Tartu Tamme Gümnaasiumi küberturbeauditi kogemuslugu

Eellugu

2020. aasta alguses oli Tartu Tamme Gümnaasiumi juhtkond jõudnud arusaamani, et koolil oleks vaja infoturbedokumenti, mis sisaldaks ülevaadet kooli küberkaitstuse hetke taseme kohta. Koolis pole suurt IT-osakonda, vaid üks  IT-juht ja juhtkond, ning kõik osapooled soovivad kindlustunnet, et nad on oma tööd hästi tegemas. Tartu Tamme Gümnaasiumi IT-juht Mathias Mõttus, kes töötab seal juba 2015. aastast, selgitab lisaks: „Ka mina IT-juhina tahan teada, et kasutan oma töös parimaid praktikaid, olen õiges tasakaalus mugavuse ja turvalisuse kiigel, ning juhtkond omakorda vajab kindlustunnet, et inimest kelle nad on palganud, saab jäägitult usaldada, teeb õiget asja ja tüürib õiges suunas.“ Hakati otsima partnerit, kes aitaks luua täpsemat selgust, kas koolil on vaja infoturbedokumenti, auditit, ISKE raamistiku rakendamist või hoopis midagi muud ja kellelegi ei olnud pädevust seda vajadust täpsemalt hinnata. Suheldi paljude riigigümnaasiumite IT-juhtidega ja selgus, et huvi on väga suur, aga keegi polnud veel pretsedenti loonud. „Saime ka mõned hinnapakkumised, aga kuna puudus selge arusaam, mida me tahame, siis nii see ka mõneks ajaks jäi“ lisab Mõttus. 

„OIXIO pakkumine tundus meile nagu rusikas-silma-auku, sest olime midagi sellist otsinud ja pakutud lahendus tundus algusest peale päris selge. Paketid OIXIO kodulehel on väga hästi välja töötatud, me saime kohe aru hinnaklassist, mida see sisaldab ja nüüd oli vaja lihtsalt selgeks teha, et kas juhtkond on valmis selle ära kinnitama,“ selgitas Mõttus. Selgus, et hinna-kvaliteedi suhe oli täpselt paigas ja sobis aasta varem eelarvestatuga. Tamme Gümnaasium otsustas auditiga alustada.  Mõttus: „Kogu see protsess on olnud hästi meeldiv ja tore ning see tulem on olnud enam, kui me oskasime küsida. Me ei teadnud täpselt, kui me sinna sisse sukeldume, et mis me sealt saame väljundina, aga see üllatas meid positiivselt.“ 

Protsess 

Peale juhtkonna nõusolekut, auditi läbiviimise kohta, algas taustatöö. Esimesena viidi läbi intervjuud ja seletati lahti raamistik, mille põhjal audit toimub. Edasi toimus kirjalik küsimuste ja vastuste voor, kus uuriti struktuursete punktidega sisendit ja  gümnaasiumi töötajad andsid omapoolsed vastused. See sisaldas nii ligipääse, infot olemasolevate dokumentide kohta, näiteks võrgu kaardistus ja erinevate süsteemide kasutamise kohta, viirustõrje haldus tarkvara küsimused ja kõikvõimalik muu taoline. Mõttus lisab: „Selgitasime, mida me kasutame, miks me kasutame, kuidas me kasutame ja andsime ligipääsu, et OIXIO saaks asja lähemalt vaadata. Tegelikult see ülejäänud protsess peale intervjuud toimuski üsnagi taustal. Mina koguaeg umbes teadsin, mis toimub, sest me panime omapoolse arvuti koolis käima, mille toimetamist oli kaughalduse kaudu võimalik jälgida. Teadsin, kui tihti ja kuidas, OIXIO töötajad seal toimetasid. Selle koha pealt ma saangi kiita ja öelda, et tegelikult panustati sellesse auditeerimisprotsessi kõvasti aega.“ lisab Mõttus.

