top of page
This site was designed with the
.com
website builder. Create your website today.Start Now

Häkkimine

Näidisjuhtum:

Lilian töötab kindlustusettevõttes, mille turvapoliitika näeb ette, et oma paroole ei tohi mitte kellelegi avaldada. Ühel nädalavahetusel saab Lilian kõne oma ülemuselt, kellel on võimalikult kiiresti vaja müügiprogrammi sisse kanda  üks väga suur müügitehing. Ülemus ei saa enda parooliga programmi sisse ning abi saab ta IT-osakonnast küsida alles esmaspäeval. Ülemus küsib ühekordseks kasutamiseks Liliani paroole.

​

​

​

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

​

​

​

​

Märkused:

Näide: https://swgfl.org.uk/magazine/why-sharing-passwords-is-a-bad-idea/

 

​

Juhtumid iseseisvaks või grupis lahendamiseks:

Lahenduspõhi

​

1.  Kontoris üksi töötades kuuleb Rauno, et printer käivitub ja ta läheb asja uurima. Printerist väljub paber millel on kirjas “Teie online süsteemid ei ole turvatud”. Ta viib selle teate kohe IT juhtkonna juurde, kes Rauno imestuseks tänavad müstilist sissetungijat.
Taustainfo:

https://forte.delfi.ee/artikkel/90010427/teenib-sadu-tuhandeid-ka-eetiline-hakkerlus-on-suur-ari

​

​

2. Teele ja Targo on olnud abielus 10 aastat. Viimasel ajal on Targo hakanud Teele meelest imelikult käituma - püüab varjata, et kirjutab kellegagi Facebook’is. Teele sõbranna soovitas Teelel proovida oma mehe Facebook’i kontole ligi saada. 

Taustainfo:

https://majandus.postimees.ee/4084657/loe-kui-lihtne-on-facebooki-sisse-hakkida-ja-kuidas-seda valtida

​

​

3.  Alar on kaks aastat järjest  igal arenguvestlusel oma tööandjalt palka juurde küsinud. Tema ülemus on iga kord öelnud, et Alar saab niigi kõikidest töötajatest kõige rohkem palka. Ühel päeval läheb Alar ettevõtte raamatupidajale puhkuseavaldust viima. Kui raamatupidaja lahkub oma arvuti juurest koridori, et seal olevas printeris avaldusest koopia teha, näeb Alar, et raamatupidaja arvutis on lahti jäänud tabel töötajate palkadega. 

Taustainfo:

https://www.netstandard.com/always-lock-computer

https://www.toolbox.com/tech/security/blogs/why-you-should-lock-your-computer-when-you-walk-away-112315/

https://digi.geenius.ee/rubriik/hea-nipp/ulevaade-koik-viisid-kuidas-sa-oma-arvuti-piiluvate-silmade-eest-lukku-saad-panna/

​

​

Internetis käitumine

Privaatsus

Virtuaalne identiteet

Küberkiusamine

Autoriõigus

Eetilise probleemi märkamine

  • Ülemus ootab alluvalt teo sooritamist, millega pannakse toime reeglite rikkumine. 

​

  • Ülemus paneb oma alluva olukorda, kus alluv peaks reegleid rikkuma.

​

  • Ülemus peaks nõudma alluvalt reeglitest kinnipidamist, mitte nende rikkumist. 

Otsesed asjaosalised

  • Lilian - ettevõtte töötaja

  • Ülemus - Liliani ülemus ettevõttes

  • Ettevõte - kindlustusselts, ka tööandja

  • IT-osakond - vastutab IT-turvapoliitika eest ettevõttes

Kaudsed asjaosalised

  • Kindlustusvõtjad, kelle (delikaatsed) andmed on müügiprogrammis

  • Järelevalveasutus - valvab selle üle, et ettevõtte peab andmekaitse reeglitest kinni, vajadusel trahvib

  • Klient - tema müügitehing on vaja ASAP müügiprogrammi kanda

  • Ettevõtte juht - vastutab ettevõttes toimuva eest

Otseste asjaosaliste õigused ja kohustused

Lilian

Õ:

nõuda teistelt, et ettevõtte kehtivatest reeglitest peetakse kinni; mitte avaldada oma parooli; mitte saada ülemuse halva suhtumise osaliseks selle tõttu, et ta täitis ettevõtte turvapoliitika reegleid ja ei tulnud ülemuse soovile vastu

K

 pidada kinni ettevõtte turvapoliitikast; kaitsta klientide andmeid, et neile ei pääseks juurde selleks mittevolitatud töötaja; kaitsta ettevõtet järelevalveasutuse trahvi ja mainekahju eest; tegutseda ettevõtte huvides (kui ei lähe seadustega vastuollu); täita oma otsese ülemuse korraldusi (kui ei lähe seadusega vastuollu)

