekontrollisüsteemi mehhanisme, mis korraldavad andmete kasutamist ja säilitamist.

 - Tööandja e-kirjade jälgimine

Kindlasti leidub inimesi, kes kasutavad oma tööandja domeeniga e-postiaadressi sõpradega suhtlemiseks või isiklike asjade ajamiseks. Töötajal on selleks täielik õigus juhul, kui tööandja ei ole kehtestanud vastavaid reeglid. Lähtuvalt andmekaitse inspektsiooni juhendist on tööandjal õigus kehtestada nõue, et tööandja domeeniga e-posti ei või töötajad kasutada isiklike e-kirjade saatmiseks (või et selle lubamise korral tuleb hoida isiklikud kirjavahetused eraldi loodud alamkaustas). Töötajat peab olema teavitatud, et tööandjal on võimalus salvestatud e-kirju uurida juhul, kui tuvastatakse töökohustuste rikkumine. Kui kontrollimise ja piiramise võimalus tuleneb töötaja ja tööandja vahel sõlmitud lepingust ning eeldusel, et töötaja tegevust kontrollitakse üksnes töökohustuste täitmisega seoses, ei pea tööandja töötajat kontrollimise ega piiramise faktist informeerima.

- Tööandja arvuti kasutamine isiklikuks otstarbeks

Töötajale töö tegemiseks antud arvuti, eriti sülearvuti, suurendab oluliselt andmete lekke riski. Tööandajal puudub täpne ülevaade, kus töötaja sülearvutit kasutab, mis otstarbel, millistesse võrkudesse ta ennast logib. Muidugi on olemas mitmeid turvameetmeid ja abinõusid, mida tööandja saab arvutites seadistada. Näiteks piirata ligipääsu teatud aadressidele või võrkudele ning määrata keerukamad paroolikombinatsioonid, mis ei võimalda andmetele kiirelt ja lihtsalt ligi pääseda. Samuti soovitatakse töötajal avalikus võrgus olles kasutada tööandja loodud virtuaalset privaatvõrku (VPN). See võimaldab avalike võrkude kasutamisel andmeid edastada krüpteeritult, st kolmandal osapoolel, kes sooviks andmeid lugeda või muuta, puudub selleks võimalus.

Arvestada tuleb, et iga arvutis tehtud liigutus jätab digitaalse jälje. Allpool toon välja mõned näited digitaalsetest jälgedest.

Dokumentide loomisel salvestatakse metainfosse automaatselt arvutikasutaja nimi, dokumentide loomise ja muutmise kuupäevad.E-kirja saatmisel jäävad metainfosse IP-aadressid, saaja ja vastuvõtja andmed, arvuti nimi.Võrguserverisse jääb jälg külastatud veebilehtedest, IP-aadress ja külastusaeg.Kui töötaja külastab tööarvuti veebilehitsejaga paroolidega kaitstud võrgulehti ning lubab veebilehitsejal paroolid meelde jätta, on veebilehitsejast hiljem võimalik kõiki salvestatud paroole vaadata.

Kuna üldjuhul on pahatahtlik arvutikasutaja IT-vallas võrdlemisi võhiklik, pole ettevõttel keeruline kahjutekitajat välja selgitada. Seepärast peaksime tööandja arvutit kasutades eelkõige ise hindama, kas arvuti isiklikuks otstarbeks kasutamisega võib juhtuda, et kahjustame oma tööandjat või tema vara. Kui näib aga, et töötajatel on sellist põhimõtet keeruline järgida, on tööandjal soovitatav arvuti kasutamist reguleerida töökorraldusreeglites, kus täpsustatakse arvuti isiklikuks otstarbeks kasutamise võimalusi.

Kokkuvõttes sõltub andmete kasutamine ja jagamine meist endist. Igaüks meist peab olema valvsam ning hindama saadetud või vastuvõetud info tundlikkust ja võimalikke ohte, mis võivad kaasneda andmete valedesse kätesse sattumisega. Ettevõttes olevate andmete kasutamisel ja edastamisel võiksime endalt küsida:

Kellega ma võin seda infot jagada?Kas andmete edastamine võib kahjustada minu organisatsiooni huve?Kas nende andmete kasutamine ja edastamine võib kahjustada teise isiku või teise ettevõtte huve?

Ettevõte saab aga ennast kaitsta kehtestades töökorraldusreeglid, mis täpsustavad töötajate jaoks nii infokandjate (arvutite, kõvaketaste) kui ka infokanalite (võrgud, serverid) kasutustingimusi.

Kui teil on küsimusi artiklis avaldatu kohta või sooviksite saada nõu, võtke EY-ga ühendust. Vaata rohkem infot EY teenuste kohta SIIT.

Artiklis viidatud uuringud:

EMEIA Fraud Survey 2017

Pettuseriskide uuring Eestis 2017

Autor: Teet Tamme, EY pettuste uurimise spetsialist

Jaga lugu
Raamatupidaja.ee toetajad:
Mare TimianRaamatupidaja.ee juhtTel: 6670405
Külli ReinoRaamatupidaja.ee toimetajaTel: 6670405
Cätlin PuhkanRaamatupidaja.ee reklaami müügijuhtTel: 53 315 700