Uudised

Mida saavad tööandjad teha, et kaitsta oma ettevõtteid küberrünnakute eest?

Riigi Infosüsteemi Ameti poolt eelmise aasta septembris avaldatud andmete kohaselt kaotavad Eesti ettevõtted küberkurjategijatele aastas üle miljoni euro. See number on siiski vaid jäämäe tipp, sest hõlmab vaid ametile edastatud andmeid. Küberkuritegude kurba statistikat arvesse võttes on selge, et küberhügieeni järgimist töötajate poolt tuleks pidada samaoluliseks kui kohustust käsi pesta.

Mida saavad tööandjad teha, et kaitsta oma ettevõtteid küberrünnakute eest?

Küberturvalisuse riskide leevendamiseks on soovitatav rakendada mitmekihilist lähenemisviisi, sest küberohtude vastane kaitse hõlmab üldjoontes kolme komponenti: inimesed (siin peetakse silmas töötajate teadlikkust küberohtudest ja küberturvalisuse parimate tavade järgimist), protsessid (organisatsioonis kehtestatud protseduurid küberohtude ennetamiseks, avastamiseks ja neile reageerimiseks) ja tehnoloogia (küberohtude leevendamiseks mõeldud tehnoloogiliste vahendite rakendamine, näiteks tulemüürid, pahavaratõrje tarkvara,mitmeastmeline autentimine jne). Isegi kui organisatsioonis on kehtestatud nõuetekohased protseduurid ja kasutatakse kaasaegseid küberturvalisuse tehnoloogiaid, võivad töötajad siiski endast märkimisväärset turvariski kujutada.Näiteks kui töötajad ei ole küberturvalisuse parimatest tavadest teadlikud või ei järgi neid, võivad nad kergesti langeda andmete õngitsemise ohvriks. Kui see õnnestub, saavad küberkurjategijad juurdepääsu ettevõtete konfidentsiaalsetele andmetele ja varadele.

Euroopa Liidu õigusaktidega (Euroopa Liidu andmekaitse üldmäärus) kehtestati kohustus kaitsta vastutava töötleja poolt töödeldavaid isikuandmeid ning rakendada sellega seoses asjakohaseid tehnilisi ja korralduslikke meetmeid. Selleks peavad organisatsioonid kaitsma oma töötajate ja klientide andmeid, mida kasutatakse mistahes sisemistes protsessides, süsteemides, teenustes või toodetes. Kuid peale isikuandmete kaitse ei kohusta seadused siiski neid eraettevõtteid, kes ei osuta hädavajalikke ega digitaalteenuseid, konkreetseid küberturvalisuse reegleid järgima. Seega on iga äriühingu ülesanne hinnata oma konkreetse äritegevusega seotud riske ja rakendada meetmeid nende vähendamiseks. Võttes arvesse, et täna hoitakse ja hallatakse andmeid ärisaladuste, intellektuaalomandi ja muu väärtusliku äriteabe kohta digitaalsel kujul, võib see info olla küberrünnakutele avatud. Kahjuks on praktikas turvaoskuste puudumine või töötajate hooletus üks peamisi andmelekkeid põhjustavaid tegureid.

Küberturvalisuse reeglid

Küberturvalisuse reeglite järgimist saab muuta töötajatele kohustuslikuks, kui need on õigesti dokumenteeritud. Küberturvalisuse reeglite järgimise kohustuse võib kehtestada töölepingus või ametijuhendis. Kui küberturvalisuse reeglid koostatakse töölepingust eraldi (töölepingu lisana või ametijuhendina), siis selleks, et need oleksid töötajatele siduvad, tuleb neid töötajatele tutvustada ja mõlema poole poolt allkirjastada. Tuleb arvestada, et kui reeglid on allkirjastatud, võib tööandja neid muuta ainult töötaja nõusolekul (sarnaselt töölepingu muude tingimuste muudatustele).

Küberturvalisuse reeglid sätestavad tavaliselt andmetega turvalise töötamise ja turvariskide vähendamise juhised, sealhulgas interneti kasutamise, isiklike ja ettevõtte seadmete kaitse, e-posti side turvalisuse, paroolihalduse, kaugtööga seotud konkreetsete riskide maandamise jms  juhised. Küberturvalisuse reeglid sisaldavad ka töötajatele mõeldud suuniseid selle kohta, kuidas erinevaid küberohte ära tunda ja turvarikkumiste korral tegutseda.