Tulemused

„Auditi tulemusena saime kinnitust, et hetkeolukorra üldpilt on üsna hea. Lisaks saime ka konkreetse nimekirja, mida üle käia ja parendada. See nimekiri käsitles kõikvõimalikke potentsiaalseid turvariske ja ohte ning muudatussoovitusi. Me käisime need üksipulgi koos juhtkonnaga läbi. Mõne koha peal me teadvustasime riski ja võtsime nii-öelda teadliku otsuse, et see on nüüd see koht, kus on mugavuse ja turvalisuse kiik ja me tahame hoida oma süsteemi niivõrd lihtsana, et see näiline turvalisus ei hakkas liiga palju domineerima. Et see lihtsus, milles peitub võlu, tagaks meile omamoodi turvalisuse. Ma toon näite siin paroolipoliitikast. Kui parooli peab vahetama iga kuu ja see peab olema niivõrd unikaalne ja nii pikk, et see ei jää kellelegi meelde, siis tekib omakorda lisa turvaauke.  Leidsime teatud kohtades selliseid lihtsuse kompromisse, aga väga palju leidsime ka kohti, mida me hakkame või juba oleme konkreetselt korda teinud ning parandanud. Näiteks saime aru, et õpetajate toas on avalikud arvutid, kuhu jääb konfidentsiaalseid jäänukeid – prinditavad kontrolltööde failid, mida õpetajad ära ei kustutada ja millele võivad õpilased, kes aeg-ajalt ruumis käivad, ligi pääseda. Samuti mõistsime, et meil on nii öelda “IKT-info stardidokumendid”, mille uus töötaja tutvumiseks ja kinnitamiseks saab, kuid ei toimi jätkukoolituste süsteem – hakkasime seda juurutama selliselt, et regulaarse tsükliga kajastub iganädalases infotunnis mõni aktuaalne IKT-turbeteema. Peatselt oleme kinnitamas infoturbedokumenti, mille põhja OIXIO meile tootis ning lisaks on meil tulemina olemas selline võrgu kaardistus, mis on visuaalselt parem kui enne ja mitmesuguseid abimaterjalid veel, et meil tekkis tööriistakast,“ räägib Mõttus. 

Soovitused neile, kes alles mõtlevad auditist

„Juhi vastutus igas ettevõttes on väga suur ja igal juhul tasub oma vastutust mõistlikes piirides hajutada ning see on üks paremaid viise, kuidas seda väga tervislikult hajutada.  Nii on sul juhina kontroll ja ülevaade ning samas mõistliku hinna eest see turvatunne, mida sa vajad. See tundub lihtsalt mõistlik asi mida teha, et mitte näha IKT-d kui omaette osakonda, kui mingit patsiga poissi, kes arvuteid vahepeal kruvivad, vaid näha seda, kui ärisüsteemi lahutamatut osa. Olgu siis kool või äriühing, see on nii läbiv teema. Kui me infoturbele tähelepanu ei pööra ja teame, et inimene on alati kõige nõrgem lüli, siis jäävad meil märkamata need inimlikud aspektid, kus tekivad hästi suured turvaaugud ja lõpuks tekib äriline, rahaline ja mainekahju. See otsus on hästi ratsionaalne.“ kirjeldab Mõttus.  Direktor Ain Tõnisson lisab: „Juhina soovitaks kõikidele teistele koolidele auditi tegemist ja rõõmuga jagan ka meie kogemust. See on au asi, et selline võimalus on olnud. Me püüame Tamme Gümnaasiumis olla läbipaistva ja ausa kultuuri kandjad ning selline audit aitab kõvasti kaasa.“ Lõpetuseks lisab IT-juht Mathias Mõttus: „Kui nõnda mõelda ja toimetada siis ei ole mitte midagi karta, sest juhtide huvi võiks ju alati olla see, et ettevõte oleks läbipaistev ning siis on küberturbeauditist  ainult võita.

OIXIO poolne kommentaar

OIXIO küberturbejuht Andres Vallistu: „Koostöö Tartu Tamme Gümnaasiumiga küberturbeauditi teostamisel oli väga ladus. Oluline on, et kliendipoolne kontakt oleks koostöövalmis ja toetaks meid erinevates auditi etappides. Kliendi poolt oli meil vastas Mathias Mõttus, kes oli turvateadlik ja oskas turbeteemade osas kaasa rääkida ja jagas meile vajalikku lisainfot, mis oli auditi edukaks läbiviimiseks vajalik. Mida koostööaltim on klient, mida rohkem olulist teavet meiega jagatakse, seda operatiivsemalt saame meie tegutseda ja seda suurema väärtuse loob ka auditi lõpptulemus.“

Auditi tulemusel selgus, et Tartu Tamme Gümnaasiumi küberturbe küpsustase on üle „keskmise“ hea, turbeteemad on olnud varasemalt tähtsal kohal, kooli juhtkond peab küberturvalisust oluliseks, vastutus on paigas ja nüüd ka konkreetne tegevuskava veel eksisteerivate puuduste kõrvaldamiseks.