29. jaanuar 2017
Jaga lugu:

5 soovitust töökohaarvuti turvalisemaks seadistamisel

KPMG Eesti IT nõustamisteenuste juht Teet Raidma
KPMG Eesti IT nõustamisteenuste juht Teet Raidma  Foto: KPMG Eesti

Arvutite ühendamisel võrku tuleb arvestada, et iga internetti ühendatud seade on vaikimisi seadistuses avatud küberruumis levivatele ohtudele. Kogenematu arvutikasutaja, kes ei oska sellele tähelepanu pöörata, võib avalikku arvutivõrku kasutades tekitada suure ohu mitte ainult oma arvutis olevate andmetele, vaid kogu ettevõtte infosüsteemile, kirjutab Äripäeva ITuudiste ja KPMG koostöös toimuval andmekaitse seminaril ettekandega esinev KPMG Eesti IT nõustamisteenuste juht Teet Raidma.

Praktilised juhised uuest andmekaitsemäärusest tulenevate nõuete järgimiseks 

08.02.2017 Viru Konverentsikeskus

Info ja registreerimine SIINSOODUSHIND kuni 31.01!

Kõik töökohaarvutid on vaja enne kasutuselevõtmist turvalisemaks seadistada. Selleks tuleks ettevõttes koostada ja kinnitada kord, mis peaks hõlmama ka allpool käsitletud küsimusi. 

Ärge kasutage arvutit tavaotstarbeks administraatori õigustes!

Kui tööjaama kasutatakse lokaalse administraatori õigustega, on võimalik kasutajale märkamatult installida sinna pahavara sisaldavaid arvutiprogramme. Samuti on võimalik kasutaja teadmata muuta arvuti seadistusi, et kasutada seda hüppelauana pahavara ja spämmi levitamiseks või arvutivõrgus toimuva jälgimiseks.

Selle ära hoidmiseks tuleb välja selgitada kasutaja tegelikud vajadused ja kehtestada tehnilised piirangud ning reeglid. Nendega peaks määrama ka arvuti edaspidise halduse, kaasa arvatud arvutisse tarkvara installimise korra. Ettevõttele kuuluvates arvutites peaks olema kaughalduse ja seire võimalus, et IT-töötajatel oleks võimalik arvutiprobleeme eemalt lahendada.

Tööjaamade ja võrguseadmete kaughalduse vahendid peaks kasutama turvalisi andmevahetuskanaleid. Laialt tuntud haldusvahendid, nagu telnet, VNC või RDP, ei kasuta vaikimisi seadistuses andmete krüptimist, seega tuleb neid kombineerida selliste turvaliste andmevahetuskanalitega nagu on TLS või IPSEC.

Uuendage perioodiliselt arvuti operatsioonisüsteemi ja kõiki muid arvutisse paigaldatud rakendusi!

Üks peamine põhjus, miks tarkvaratootjad oma toodetest uusi versioone ja neile tarkvarauuendusi levitavad, on tarkvarast avastatud turvaaugud, mis annavad pahatahtlikule ründajale võimaluse arvutit rünnata. Iga operatsioonisüsteemi puhul on leitud ja leitakse ka edaspidi nõrku kohti, mille parandamata jätmine tekitab süsteemi soovimatu tagaukse. Selle kaudu võivad ründajad ligi pääseda ka kõige moodsamate tulemüüridega turvatud arvutivõrkudesse.

Tarkvara uuendamine võimalikult kiiresti pärast seda, kui tarkvara tootja on turvapaigad avaldanud, on võrguturbe tagamise põhialuseid.

Kiiresti muutuvate tarkvaratoodete, näiteks operatsioonisüsteemi või antiviiruse programmi uuendamiseks tuleb sisse lülitada automaatuuenduste teenus.

Siiski tuleks kõiki programmimuudatusi enne nende töökeskkonda installimist eelnevalt testkeskkonnas või testarvutis testida. Iga remondipakett (ingl service pack) või kuumparandus (ingl hot fix) on töösüsteemi muudatus. Muudatused süsteemides võivad tekitada probleeme, mille esilekerkimist ei ole alati võimalik ette näha.

Teatud aja möödudes võib tarkvara tootja või tarnija oma vananenud tarkvaratootele tehnilise toe ja uuenduste väljalaskmise lõpetada. Sel juhul tuleks sellise tarkvara (nt Microsoft Windows’i vanemad operatsioonisüsteemid) kasutamisest loobuda ja kaaluda tarkvara või koguni arvuti väljavahetamist. 

Varustage arvuti uuendatud antiviiruse ja pahavaratõrje tarkvaraga!

Iga arvuti olenemata tehnilisest platvormist ja kasutatavast operatsioonisüsteemist, vajab turvaliseks kasutamiseks lisakaitset.

