Miks “turvalisus” ei ole turvaline?

Septembris tehtud ajakirjandusliku eksperimendi tulemusena ilmnes, et (ajakirjaniku) ootused ja tegelikkus meie tähtsamate riigiasutuste turvalisuses tunduvad oluliselt lahknevat. Üldistus, mis sel ajahetkel ja antud eksperimendi käigus ilmnes, vajab mõnevõrra detailsemat vaadet.

Sellest arusaamiseks vaatame Postimehes tehtud eksperimendi  kahte eri tahku. Jätame kõrvale ajakirjaniku välja mõeldud stsenaariumi ja keskendume meie kõigi turvalisuses kahele olulisele elemendile. Nendeks on riskid ja nende teadvustamine ning võimaliku kahju mõistmine ja sellekohane käitumine.

Nii nagu hooneid, kus tegutsevad avaliku sektori asutused, ohustavad ka teisi büroohooneid ja ettevõtete kontoreid mitmed riskid. On riskid, mis ohustavad materiaalseid ja immateriaalseid varasid, samuti hoonete külastajaid ja seal töötavaid inimesi.

Küsimus taandub eelkõige riskide teadvustamisele, hindamisele ja meetmete rakendamisele riskide maandamiseks. Nende tegevuste tase on organisatsioonides erinev. Erisused tekivad organisatsiooni suurusest, juhtimiskultuurist ja paljudest muudest asjaoludest.

Riskid mõjutavad eesmärkide saavutamist

Üks olulisemaid asjaolusid, mida siinkohal silmas pidada, on arusaamine, kuidas riskid mõjutavad organisatsiooni eesmärkide saavutamist. Kas riskid on sellised, mis ähvardavad strateegilisi eesmärke, või on need seotud ainult funktsionaalsete üksuste eesmärkidega? Kas riske tuleb vaadata ainult üksusepõhiselt või tuleks riskijuhtimist käsitleda üksuseüleselt? Koondades kokku eri üksustest riskide tervikpildi, on võimalik teha otsuseid, anda organisatsiooni liikmetele volitusi ja luua pühendumus maandamistegevuste elluviimisel.

Nüüdisaegne riskijuhtimine suunab aina rohkem integreeritud riskijuhtimisele, mida ISO 31000:2018-s “Riskijuhtimise juhised” nimetatakse ka lõimitud riskijuhtimiseks. Selle järgi toimub riskijuhtimine organisatsiooni igas osa ja igaüks organisatsioonist on vastutav riskijuhtimise eest. Seetõttu on asjakohane küsida: kas Postimehe artiklis kirjeldatud inimeste sissepääs hoonesse ja seal liikumine on ainult turva- või haldusosakonna vastutus?

Püüdes lahti harutada pealkirjas püstitatud küsimust “Miks turvalisus ei ole turvaline?”, tuleb aru saada turvalisusmeetmete vajadusest. Teadvustades esimeses järjekorras riske ja nende realiseerumise võimalikku kahju organisatsiooni strateegilistele eesmärkidele, saame seejärel rakendada meetmeid nende maandamiseks.

Infraobjektidele kõrgemad nõudmised

Turvariskide juhtimises on viimastel aastatel hakatud väga selgelt eristama ühe segmendina kriitilise infrastruktuuri objekte. Lennujaamad, raudtee, sadamad, elektrijaamad ja -võrk on ühed olulisemad infrastruktuuriobjektid, mille turvalisusele esitatakse kõrgemaid nõudmisi. Kuid nende nõuete aluseks on siiski väga selge riskikaardistus.

Kriitilise infrastruktuuri objektide hulka saab arvata ka elutähtsat teenust osutavad ettevõtted. Nimetatud segmendid on oma ohuallikate osas aga nii eripärased, et nende riskihindamiste metoodikat ja maandamismeetmete rakendamist tuleks käsitleda eraldi riigiasutuste ning teiste hoonete turvalisusest.

Turvasüsteemide areng aitab kaasa ja loob võimalusi turvalahenduste ülesehituse muutmisel, tagades samas kontrolli riskide üle. Tulles riigiasutuste hoonete ja teiste büroohoonete juurde, siis valdavalt kasutatakse büroohoonetes turvatöötajaid ja administraatoreid, kes on esimene “filter” piiramaks sissepääsu hoonesse.

Üha enam aga vähendatakse sellistes hoonetes vastuvõtu või ööpäevaringse turvatöötaja mahtu ning hakatakse kasutama nn virtuaalseid administraatoreid. Osa turvaülesannete täitmine seadistatakse turvasüsteemidele ja osa turvaülesannetest tehakse distantsilt. See aga tähendab, et turvasüsteemide ülesehitus ja funktsionaalsus mõeldakse hoolikalt läbi iga ukse ning kaamera täpsusega.

Turvasüsteemides palju ebaefektiivsust

Kogemustele tuginedes võin väita, et praegu esineb turvasüsteemide kasutamises palju ebaefektiivsust. See tähendab, et turvaintsidentide avastamise ja hilisema faktide kontrollimise funktsionaalsust, turvasüsteemide abil, ei ole maksimaalselt ära kasutatud.

