Digiturvalisus: töötaja kui turvarisk


Avaldaja:Madli Leikop08. Veebruar 2017

Turvalise interneti nädalal avaldame Koolielus TLÜ digitehnoloogiate instituudi haridustehnolooga magistriõppe tudengite mõtteid ja arvamusi digiturvalisusest. Täna tuleb juttu digiturvalisusest töökohal. Igal nädalapäeval uus lugu!

Ettevõtte küberturvalisuse võtmeks on iga töötaja

Olen märganud, et viimasel ajal olen hakanud saama üha enam erinevat tüüpi spämmi nii oma era- kui ka töömeilikontodele. Enamik sellest spämmist maandub otse spämmkaustas, kuid on ka selliseid kirju, mis on ühel või teisel põhjusel lipsanud läbi filtri ja jõudnud postkasti. Klikkides mõnel neist, võib juhtuda, et töötaja nakatab oma arvuti viirusega, mis levib sealt kogu ettevõtte serversisse. Ettevõtted kipuvad investeerima tehnoloogiasse, mis peaks tagama turvalisuse, kuid jätavad tähelepanuta inimesed, kes siis tahtmatult seda turvalisust õõnestavad. Piisab vaid sellest, et töökaaslaste seas on üks inimene, kelle arvuti kasutamisharjumused ei ole turvalised ning ohtu satuvad ka kõigi teiste seadmed.

Kellele kuulub töötaja e-postkast?

Tööarvuti on töötaja kasutusse antud eelkõige töö tegemiseks. Paljudes töökohtades on tööandja töötajale tööülesannete täitmiseks loonud tööandja domeeniga e-postiaadressi. Eestis on praktikas kujunenud tavapäraseks, et töötajad kasutavad tööandja domeeniga e-postiaadresse ka oma erakirjade saatmiseks ja saamiseks (sh kasutades riigiasutuse või kohtuga suhtlemisel kontaktandmetena). Isikliku kirjavahetuse hulka tuleb arvata ka töötajatevaheline kirjavahetus, mis ei seondu tööülesannete täitmisega. Samal ajal ei ole töötajal õigust töö e-posti isikilikul eesmärgil kasutada.

Tööandjal on õigus töödelda töötaja isikuandmeid ulatuses, mis on tarvilik tööandja arvutisüsteemide tõrgeteta töö tagamiseks. Näiteks võib tööandjal olla vaja arvutisüsteemide tõrgeteta ja turvalise töökorra tagamiseks tuvastada mahukad ja ohtlikud e-kirjad või lugeda töötaja puhkuse või äkilise haigestumise ajal saabunud arveid ja tellimusi. Tööandjal ei ole mingit takistust kontrollida töötaja töökohustuste täitmist, sh lugeda tööülesannete täitmisega seotud e-kirju. Töötajate kontrollimiseks peaks tööandja koostama töötajate andmete töötlemise kohta selgitava dokumendi. Võimalik on, et tuleks sätestada ka reegel, et töö e-posti ei võiks erakirjade saatmiseks kasutada. Töösuhte lõppemisel ei ole tööandjal töötaja e-postkasti avatuna hoidmiseks otsest seadusest tulenevat alust, seega saates erakirju läbi töö e-posti võib inimene ise tekitada endale keerulise olukorra, kus tal pole enam oma kirjadele ligipääsu.

Lahkuv töötaja loob turvariski

Ajastul, mil kõige olulisemaks varaks on andmed ja ligipääsud, ei ole haridusasutustes väga hästi läbi mõeldud, mida teha olukorras, kus töötaja lahkub. Väljakutse tekib sellest, et paljud keskkonnad on omavahel pilveteenustes lõimunud ja kui kasutatakse ühte e-maili ja kontot kogu asutuse peale (näiteks nutiseadmete keskhalduseks), siis on see teada ka lahkuvale töötajale. Ideaalne viis oleks siduda kõik kontod asutuse e-mailiga ja kui töötaja lahkub, siis konto suletakse.  Aga mida teha olukorras, kus vahendid ja keskkonnad, mida asutuses kasutatakse, seda ei võimalda?  Mida teha olukorras, kui keegi pahatahtlik töötaja on juba enne lahkumist kopeerinud endaga kaasa faile või näiteks üritab neid vastupidiselt hävitada?

Tudengite mõtted kogus kokku ja saatis Koolielule Birgy Lorenz, Tallinna Ülikooli digiturbe labori projektijuht. Artikkel sai teoks tänu tublidele kursuslastele: Kati Liik, Aivi Reimand, Maria Savina, Anneli Mõtsmees, Linda Helene Sillat, Eno Pihla, Mikk Oad, Raige Ifrad, Heily Epro-Volmer, Kristina Lee, Jaana Varis, Tuuli Tomson, Riina Hiob, Anne Tiits, Anne-Mai Saar, Anu Männisalu, Gätlin Juhken, Katariina Linde ja Cristina Kaska.

Foto: Koolielu arhiiv.

Samal teemal: