Küberturbest lihtsalt ja inimkeelselt
Praktiline juhend väikestele ja keskmise suurusega turismiettevõtetele
Digilahendused on tänapäeva turismiettevõtte töö lahutamatu osa – suhtlus külastajatega,
broneeringute haldamine, e-arved, failide jagamine jms toimub valdavalt e-kanalites ja
internetis. Küberturvalisus aitab tagada klientide usalduse, kaitsta andmeid ja vältida
töökatkestusi.
Alljärgnev juhend on suunatud väikeettevõtetele, kes tegutsevad turismisektori erinevates
valdkondades ja tegelevad erinevate turismiteenuste pakkumisega. Juhendist saate teada, millised on tüüpilised ohukohad ning milliseid lihtsaid ja soodsaid lahendusi saab kohe rakendada.
Teemad:
- Isikuandmete käsitlemine turismiettevõtetes
- Failide hoidmine ja jagamine: turvaline pilv
- Kuidas jagada faile turvaliselt Google Drive’is ja Microsoft OneDrive’is
- Tarkvarade küberturvalisus - pilvelahendus on turvalisem
- Veebilehe turvalisus: HTTPS ja SSL-sertifikaadid
- Paroolid ja ligipääsud: kõige lihtsam, aga kriitilise tähtsusega
- Tehisintellekti kasutamine ja andmete kaitse
- Töötajate teadlikkus ja koolitusvajadus
- Küberturvalisuse kontrollnimekiri väikeettevõttele
1. Isikuandmete käsitlemine turismiettevõtetes
Turismiettevõtted töötlevad igapäevaselt klientide isikuandmeid: nimesid, kontakte, majutuse ja ürituste broneeringuid, toitumiseelistusi ning mõnel juhul ka reisidokumentide andmeid. Andmekaitse rikkumine ei too kaasa ainult mainekahju, vaid võib põhjustada ka
rahalisi trahve.
Soovitused:
1. Kogu vaid seadusega nõutavat ja teenuse osutamiseks vajalikku teavet.
Majutusteenuse pakkumisel tuleb järgida turismiseaduse § 24, mille kohaselt tuleb külastajakaardile märkida vähemalt: majutuja nimi, sünniaeg, kodakondsus ja aadress, samuti temaga koos majutuva abikaasa ja alaealise nimi, sünniaeg ja kodakondsus ning majutusteenuse osutamise aeg.
Euroopa Majanduspiirkonna välistelt külastajatelt tuleb lisaks küsida ka reisidokumendi liik, number ja selle välja andnud riik. Muid andmeid (nt toitumiseelistused või erisoovid) võib koguda ainult teenuse pakkumiseks vajalikus ulatuses.
Ära küsi ega säilita andmeid, mida teenuse pakkumiseks vaja ei ole.
2. Selgita külastajatele, kuidas ja miks sa nende andmeid kasutad.
GDPR (isikuandmete kaitse üldmäärus) nõuab, et ettevõte teavitaks klienti andmete kogumise eesmärgist, säilitamise ajast ja sellest, kellega andmeid jagatakse.
Praktikas tähendab see, et broneeringuvormil, e-kirjas või majutuse sissekirjutuslehel võiks olla lühike teavitus, näiteks „Kasutame Teie andmeid majutusteenuse osutamiseks vastavalt Eesti Vabariigi turismiseadusele. Andmeid säilitame kaks aastat nende täitmise päevast arvates ning ei jaga neid kolmandate osapooltega ilma Teie loata.“
See vastab GDPR-i põhimõtetele – õiglane kasutus, eesmärgipõhisus, minimaalsus, andmete täpsus ja turvaline säilitamine – ning on täidetud Eesti turismiseaduse nõue, mille kohaselt tuleb külastajakaarte hoida kaks aastat alates nende täitmise päevast.
Pildi autor: Visit Estonia
3. Hoia andmeid turvalises keskkonnas.
Kasuta pilveteenuseid (nt Google Drive, Microsoft OneDrive), millel on sisse ehitatud ligipääsukontroll. See tähendab, et saad igale failile ja kaustale määrata, kes tohib seda vaadata, muuta või alla laadida.
Näiteks:
• töötajatele, kes sisestavad broneeringuid, saab anda ainult muutmisõiguse;
• majapidamisele või toitlustustiimile ainult vaatamisõiguse;
• endised töötajad tuleks ligipääsust eemaldada kohe pärast töölepingu lõppu.
Lisaks saab Google Drive’is või OneDrive’is näha, kes on faili viimati avanud või muutnud, mis aitab tuvastada võimalikke vigu või turvariske. Ligipääsukontroll on lihtne, kuid oluline tööriist, mis kaitseb kliendiandmeid juhusliku või tahtmatu lekkimise eest.
4. Määra selged juurdepääsuõigused.
Luba andmeid vaadata või muuta ainult neil töötajatel, kellel seda tööks vaja on. Kontrolli õigusi vähemalt kord kvartalis.