Tänapäevased pahavara tõrje rakendused on erinevate kaitsemeetodite ja tehnoloogiate kombinatsioon, näiteks antiviirus, spämmitõrje, nuhkvaratõrje ja lokaalne tulemüüritarkvara

Kuigi kahjurvara tüüpe võib loetleda päris palju, nimetatakse nende vastu võitlemiseks loodud rakendusi üldistades endiselt antiviiruse programmideks. Komplekssed tooted mitte ainult ei suuda tuvastada teadaolevaid arvutiviirusi, vaid analüüsivad süsteemi käitumist tundmatute failidega. Millised on ühe või teise antiviiruse programmi võimalused ja sobivus, seda tuleb enne tarkvara valimist hoolega analüüsida.

Valik ei ole lihtne, sest peale üldtuntud turvatarkvaratootjate on turul kümneid vähem tuntud tootjaid, kelle toodete funktsionaalsus ei pruugi olla sugugi halvem. Valimisel on võimalik tugineda sõltumatute hindajate ja testilaborite tulemustele (nt AV-TEST Instituut, www.av-test.com).

Kahjurvaratõrje programmi minimaalne võimekus on järgmine:

kõigi arvutivõrgu kaudu või mis tahes andmekandjal saadud failide kasutuseelne kontrollimine võimaliku pahavara avastamiseks;e-kirjade manuste ja allalaaditud failide skannimine enne lõplikku kohaletoimetamist kasutaja arvutisse;kasutaja avatavate veebilehtede kontroll võimaliku kahjurvara avastamiseks.

Lisaks peamisele, arvutis pidevalt taustal töötavale antiviiruse programmile on pahavaraga nakatumise kahtluse korral või pärast viiruse eemaldamist soovitatav teha arvuti lisakontroll, kasutades mõnd alternatiivset tarkvaratoodet. Kui antiviiruse rakendus on pahavara tuvastanud, pakutakse tavaliselt võimalust nakatunud failid paigutada karantiini või arvutist kustutada. Oluline on, et kõik sellised juhtumid kajastuvad kohe ka antiviirusprogrammide keskses haldussüsteemis. Ettevõtte IT-administraatoril on toimuvast niimoodi ülevaade ja ta saab vajadusel kiiresti sekkuda.

Pahavara kahjustused võivad siiski olla nii ulatuslikud, et ainus lahendus on failide või terve süsteemi taastamine varukoopialt. Näiteks suudavad nn lunavara?tüüpi pahavarad kasutaja failid täielikult krüptida ehk kasutajale kättesaamatuks muuta. Nende tagasisaamiseks on ainuke võimalus failid varukoopiatelt taastada või jääda lootma, et kurjategijad pärast lunaraha tasumist võimaldavad failid dekrüptida.

Tuleb tunnistada, et ka parim kahjurvaratõrje programm ei suuda pakkuda kaitset veel avalikustamata ja parandamata turvaaukude ärakasutamise vastu nn nullpäeva ründed (ingl zero-day)või tuvastada äsja kompileeritud uut ründekoodi, mida ei ole maailmas veel laialdaselt kasutatud.

Arvuti seadistamisel kasutage „kõik, mis ei ole keelatud, on lubatud” asemel põhimõtet „kõik, mis ei ole lubatud, on keelatud”!

Lubades kasutajale ligipääsu ainult nendele rakendustele, mida ta vajab, tõkestame ülejäänud tarbetu ja ohtliku tegevuse, mille ärakasutamise võimalustest me ei pruugi veel teadlikki olla. Seda põhimõtet nimetatakse tihti ka valge nimekirja (ingl whitelisting) kasutamiseks. Valge nimekiri on väga tõhus, aga samal ajal piirab oluliselt arvuti kasutamise võimalusi.

Valge nimekirja vastand on valitud programmide kasutamise keelamine ehk nende paigutamine musta nimekirja (ingl black list). Musta nimekirja saab edukalt kasutada näiteks teadaolevate või oletatavalt kahjulike veebilehtede külastamise keelamiseks.

Kõikidele arvutivõrgus asuvatele arvutitele rakenduv veebifilter (URL?filter) ei lase külastada veebiaadresse, mis on ettevõttes keelatud. Ebasoovitavate URLide nimekirju täiendatakse pidevalt, seega tuleb jälgida, et veebifiltri andmebaasi pidevalt uuendatakse.

Keelatud tarkvara nimekirjad ei ole paraku kunagi täiuslikud, seetõttu ei suuda must nimekiri teisi turvameetmeid rakendamata pakkuda kahjurvara vastu piisavat kaitset.

