5 soovitust töökohaarvuti turvalisemaks seadistamisel

KPMG Eesti IT nõustamisteenuste juht Teet Raidma
KPMG Eesti IT nõustamisteenuste juht Teet Raidma

Arvutite ühendamisel võrku tuleb arvestada, et iga internetti ühendatud seade on vaikimisi seadistuses avatud küberruumis levivatele ohtudele. Kogenematu arvutikasutaja, kes ei oska sellele tähelepanu pöörata, võib avalikku arvutivõrku kasutades tekitada suure ohu mitte ainult oma arvutis olevate andmetele, vaid kogu ettevõtte infosüsteemile, kirjutab Äripäeva ITuudiste ja KPMG koostöös toimuval andmekaitse seminaril ettekandega esinev KPMG Eesti IT nõustamisteenuste juht Teet Raidma.

Kõik töökohaarvutid on vaja enne kasutuselevõtmist turvalisemaks seadistada. Selleks tuleks ettevõttes koostada ja kinnitada kord, mis peaks hõlmama ka allpool käsitletud küsimusi. 

  • Ärge kasutage arvutit tavaotstarbeks administraatori õigustes!

Kui tööjaama kasutatakse lokaalse administraatori õigustega, on võimalik kasutajale märkamatult installida sinna pahavara sisaldavaid arvutiprogramme. Samuti on võimalik kasutaja teadmata muuta arvuti seadistusi, et kasutada seda hüppelauana pahavara ja spämmi levitamiseks või arvutivõrgus toimuva jälgimiseks.

Selle ära hoidmiseks tuleb välja selgitada kasutaja tegelikud vajadused ja kehtestada tehnilised piirangud ning reeglid. Nendega peaks määrama ka arvuti edaspidise halduse, kaasa arvatud arvutisse tarkvara installimise korra. Ettevõttele kuuluvates arvutites peaks olema kaughalduse ja seire võimalus, et IT-töötajatel oleks võimalik arvutiprobleeme eemalt lahendada.

Tööjaamade ja võrguseadmete kaughalduse vahendid peaks kasutama turvalisi andmevahetuskanaleid. Laialt tuntud haldusvahendid, nagu telnet, VNC või RDP, ei kasuta vaikimisi seadistuses andmete krüptimist, seega tuleb neid kombineerida selliste turvaliste andmevahetuskanalitega nagu on TLS või IPSEC.

  • Uuendage perioodiliselt arvuti operatsioonisüsteemi ja kõiki muid arvutisse paigaldatud rakendusi!

Üks peamine põhjus, miks tarkvaratootjad oma toodetest uusi versioone ja neile tarkvarauuendusi levitavad, on tarkvarast avastatud turvaaugud, mis annavad pahatahtlikule ründajale võimaluse arvutit rünnata. Iga operatsioonisüsteemi puhul on leitud ja leitakse ka edaspidi nõrku kohti, mille parandamata jätmine tekitab süsteemi soovimatu tagaukse. Selle kaudu võivad ründajad ligi pääseda ka kõige moodsamate tulemüüridega turvatud arvutivõrkudesse.

Kiiresti muutuvate tarkvaratoodete, näiteks operatsioonisüsteemi või antiviiruse programmi uuendamiseks tuleb sisse lülitada automaatuuenduste teenus.

Siiski tuleks kõiki programmimuudatusi enne nende töökeskkonda installimist eelnevalt testkeskkonnas või testarvutis testida. Iga remondipakett (ingl service pack) või kuumparandus (ingl hot fix) on töösüsteemi muudatus. Muudatused süsteemides võivad tekitada probleeme, mille esilekerkimist ei ole alati võimalik ette näha.

Teatud aja möödudes võib tarkvara tootja või tarnija oma vananenud tarkvaratootele tehnilise toe ja uuenduste väljalaskmise lõpetada. Sel juhul tuleks sellise tarkvara (nt Microsoft Windows’i vanemad operatsioonisüsteemid) kasutamisest loobuda ja kaaluda tarkvara või koguni arvuti väljavahetamist. 

  • Varustage arvuti uuendatud antiviiruse ja pahavaratõrje tarkvaraga!

Iga arvuti olenemata tehnilisest platvormist ja kasutatavast operatsioonisüsteemist, vajab turvaliseks kasutamiseks lisakaitset.