5. Jälgi hooajaliste töötajate tegevust.
Ajutised töötajad vajavad piiratud ligipääsu ja juhendit, kuidas käituda kliendiandmetega.
6. Väldi andmete printimist ja lahtist hoiustamist.
Paberandmed on sama tundlikud kui digifailid ja tuleb pärast kasutamist hävitada. Praktilised riskikohad, mida vältida:
• vastuvõtulaud või kohviku lett, kuhu klientide nimekirjad või külastajakaardid jäävad teistele külastajatele nähtavale;
• majapidamise või köögitöötajate tööpinnad, kus prinditud tellimuslehed võivad sattuda kõrvaliste isikute kätte;
• seminariruumid või spaateenindusletid, kus külastajate nimekirjad unustatakse lauale;
• avalikud printerid, kuhu väljatrükitud broneeringud või arved jäävad valveta.
Pildi autor: Visit Estonia
2. Failide hoidmine ja jagamine: turvaline pilv
Pilveteenused (Google Drive, Microsoft OneDrive) pakuvad väikestele ettevõtetele mugavat ja taskukohast viisi failide hoidmiseks ja koostööks. Enamasti on need keskkonnad turvalised, kuid oht peitub kasutajaharjumustes.
Soovitused:
1. Kasuta ettevõttel eraldi kontot.
Ära hoia tööfaile isiklikul Google Drive’i (Gmaili) või Microsoft OneDrive’i (Outlooki) kontol.
2. Vaata regulaarselt üle jagamisõigused.
Endiste töötajate või partnerite ligipääsud tuleb eemaldada kohe pärast koostöö lõppu.
3. Kasuta kaheastmelist autentimist (2FA).
See kaitseb kontot isegi siis, kui parool lekib.
4. Väldi paroolide jagamist.
Ühiskontode asemel loo igale töötajale eraldi kasutaja.
5. Kontrolli failide nähtavust.
Kui jagad kaustu partneritega, kasuta linki, mis lubab ainult vaatamist, mitte muutmist.
6. Tee varukoopiaid.
Pilves tehtud muudatuste tagasi pööramisel võivad olla ajalised või versioonide arvulised piirangud. Näiteks võib olla piiranguks, et tagasi pöörata saab kuni 30 versiooni ulatuses või 100 päeva ajaaknas tehtud muudatusi. Täpsema info leiate pilveteenuse paketi tingimustest. Oluline info võiks olla varundatud ka lokaalselt kord kuus
Pildi autor: Visit Estonia
3. Kuidas jagada faile turvaliselt Google Drive’is ja Microsoft OneDrive’is
Pilveteenused on turvalised ainult siis, kui neid õigesti seadistada. Allpool on kaks kõige
levinumat keskkonda ja juhised, kuidas tagada, et failid oleksid nähtavad ainult neile, kellel
peab olema ligipääs.
Google Drive’is
1. Ava fail või kaust, mida soovid jagada.
Tee paremklõps ja vali ”Jaga” (Share).
2. Lisa õiged inimesed või rühmad.
Sisesta ainult nende töötajate e-posti aadressid, kellel peab olema ligipääs. Vajadusel vali õiguste tase:
• Viewer (vaataja) – saab ainult lugeda
• Commenter (kommenteerija) – saab lisada märkusi
• Editor (muutja) – saab sisu muuta või kustutada
3. Väldi linkide jagamist režiimis „Anyone with the link“.
Kui fail on jagatud kõigile lingiga, võib sellele sattuda ka võõras inimene. Kasuta ainult “Restricted“ (piiratud) režiimi, et ainult konkreetsed inimesed näeksid faili.
4. Kontrolli olemasolevaid jagamisi.
• Ava Drive’i kaust, vali „Manage access“ (Halda ligipääsu) ja vaata, kellel on õigused.
• Eemalda endiste töötajate ligipääs kohe, kui nad ettevõttest lahkuvad.
5. Lisa 2-astmeline autentimine (2FA).
Drive’i ja Gmaili konto turvalisuse tagamiseks kasuta kaheastmelist sisselogimist – see on kõige lihtsam viis kontole häkkimise vältimiseks.
Microsoft OneDrive’is
1. Vali fail või kaust ja kliki ”Share“ (Jaga)
Avaneb jagamisaken, kus saad määrata, kes ja kuidas faile näeb.
2. Määra täpselt, kellele ligipääs on lubatud.
• Soovitatav on valida ”Specific people“ (konkreetsed isikud), mitte ”Anyone with the link“.
• Lisa nende töötajate e-posti aadressid, kellel peab olema ligipääs.
3. Vali õiguste tase
• Can view – saab ainult vaadata (sobib enamikele töötajatele);
• Can edit – saab muuta ja üles laadida (ainult vastutajatele).
4. Sea linkidele kehtivusaeg.
OneDrive võimaldab jagatud linkidele määrata aegumistähtaja – kasuta seda, kui fail on ajutine (nt projekt, üritus, koostöö partneriga).
