Kolmanda sektori organisatsioonid tegelevad sageli ühiskonnas tundlike teemade ning andmetega, mistõttu on oluline pöörata tähelepanu sellele, kuidas kaitsta organisatsiooni ja sellega seotud isikuid. Vaatame täpsemalt, millest alustada.
Mittetulundussektori eripäraks on organisatsioonide suuruse ja liikmeskonna ning tegevusalade mitmekülgsus. Seetõttu puutuvad MTÜ-d kokku väga erinevate andmetega, sh tundlike andmetega nagu isiku- ja terviseandmed või religioossed ning ideoloogilised andmed.
Kuna kolmanda sektori organisatsioonid tegelevad sageli ühiskonnas tundlike teemade ning andmetega, võivad nad lisaks tavapärasele küberkuritegevusele olla ka teiste riikide või huvigruppide poolt sihitud rünnakute sihtmärgiks.
Järgnevalt anname esmased juhised, kuidas planeerida organisatsiooni infoturvet ja millele tuleb tähelepanu pöörata organisatsiooni heaks töötavatel inimestel või vabatahtlikel.
Eesti ettevõtted sõltuvad üha enam digitaalsetest lahendustest, mistõttu on küberturbemeetmete rakendamine muutunud kriitiliselt oluliseks. Kuigi suurematel ettevõtetel on sageli eraldi IT-osakonnad ja infoturbe spetsialistid, siis väikeste ja keskmiste ettevõtete jaoks võib küberturvalisuse tagamine tunduda keeruline ning ressursimahukas.
Riigi Infosüsteemide Ameti "Ettevõtte küberturvalisuse lühijuhend 2025" pakub ettevõtetele praktilisi näpunäiteid, kuidas alustada küberturvalisuse parandamist.
Vastutus on juhil
Küberturvalisus ei ole üksnes IT-osakonna mure, vaid kogu ettevõtte, eriti juhtkonna vastutus. Juhil on võtmeroll organisatsiooni infoturbe tagamisel ning just juhtide tegevus ja otsused mõjutavad otseselt organisatsiooni suutlikkust kaitsta oma andmeid ja süsteeme.
Ettevõtte juht peaks:
- Tegema infoturbe organisatsiooni strateegiliseks prioriteediks
- Eraldama vajalikud ressursid infoturbe rakendamiseks
- Lähtuma infoturbealastest seadustest ja standarditest
- Kaardistama ettevõtte kohustused, vastutused ja riskid
- Olema kursis infoturbe seisundiga
- Kujundama infoturvet väärtustavat töökeskkonda
Kaitsevajaduste kaardistamine
Enne meetmete kasutuselevõttu tuleb selgeks teha, mida ja miks kaitstakse. Selle jaoks tasub läbi mõelda erinevad kahjustsenaariumid ning hinnata, millised oleksid nende mõjud ettevõttele. Näiteks:
- Millised regulatsioonid ja lepingud seavad ettevõttele nõudeid?
- Millised on võimalikud kahjud elule ja tervisele?
- Kuidas mõjutaks küberintsident ettevõtte mainet?
- Millised rahalised kahjud võiksid kaasneda?
Inventuur ja haldus
Turvalisuse tagamise esimene samm on teada, millised seadmed ja tarkvara ettevõtte võrgus on. Seetõttu tuleks:
- Koostada seadmete ja tarkvara nimekiri
- Seadistada seadmete keskhaldus
- Luua reeglid isiklike seadmete kasutamiseks töökeskkonnas
- Analüüsida pilveteenuste kasutamisega seotud riske
- Hallata uusi tehnoloogiaid (nt tehisintellekti) teadlikult
Töötajad kui turvalisuse tugisambad
Süsteem on vaid nii turvaline kui selle nõrgim lüli, milleks on sageli töötajad ise. Töötajate kaitsmiseks tuleks:
- Luua turvaline paroolipoliitika
- Rakendada mitmikautentimist
- Koolitada töötajaid rünnakuid ära tundma
- Regulaarselt testida töötajate teadmisi
Valmistumine intsidentideks
Küberintsidendid juhtuvad paratamatult. Oluline on olla valmis nendega toimetulekuks:
- Koostada taasteplaan
- Tagada andmete varundamine ja selle kontroll
- Teha regulaarseid proovitaastamisi
- Seadistada logimine ja süsteemide jälgimine
- Teada, kuidas intsidendi korral toimida
Kaubamärgi ja tarneahela kaitsmine
Ettevõtte kaubamärgiga seotud avalikud veebilehed, sotsiaalmeedia kontod ja e-posti aadressid vajavad kaitset väärkasutuse eest. Samuti on oluline pöörata tähelepanu tarneahela turvalisusele, sest ettevõtted kasutavad üha enam kolmandate osapoolte tarkvara ja teenuseid.
Põhjalikuma juhendina saab kasutada RIA / Riigi Infosüsteemi Ameti välja töötatud "Ettevõtte küberturvalisuse lühijuhendit".