 

Ülemus

Õ

anda alluvale tööalaseid korraldusi tööülesannete täitmise ja  ettevõtte eesmärkide täitmise huvides; kasutada töö tegemiseks vajalikke töövahendeid, s.o müügiprogrammi müügitehingu vormistamiseks

K

pidada kinni ettevõtte turvapoliitikast; kaitsta klientide andmeid, et neile ei pääseks juurde selleks mittevolitatud töötaja; kaitsta ettevõtet/tööandjat järelevalveasutuse trahvi ja mainekahju eest; tegutseda ettevõtte/tööandja huvides (niivõrd, kuivõrd see ei lähe seadustega vastuollu); suhtuda alluvasse lugupidavalt igas olukorras ja vältida töökiusamist; anda oma alluvale seaduslikke töökorraldusi, kui selleks on tööalane vajadus ja see on ettevõtte huvides

 

Ettevõte

Õ

nõuda töötajatelt reeglite (sh turvapoliitika) täitmist; nõuda töötajatelt, et nad ei rikuks reegleid, mille tagajärjeks võib olla järelevalveasutuse trahv või mainekahju; nõuda, et töötajad tegutsevad tööandja huve silmas pidades

K

töötada välja ja kehtestada ettevõtte sisereeglid, mis välistaksid töötajate poolt rikkumiste toimepanemise; tagada töötajatele töövahendite olemasolu ja juurdepääs neile (nt müügiprogrammile), et nad saaksid oma tööülesandeid täita

 

IT-osakond

Õ

nõuda ettevõtte töötajatelt kehtiva turvapoliitika reeglite täitmist

K

tagada, et töötajate töövahendid (sh müügiprogramm) toimivad; abistada töötajaid IT-alaste probleemidega, nt paroolidega seotud probleemid, müügiprogrammi sisenemine jms; välja töötada IT-turvapoliitika, mis vastaks seaduses nõutule  ja tagaks, et ettevõttes ei toimuks rikkumisi

Kaudsete asjaosaliste õigused ja kohustused

Kindlustusvõtjad 

Õ

nõuda, et nende isikuandmeid hoitakse ettevõtte programmides turvaliselt ja kooskõlas kehtivate seadustega; nõuda, et nende andmetele ei omaks juurdepääsu selleks mittevolitatud isikud; teavitada järelevalveasutust või avalikkust, kui tema andmete kaitsmisel on toime pandud rikkumisi; nõuda ettevõttelt logisid, kus on näha, kes, millal ja miks tema andmetele juurdepääsu omas

K

esitada ettevõttele kindlustuslepingu sõlmimisel tõeseid andmeid

 

Järelevalveasutus 

Õ

viia läbi ettevõtetes järelevalvega seotud kontrolle (nt vaadata logisid, analüüsida IT-turvapoliitikat jms)

K

võtta tarvitusele meetmed, mis tagaksid, et ettevõtted peavad andmekaitse reeglitest kinni; uurida võimalikke rikkumisi, kui selle kohta tuleb teave; karistada andmekaitse reeglite rikkumise toimepanijaid

 

Klient 

Õ

õigust saada lubatud teenust lubatud ajal

K

kohustus leppida mõnede ettenägematute probleemidega, mis võivad ette tulla ettevõtte poolt teenuse osutamisel (nt ettenägematud häired ettevõtte IT-süsteemides, müügiprogrammi andmete sisestamisel vms)

 

Ettevõtte juht 

Õ

nõuda, et tema juhitud ettevõttes kõik peaksid kinni kehtestatud reeglitest, sh IT-turvapoliitikast

K

kujundada eetiline töökeskkond, kus töötajatel ei tekiks dilemmat reeglitest kinnipidamise suhtes

Tulemuspõhine eetika

Võimalikud tulemused:

I. Lilian annab oma parooli ülemusele, ülemus viib lõpuni suure müügitehingu ja sisestab selle müügiprogrammi.  Turvapoliitika rikkumisest ei saa keegi teada ja intsident unustatakse. Lilian muudab oma parooli esmaspäeval ära, et ülemus ei saaks tema parooli teistkordselt kasutada. 

II. Lilian annab oma parooli ülemusele, ülemus viib lõpuni suure müügitehingu ja sisestab selle müügiprogrammi.  Turvapoliitika rikkumine tuleb siiski välja (nt IT-osakond küsib, miks Lilian sisenes müügiprogrammi uuelt IP-aadressilt vms) ning Lilian saab tööandjalt hoiatuse (ja jääb ilma preemiast/edutamisest vms). 

III. Lilian ei anna oma parooli ülemusele, sest turvapoliitika ei luba seda. Ülemus küsib parooli teise alluva käest, kes lahkesti annab oma parooli. Ettevõte saab müügist palju kasu. Ülemus võtab edaspidi Liliani suhtes negatiivse hoiaku.