Eesti tavapraktika ja uute hoonete ehitusprojektid näevad ette paljuski valve- ning läbipääsusüsteemide ühildamist. Videosüsteem on jäetud eraldiseisva osana. Turvalisuse seisukohast on aga isegi olulisem video- ja läbipääsusüsteemide integreerimine, et tuvastada just selliseid liikumisi, nagu eksperimendi käigus tehti. Turvalisuse tõhustamiseks on videosüsteemi funktsionaalsust võimalik täiendada videoanalüütika kasutamisega.

Siin tuleb aga väga selgelt tõmmata piir odavama hinnaklassi videosüsteemidel kasutatavate liikumise avastamise funktsioonide ja spetsiaalsete videoanalüütika tarkvarade vahele. Tavapärane liikumise tuvastamine ei ole videoanalüütika, mida kasutada turvafunktsioonideks või mis annaks videosüsteemile olulist efektiivsust. Videoanalüütika toimimisest ja võimalustest saab täpsemalt lugeda Springeri kirjastuse poolt 2012. aastal välja antud raamatust “Video Analytics for Business Intelligence”.

Peale videosüsteemide on ka läbipääsusüsteemides toimunud viimastel aastatel uuendusi, mis teevad läbipääsusüsteemi kasutamise otstarbekaks ja taskukohaseks väiksemas mahus, kui seda suurtel büroohoonetel rakendatakse. Nendeks kasutajad saavad olla nii väiksemad bürood, majutusasutused, koolid, raamatukogud kui ka rendikorterid. Kõikjal, kus on vaja leida võimalus administraatori töötundide vähendamiseks või kaotada näiteks tavapärane läbipääsukaartide ja võtmete haldamine, võimaldavad läbipääsusüsteemid paindlikke lahendusi. Oleme enda ettevõttes viinud selle kokku USSbnb teenusesse, aidates klientidel vähendada kulusid isikkoosseisule, kuid tagades siiski kontrollitud liikumise hoonetes. Kui lisada siia eelnimetatud video- ja läbipääsu integratsioon, saavutame turvasüsteemide mõjusama kasutamise. Enne on vaja siiski teadvustada riske ja hinnata intsidentidega tekkivat võimalikku kahju ning selle baasil kujundada turvasüsteemide iga osa funktsionaalsus.

Ohutus osaks organisatsioonikultuurist

Tehnoloogia aitab küll turvalisuse tagamisele oluliselt kaasa, kuid küsimus, kui palju on turvalisus organisatsiooni iga üksikisiku kätes, jääb ikkagi. Organisatsioonid, mille põhitegevus on seotud tavapärasest suuremate riskidega, korraldavad ohutust ja turvalisust ühe osana organisatsioonikultuurist. Vastutus selle eest, et iga töötaja saab pärast tööpäeva enda pere juurde naasta, lasub organisatsiooni igal töötajal. Organisatsiooni juhtimises on siin väljakutse, kuidas saavutada liikmetelt soovitud käitumine.

Mõnevõrra võib seda võrrelda nutijoobega. Me kõik saame aru, et autoroolis kõrvaliste asjadega tegelemine võib tuua kaasa väga raskete tagajärgedega autoavarii. Me kõik saame aru, et siin esineb suur risk inimese elule ja tervisele. Kui paljud meist seda aga teadvustavad ja käituvad selliselt, et seda riski ei oleks? Esimesena öeldakse, et miks on politseid nii vähe näha, selle asemel et teadvustada vajadust endi turvalisele käitumisele.

Sama lugu on ka hoonete turvalisusega. Me saame aru, et hoonetes on varguse-, tulekahju- jm riskid, aga kas meie endi käitumine on selline, mis aitaks neid riske minimeerida? Kas me aitame ohutusvestiga, kuid ettevõtte tunnusmärkideta inimesel hoonesse siseneda ja seal liikuda? Või me teeme kõik selgitamaks välja, kas seal viibijal on ikka selleks alust. Pigem me eeldame, et ju on sel inimesel liikumiseks luba olemas, ja toimetame edasi omi asju. Samuti võib see juhtuda töötaja teadmatusest organisatsiooni riskijuhtimisel või lihtsamatest turvategevustest.

Et “turvalisus” ei ole turvaline, saab alguse sellest, kas ja kuidas me riske teadvustame. Ootuspärane võiks olla hinnata riske struktuuri igas osas ja integreerituna eri funktsionaalsete üksuste üleselt. See annab fookuse, millele suunata tähelepanu, ja eraldada ressursse, saavutamaks strateegilisi eesmärke. Võttes aluseks riskikaardistuse, saab kujundada ja üles ehitada turvasüsteemid ning seadistada need tööle iga ukse või kaamera täpsusega.

Selleks et turvaline oleks ka tegelikult turvaline, on vaja saavutada muutus inimeste käitumises. Igaühel meist on oluline roll selles, et meie endi ja kaastöötajate päev mööduks ohutult.

 

Artikkel ilmus: http://www.ehitusuudised.ee/uudised/2018/10/29/miks-turvalisus–ei-ole-turvaline