Väikese ettevõtte IT mure: kuidas ma tean, et mu IT on korras ja olen kaitstud?

Hiljuti toetasime üht Eesti väikeettevõtet, kellel olid pisimured võrgu toimimisega. Kuna firma oli napilt pääsenud üsna suure mõjuga küberturbe intsidendist umbes aasta varem, oli investeeritud vägagi adekvaatsesse võrgutaristusse, sealhulgas heasse tulemüüri koos kõikide turbeteenustega, korralikku hallatavasse switchi ja WiFi tugijaamadesse. Kuna ettevõte on väike, siis oma IT-inimest loomulikult palgal ei ole, maja sees IT-tehnilised oskused puuduvad ja IT usaldatakse väliste partnerite hoolde.

Mida me avastasime?

Tulemüüri sisse logides tabas meid jahmatus, millest lihtsalt peame rääkima.

• Kallid tulemüürilitsentsid olid aasta aega registreerimata (ei toiminud).

• Tulemüüri ainus administatiivkonto oli seadistatud parooliga, mis asub maailmas enim kasutatud paroolide absoluutses tipus.

• Kogu võrk seadistatud (õigemini seadistamata) nii, et kõik seadmed asusid ühes võrgus - tootmisseadmed, töötajate arvutid, IOT, majas asuva rentniku kasutajad, külaliswifi kasutajad (kusjuures eraldi külaliste WIFi oli loodud, aga mitte eraldatud).

• Tulemüüris endas mingeid reegleid ei olnud, seejuures puudus ka piirang tootmiseks vajaliku kaitsetu Windows XP arvuti pääsemiseks välismaailma, mida omanik arvas olevat seadistatud.

Ehk siis reaalselt ei olnud taristusse tehtud investeeringutest mingit kasu. Võlts turvatunne, mis seadmete ostmisest ja paigaldusest tekkis tõenäoliselt suurendas ohtu uue intsidendi tekkeks.

Olime nõutud. Loomulikult tegime võrgu korda, et magada saaksime, aga peale esmase šoki ületamist pani see seik tõsiselt mõtlema.

Kuidas ilma IT teadmisteta ettevõtte juht saab veenduda, et tema IT-partner on päriselt oma tööd adekvaatselt teinud?

Meil 3 soovitust:

1. Küsi partnerilt elementaarne dokumentatsioon.

Raske on dokumenteerida tegemata tööd. Seega kui saad dokumentatsiooni, on juba veidi julgem tunne, et partner on ka midagi päriselt teinud.

Loomulikult ole valmis dokumenteerimise eest ka maksma - see võtab aega, aga hea IT dokumentatsioon on kriisi hetkel kulda väärt.

Sõltuvalt sellest, kas konkreetne partner toetab kogu IT-d või ühte lõiku võib dokumentatsiooni sisu varieeruda, aga väikese ettevõtte juhil peaks olema oma IT-st minimaalselt järgmised dokumendid: 

• IT-varade register

• Teenuste ja lepingute nimekiri ning vastutustabel

• Füüsiline ja loogiline võrgujoonis

• Serverite ja teenuste nimekiri

• IP-aadresside plaan

• Ligipääsude register (kes pääseb millele ligi)

• Autentimise ja paroolipoliitika

• Küberturbe lahenduste ja tarkvarade kirjeldus

• Varunduslahenduse ja -poliitika kirjeldus

• Kontaktide ja eskalatsioonide nimekiri, veel parem "IT kiirjuhend juhile" 1-pager.

2. Lase IT auditeerida

Vana hea ütlus "usalda, aga kontrolli" kehtib ka IT puhul. Isegi, kui oled saanud partnerilt IT dokumentatsiooni, ja eriti juhul kui ei ole, tasub lasta IT üle vaadata kolmandal osapoolel, kellele ei ole ärilist huvi puudusi varjata.

Kui IT dokumentatsioon on juba olemas, siis on ka auditi tundide maht märkimisväärselt väiksem.

Jälgi ainult, et auditi partner oleks tehniliselt pädev ja vaataks päriselt taristusse sisse ka, mitte ei parandaks olemasolevas dokumentatsioonis kirjavigu.

3. Sõlmi IT-halduse leping

Kuigi tundub, et väikeses ettevõttes ei ole seda IT-d piisavalt, et sõlmida püsitasulist IT-teenuse lepingut, siis reaalsuses ikkagi on. Ja paraku ilma püsiva lepingu ja regulaarse hoolduskohustuseta on ka IT-partnerilt võimatu nõuda vastutust sinu ettevõtte IT toimimise eest.

Vajad abi?

Replicant IT tuleb heameelega appi, kui:

• Soovid selgust oma IT-s ja dokumentatsiooni

• Turvaliselt ja parimate praktikatele vastavalt seadistatud Euroopa IT taristut

• Usaldusväärset, proaktiivset ja pädevat IT teenuspartnerit

Võta meiega ühendust, räägime!