IV. Lilian ei anna oma parooli ülemusele, sest turvapoliitika ei luba seda. Suur müügitehing jääb ära. Ülemus võtab edaspidi Liliani suhtes negatiivse hoiaku. 

 

Hüved/kahjud asjaosalistele (lähtuvalt eelmises punktis välja toodud tulemustest):

I. Hüved: Ettevõte kliendiportfell kasvab, müügitulu tõuseb; Ülemus saab kirja müügiboonuse; Lilian satub ülemuse soosingusse, kuna on abivalmis.

Kahjud: Lilian ja ülemus panevad toime turvapoliitika rikkumise (kuid keegi ei saa sellest teada).

II. Hüved: Ettevõte kliendiportfell kasvab, müügitulu tõuseb; Ülemus saab kirja müügiboonuse; Lilian satub ülemuse soosingusse, kuna on abivalmis.

Kahjud: Lilian saab rikkumise eest karistada ja sellega kaasnevad ebameeldivused (nt jääb ilma preemiast/edutamisest).

III. Hüved: Ettevõte kliendiportfell kasvab, müügitulu tõuseb; Ülemus saab müügiboonuse; Lilian ei pane toime turvapoliitika rikkumist;

Kahjud: Ülemus ja teine töötaja panevad toime turvapoliitika rikkumise; Lilian satub ülemuse ebasoosingusse.

IV. Hüved: Lilian ei pane toime turvapoliitika rikkumist.

Kahjud: Ettevõte kliendiportfell ei kasva, müügitulu ei tõuse; Ülemus jääb ilma müügiboonusest; Lilian satub ülemuse ebasoosingusse.

 

Tulemus, mis toob enamusele kõige rohkem kasu: on variant I. 


Kas halb tegu õigustab hea tulemuse? Halb tegu I variandis oleks - Lilian ja ülemus panevad toime turvapoliitika rikkumise (kuid keegi ei saa sellest teada). Antud juhul (tulemuspõhine eetika) saab küll öelda, et halb tegu (eeldusel, et  see jääb ühekordseks) õigustab hea tulemuse. 

Vooruseetika

Kuidas hea inimene seda lahendaks?

Hea inimene selgitaks oma ülemusele, et ettevõtte sisemised reeglid ei luba oma parooli jagamise. Seejärel aitaks ülemusel probleemile lahendust leida - soovitada IT-osakonnast kellelegi helistada või kõrgemale ülemusele helistada, et saada n.ö eriluba parooli erakorraliseks jagamiseks vms. Kindlasti tuleks kaasata probleemi lahendamisse  veel osapooli, kes saavad ehk aidata/lahendust pakkuda/vastutust ära võtta. 

 

Mõtle, mis on sinu jaoks kõige suurem väärtus?

Reeglitest kinnipidamine, probleemile lahenduse leidmine, tulevikus sarnase probleemi ennetamine.

​

Jah, mina just nii seda olukorda lahendaksin (kirjelduse järgi, kuidas hea inimene lahendaks). 

Reeglipõhine eetika

 

Kehtivad reeglid: 

  • Ettevõtte IT-turvapoliitika: oma paroole ei tohi mitte kellelegi avaldada; Lisaks, mida teha olukorras, kui ei saa müügiprogrammi sisse (kes ja millal lahendab probleemi).

  • Andmekaitse reeglid: andmetele ligipääs on ainult selleks volitatud töötajal ja ainult oma tööülesannete täitmise piires; Tagantjärgi peab olema tuvastatav (logid) -  kes, millal ja milleks sai andmetele ligi ( st pääses müügiprogrammi) ning mida konkreetselt andmebaasis tegi. 

 

Kas olukorda saab lahendada reeglitega? 

Antud juhul saab olukorda lahendada ettevõtte sisereeglitega - st kõik peaks olema kirjas ettevõtte turvapoliitikas ning töötajate isetegevus peaks olema välistatud. Ettevõttel on kohustus riskide maandamine viia miinimumini, st antud juhtumis kirjeldatud olukord peaks olema ettenähtav ja ennetatav. 

 

Kas sinu pakutud lahendus võimaldab kõiki reegleid järgida?

Kui järgida kõiki reegleid, siis antud juhul see tooks kaasa ikkagi mõnele asjaosalisele negatiivse tulemuse (nt jääks müügitehing tegemata, mis on ettevõttele kahjulik). 

 

Kas reeglid on ausad tagamaks “fair play”?

Minu meelest jah - ükski ettevõte ei tohiks saada kasu reeglite rikkumisest. Reeglite eiramine viiks olukorrani, kus reegleid poleks mõtet üldse kehtestada. Ettevõtte kasu kaaluks siis üles üksikisiku õigused tema andmete kaitsele. 

 

​

bottom of page