Kuigi kahjurvara tüüpe võib loetleda päris palju, nimetatakse nende vastu võitlemiseks loodud rakendusi üldistades endiselt antiviiruse programmideks. Komplekssed tooted mitte ainult ei suuda tuvastada teadaolevaid arvutiviirusi, vaid analüüsivad süsteemi käitumist tundmatute failidega. Millised on ühe või teise antiviiruse programmi võimalused ja sobivus, seda tuleb enne tarkvara valimist hoolega analüüsida.

Valik ei ole lihtne, sest peale üldtuntud turvatarkvaratootjate on turul kümneid vähem tuntud tootjaid, kelle toodete funktsionaalsus ei pruugi olla sugugi halvem. Valimisel on võimalik tugineda sõltumatute hindajate ja testilaborite tulemustele (nt AV-TEST Instituut, www.av-test.com).

Kahjurvaratõrje programmi minimaalne võimekus on järgmine:

  • kõigi arvutivõrgu kaudu või mis tahes andmekandjal saadud failide kasutuseelne kontrollimine võimaliku pahavara avastamiseks;
  • e-kirjade manuste ja allalaaditud failide skannimine enne lõplikku kohaletoimetamist kasutaja arvutisse;
  • kasutaja avatavate veebilehtede kontroll võimaliku kahjurvara avastamiseks.

Lisaks peamisele, arvutis pidevalt taustal töötavale antiviiruse programmile on pahavaraga nakatumise kahtluse korral või pärast viiruse eemaldamist soovitatav teha arvuti lisakontroll, kasutades mõnd alternatiivset tarkvaratoodet. Kui antiviiruse rakendus on pahavara tuvastanud, pakutakse tavaliselt võimalust nakatunud failid paigutada karantiini või arvutist kustutada. Oluline on, et kõik sellised juhtumid kajastuvad kohe ka antiviirusprogrammide keskses haldussüsteemis. Ettevõtte IT-administraatoril on toimuvast niimoodi ülevaade ja ta saab vajadusel kiiresti sekkuda.

Pahavara kahjustused võivad siiski olla nii ulatuslikud, et ainus lahendus on failide või terve süsteemi taastamine varukoopialt. Näiteks suudavad nn lunavara?tüüpi pahavarad kasutaja failid täielikult krüptida ehk kasutajale kättesaamatuks muuta. Nende tagasisaamiseks on ainuke võimalus failid varukoopiatelt taastada või jääda lootma, et kurjategijad pärast lunaraha tasumist võimaldavad failid dekrüptida.

Tuleb tunnistada, et ka parim kahjurvaratõrje programm ei suuda pakkuda kaitset veel avalikustamata ja parandamata turvaaukude ärakasutamise vastu nn nullpäeva ründed (ingl zero-day)või tuvastada äsja kompileeritud uut ründekoodi, mida ei ole maailmas veel laialdaselt kasutatud.

  • Arvuti seadistamisel kasutage „kõik, mis ei ole keelatud, on lubatud” asemel põhimõtet „kõik, mis ei ole lubatud, on keelatud”!

Lubades kasutajale ligipääsu ainult nendele rakendustele, mida ta vajab, tõkestame ülejäänud tarbetu ja ohtliku tegevuse, mille ärakasutamise võimalustest me ei pruugi veel teadlikki olla. Seda põhimõtet nimetatakse tihti ka valge nimekirja (ingl whitelisting) kasutamiseks. Valge nimekiri on väga tõhus, aga samal ajal piirab oluliselt arvuti kasutamise võimalusi.

Valge nimekirja vastand on valitud programmide kasutamise keelamine ehk nende paigutamine musta nimekirja (ingl black list). Musta nimekirja saab edukalt kasutada näiteks teadaolevate või oletatavalt kahjulike veebilehtede külastamise keelamiseks.

Kõikidele arvutivõrgus asuvatele arvutitele rakenduv veebifilter (URL?filter) ei lase külastada veebiaadresse, mis on ettevõttes keelatud. Ebasoovitavate URLide nimekirju täiendatakse pidevalt, seega tuleb jälgida, et veebifiltri andmebaasi pidevalt uuendatakse.

Keelatud tarkvara nimekirjad ei ole paraku kunagi täiuslikud, seetõttu ei suuda must nimekiri teisi turvameetmeid rakendamata pakkuda kahjurvara vastu piisavat kaitset.