Küberturvalisuse reeglites tuleks arvesse võtta töökohustuste laadiga seotud konkreetset positsiooni ja riskitaset. Standardse dokumendi kasutamine iga töötaja puhul ei ole hea mõte, sest tööandja andmetele ja tööeesmärkidele juurdepääsuõigused sõltuvad tavaliselt ametikohast. Näiteks on mõistlik koostada küberturvalisuse reeglid kontoritöötajale ja IT-spetsialistile, võttes arvesse nende ametikohtadega seotud vastutuse ja riskide erinevat taset. Mida laiem on töötaja õigus tööandja andmetele juurde pääseda ja nendega töötada, seda suuremat kahju võib tööandja potentsiaalselt kannatada, kui töötaja satub küberkuriteo ohvriks.

Küberturvalisuse reeglites kirjeldatud kohustused peaksid olema mõlema poole jaoks mõistlikud ja selged. Tööandja ei saa tugineda kohustuse rikkumisele, kui kohustused on sõnastatud ebamääraselt või heita töötajale ette spetsiifilist oskust nõudvate kohustuse mittetäitmist, mille osas tööandja ei ole vastavat koolitust pakkunud. Ebamõistlikud tingimused on ka tööandjatele kahjulikud, kuna neid ei pruugi olla võimalik kohtus maksma panna.

Töötajate koolitused

Ainuüksi küberturvalisuse reeglitest ei piisa ettevõtte kaitsmiseks küberriskide eest. Töötajate teadlikkus küberohtudest ja nende roll ettevõtte küberturvalisuse tagamisel on kahju vältimise võtmetegur. Seetõttu peab tööandja pakkuma töötajatele regulaarset turvakoolitust. Kuna andmeturbe tagamine on otseselt tööandja huvides, peab tööandja vastavalt töölepingu seadusele pakkuma selle valdkonnaga seotud töötajatele koolitust omal kulul ja maksma koolituse ajal keskmist palka.

 

Meie ekspertidel on tööõiguse vallas nõustamise kogemusi nii era- kui avalikust sektorist. Seetõttu võtame teid nõustades alati arvesse teie spetsiifilise ärivaldkonna eripärasid.

Soovid rohkem infot?
NJORD Advokaadibüroo tööõiguse tiim sai kõrge tunnustuse

NJORD Advokaadibüroo tööõiguse tiim sai kõrge tunnustuse

Mida saavad tööandjad teha, et kaitsta oma ettevõtteid küberrünnakute eest?

Mida saavad tööandjad teha, et kaitsta oma ettevõtteid küberrünnakute eest?

Neli soovitust - kas konkurentsipiirang on olemas ja kas seda on vaja

Neli soovitust - kas konkurentsipiirang on olemas ja kas seda on vaja

Criticism

Kriitika talumine – kas uus väljakutse juhtidele?

Töötasu hüvitist saab taotleda 6. aprillist 2020

Töötasu hüvitist saab taotleda 6. aprillist 2020

COVID-19

COVID-19: Töötukassa kaudu makstava ajutise töötasu hüvitise tingimused

Kas välismaalased võivad Eestis edasi töötada?

Kas välismaalased võivad Eestis edasi töötada?

Neli võimalust pühade ajal lisatööjõu palkamiseks

NJORD Estland: Ich habe keine Lust, zur Arbeit zu gehen!

Мы не хотим идти на работу!

Tööandja vastutab tehisintellekti diskrimineeriva käitumise eest

Kas tööandja võib kehtestada rõivastusstiili?

Mida peab tööandja töötaja autoriõiguste kohta teadma?

Kas töötaja vestlused sotsiaalmeedias on tööandjale siduvad?

Kui kõrge on sinu töötajate D-vitamiini tase?

Töövaidluskomisjoni esitatav nõue võib olla ka miljon eurot!

Kas hüvitis Sinu endisele töötajale on maksustatav?

Neli olulist maksunõuannet välisspetsialistide palkamiseks!

Töölepingu ülesütlemise etteteatamistähtaja rikkumine võib rikkujale kaasa tuua hüvitisenõude

Kuidas eristada töölepingut muudest teenuse osutamise lepingutest?

Ebavajalikuks osutunud konkurentsikeeld tasub lõpetada

Alati ei pea sõlmima töölepingut!

Millised reeglid peaksid töölepingus kirjas olema, et kohtuvaidlusi vältida?

Riigipühad ei vähenda summeeritud tööajaarvestusega töötaja tööaega

Renditöö kasutaja võib vastutada renditöötajal saamata jäänud töötasu eest

Probleemse töötaja võib töölt ajutiselt kõrvaldada!

Töövaidluste lahendamine muutub uuest aastast tõhusamaks ja lihtsamaks

Tööandja peab Eestisse lähetatud töötajatest teavitama Tööinspektsiooni

Soovid saada õigusuudiseid?
Aitame teil leida parima lahenduse