Juurutage ettevõttes arvutite ja tarkvara standardseadistus. Turvalisse operatsioonisüsteemi ja standardisse kuuluvad tarkvaratooted saab koondada valmisinstalliks, mida edaspidi saab tööjaamade kloonimiseks kasutada. Kui on alust arvata, et arvuti on nakatatud on pahavaraga, siis on taastamisest lihtsam kogu kõvaketta sisu algseadistatud tarkvaraga üle kirjutada.

Standardseadistuses tööjaamade installipakett, mida uute arvutite puhul kasutatakse, tuleks perioodiliselt üle vaadata ja vajadusel uuendada. Installipaketti võivad muuta ainult volitatud isikud ja kõik muudatused peavad olema tagantjärele tuvastatavad. Kõik erandid, mis arvutite standardseadistusele lisaks tööjaamadesse paigaldatakse, peab juhtkond eelnevalt kinnitama.

Tehnoloogiliste piirangute abil tuleks tavakasutaja õigustes keelata rakenduse paigaldamine arvutisse, välja arvatud juhul, kui see on kantud valgesse nimekirja.

Kahtlast võrguliiklust aitab piirata personaalse tulemüüri tarkvara. Arvutisse paigaldatud tarkvaraline tulemüür toimib täiendava kaitsena arvutiviiruste levimise vastu ettevõtte sisevõrgus, kui pahavara on võrgu perimeetrit kaitsevast tulemüürist mööda pääsenud. Samuti on personaalse tulemüüri kasutamine kohustuslik mobiilsete seadmete, eriti sülearvutite kasutamisel avalikes WiFi-võrkudes. 

Keskses salvestusseadmes asuvate andmete turvalisus tagatakse rangete füüsilise turvalisuse ja andmekaitse reeglitega, mida pole võimalik rakendada üksikute tööjaamade puhul. Soovitatav on vähemalt üht varukoopiat oluliste andmetega hoida arvutivõrgust eraldatud ja turvalises asukohas.

Võtke kasutusele abinõud arvutis olevate andmete kaitseks!

Kõige parem kaitse oluliste andmete arvutist kaotamise vastu on olulisi andmeid töökohaarvutis üldse mitte hoida. Kui seda siiski on vaja, tuleb tagada, et olulised failid paiknevad veel vähemalt ühes eraldi asukohas, näiteks ettevõtte failiserveris.

Hea abivahend on andmekandjate ja arvuti kõvaketta krüptimine. Eriti oluline on krüptimine kaasaskantavate arvutite puhul. Arvuti varguse või kaotamise korral on võimalik saada sealt kätte oluline info, mida saab kasutada konkreetse arvuti ja ka kogu arvutivõrgu ründeks.

Artikli autor Teet Raidma esineb 8. veebruaril toimuval seminaril  Praktilised juhised uuest andmekaitsemäärusest tulenevate nõuete järgimiseks  Info ja registreerimine SIIN

IT JUHTIMISE KÄSIRAAMAT

Artikkel ilmus Äripäeva IT juhtimise käsiraamatus.

Käsiraamatus jagame head nõu, kuidas IT-rakenduste ja investeeringute abil suurendada konkurentsivõimet ning paremini rakendada tehnilisi oskusi ja võimalusi ettevõtte eesmärkide teenistusse.

Selles leiate süsteemse ülevaate infotehnoloogia võimalustest ja otstarbeka rakendamise põhimõtetest. Tippjuht, kes vastutab ettevõtte strateegia ja investeeringute eest, saab hea arusaama IT-valdkonna praktilisest poolest ning on seega võimeline tegema paremaid juhtimisotsuseid.

Käsiraamat valmib koostöös juhtiva ärinõustamisfirmaga KPMG Baltics OÜ ja peatoimetaja on IT nõustamisteenuste juht Teet Raidma.

Vaadake näidiskäsiraamatut!

Mida saate aastalitsentsi eest?

Ligipääsu igal kuul uuenevale e-käsiraamatuleVõimaluse kasutada e-nõuandekeskustPaberväljaandePaberväljaande täiendusi iga kolme kuu järelE-uudiskirja Õigusuudised 10 korda aastas

Autor: Teet Raidma, KPMG Eesti IT nõustamisteenuste juht

Jaga lugu:
ITUUDISED UUDISKIRJAGA LIITUMINE

Telli olulisemad Ituudised uudised igal nädalal enda postkasti.

Ituudised.ee toetajad:

Enimloetud
Aali Lilleorg
Aali LilleorgtoimetajaTel: 505 3172aali@ituudised.ee
Ana Madismäe
Ana Madismäereklaamimüügi projektijuhtTel: 545 60 150Ana.Madismae@aripaev.ee

Sellel veebilehel kasutatakse küpsiseid. Veebilehe kasutamist jätkates nõustute küpsiste kasutamisega. Loe lähemalt