Juurutage ettevõttes arvutite ja tarkvara standardseadistus. Turvalisse operatsioonisüsteemi ja standardisse kuuluvad tarkvaratooted saab koondada valmisinstalliks, mida edaspidi saab tööjaamade kloonimiseks kasutada. Kui on alust arvata, et arvuti on nakatatud on pahavaraga, siis on taastamisest lihtsam kogu kõvaketta sisu algseadistatud tarkvaraga üle kirjutada.

Standardseadistuses tööjaamade installipakett, mida uute arvutite puhul kasutatakse, tuleks perioodiliselt üle vaadata ja vajadusel uuendada. Installipaketti võivad muuta ainult volitatud isikud ja kõik muudatused peavad olema tagantjärele tuvastatavad. Kõik erandid, mis arvutite standardseadistusele lisaks tööjaamadesse paigaldatakse, peab juhtkond eelnevalt kinnitama.

Tehnoloogiliste piirangute abil tuleks tavakasutaja õigustes keelata rakenduse paigaldamine arvutisse, välja arvatud juhul, kui see on kantud valgesse nimekirja.

Kahtlast võrguliiklust aitab piirata personaalse tulemüüri tarkvara. Arvutisse paigaldatud tarkvaraline tulemüür toimib täiendava kaitsena arvutiviiruste levimise vastu ettevõtte sisevõrgus, kui pahavara on võrgu perimeetrit kaitsevast tulemüürist mööda pääsenud. Samuti on personaalse tulemüüri kasutamine kohustuslik mobiilsete seadmete, eriti sülearvutite kasutamisel avalikes WiFi-võrkudes. 

  • Võtke kasutusele abinõud arvutis olevate andmete kaitseks!

Kõige parem kaitse oluliste andmete arvutist kaotamise vastu on olulisi andmeid töökohaarvutis üldse mitte hoida. Kui seda siiski on vaja, tuleb tagada, et olulised failid paiknevad veel vähemalt ühes eraldi asukohas, näiteks ettevõtte failiserveris.

Hea abivahend on andmekandjate ja arvuti kõvaketta krüptimine. Eriti oluline on krüptimine kaasaskantavate arvutite puhul. Arvuti varguse või kaotamise korral on võimalik saada sealt kätte oluline info, mida saab kasutada konkreetse arvuti ja ka kogu arvutivõrgu ründeks.

Artikli autor Teet Raidma esineb 8. veebruaril toimuval seminaril 
Praktilised juhised uuest andmekaitsemäärusest tulenevate nõuete järgimiseks 
Info ja registreerimine SIIN

IT JUHTIMISE KÄSIRAAMAT

Artikkel ilmus Äripäeva IT juhtimise käsiraamatus.

Käsiraamatus jagame head nõu, kuidas IT-rakenduste ja investeeringute abil suurendada konkurentsivõimet ning paremini rakendada tehnilisi oskusi ja võimalusi ettevõtte eesmärkide teenistusse.

Selles leiate süsteemse ülevaate infotehnoloogia võimalustest ja otstarbeka rakendamise põhimõtetest. Tippjuht, kes vastutab ettevõtte strateegia ja investeeringute eest, saab hea arusaama IT-valdkonna praktilisest poolest ning on seega võimeline tegema paremaid juhtimisotsuseid.

Käsiraamat valmib koostöös juhtiva ärinõustamisfirmaga KPMG Baltics OÜ ja peatoimetaja on IT nõustamisteenuste juht Teet Raidma.

Vaadake näidiskäsiraamatut!

Mida saate aastalitsentsi eest?

  • Ligipääsu igal kuul uuenevale e-käsiraamatule
  • Võimaluse kasutada e-nõuandekeskust
  • Paberväljaande
  • Paberväljaande täiendusi iga kolme kuu järel
  • E-uudiskirja Õigusuudised 10 korda aastas

Osale arutelus

  • Teet Raidma, KPMG Eesti IT nõustamisteenuste juht

Toetajad

Raadio ettevõtlikule inimesele

Hetkel eetris

Seotud lood

Jälgi ITuudiseid sotsiaalmeedias

RSS

Toetajad

Valdkonna töökuulutused

Nortal is looking for a HEAD OF MARKETING

Nortal AS

28. veebruar 2018

Derivco is looking for a QA SPECIALIST

Derivco Estonia OÜ

01. märts 2018

Derivco is looking for an ANIMATOR

Derivco Estonia OÜ

01. märts 2018

Arvamused

Teabevara