Pildi autor: Visit Estonia
5. Kontrolli ja eemalda vanad kasutajad.
Administraator saab vaadata, kes on viimati faile avanud või muutnud. Kui töötaja lahkub, eemalda tema konto koheselt ja tühista tema jagamisõigused.
Üldine soovitus:
• Koosta failide jagamise põhimõtted kirjalikult.
Näiteks väike sisereegel: ”Kõik failid jagatakse ainult konkreetse e-posti kaudu. Lingiga avalik jagamine ei ole lubatud. Endiste töötajate ja partnerite ligipääsud eemaldatakse iga kuu lõpus ülevaatuse käigus.“
• Kasuta kausta struktuuri.
Tee Drive’i või OneDrive’i kaustad teemade või osakondade kaupa (nt ”Majutus“, ”Toitlustus“, ”Raamatupidamine“) ja anna õigused vaid vastavale tiimile.
Pildi autor: Visit Estonia
4. Tarkvarade küberturvalisus: pilvelahendus on turvalisem
Turismiettevõtted kasutavad erinevaid töövahendeid - majutustarkvara, kassasüsteeme, raamatupidamist, projektihaldust ja veebiplatvorme. Küberturvalisuse seisukohast on suurim erinevus pilvepõhiste ja lokaalselt paigaldatud programmide vahel.
Soovitused:
1. Eelista pilvepõhiseid lahendusi.
Need uuenevad automaatselt ja pakuvad professionaalset kaitset.
2. Kontrolli viirusetõrje olemasolu kõikidel seadmetel.
See kehtib ka mobiiltelefonide kohta.
3. Kui kasutad lokaalset tarkvara, tee regulaarsed uuendused.
Uuendamata süsteemid on kergesti haavatavad.
4. Varunda regulaarselt.
Veendu, et ettevõtte failid ja andmebaasid oleksid automaatselt varundatud.
5. Hinda tarkvara päritolu ja usaldusväärsust.
Kasuta ainult tarkvara, mis on mõeldud ärikasutuseks ja millel on toimiv klienditugi.
6. Veendu, et tarkvara ligipääsud on rollipõhised.
Tarkvaras peaks igal töötajal olema ligipääs ainult tema tööks vajalikele funktsioonidele. See vähendab riski, et kogemata muudetakse broneeringuid, eksporditakse vääraid andmeid või tekitatakse turvaauk.
7. Hoia tarkvarade kasutajakontod ja litsentsid korras.
Sulge endiste töötajate ligipääsud kohe ja eemalda kontod, mida enam ei kasutata.
8. Kasuta topeltkinnitusega (MFA) sisselogimist, kui tarkvara seda võimaldab.
MFA vähendab oluliselt riski, et volitamata isik saab ligipääsu broneerimissüsteemile, kassale või veebilehe halduskeskkonnale.
9. Kontrolli seadmete turvalisust, milles teenust kasutatakse.
Isegi turvaline pilvetarkvara muutub haavatavaks, kui seda kasutatakse vananenud või kaitsmata seadmest. Veendu, et nii arvutitel kui ka nutiseadmetel oleksid uuendatud operatsioonisüsteemid ja ekraanilukk.
Pildi autor: Visit Estonia
10. Lepi teenusepakkujaga kokku SLA ehk teenuse taseme kokkulepe.
Tarkvarale või veebilehele toetuv teenus (nt broneerimine, koduleht) peaks omama selget kokkulepet:
• kes teeb turvauuendusi ja mis sagedusega;
• kuidas käsitletakse intsidente;
• milline on reageerimisaeg;
• millal tehakse hooldustöid.
See aitab vältida ootamatuid seisakuid külastajate info käsitlemisel näiteks nädalavahetuse tipptunnil.
11. Vaata vähemalt kord aastas üle kõik kasutusel olevad tarkvarad.
Kaardista, milliseid süsteeme kasutatakse, kes neile ligi pääseb ja kas need vastavad ettevõtte tänastele vajadustele. Aegunud ja mittekasutuses lahendused tuleks eemaldada.
Pildi autor: Visit Estonia
5. Veebilehe turvalisus: HTTPS ja SSL-sertifikaadid
Turvaline veebileht on turismiettevõtte nähtav visiitkaart. Kui veebileht kasutab endiselt
http-ühendust või aegunud sertifikaati, näitavad brauserid seda külastajale märgistusega
Not secure. See vähendab usaldusväärsust, mõjutab broneeringuid ja võib takistada
maksete või vormide turvalist edastamist.
Soovitused:
1. Veendu, et veebileht kasutab alati HTTPS-i.
HTTPS tähendab, et ühendus kliendi ja serveri vahel on krüpteeritud ning tundlik teave ei liigu avatud kujul.
2. Kasuta automaatselt uuenevat SSL-sertifikaati.
Enamik teenusepakkujaid (Zone, Veebimajutus.ee, Virtuaal.com jt) pakuvad Let’s Encrypt sertifikaati, mis uuendub iga 90 päeva järel automaatselt. See on väikeettevõttele piisav ja tasuta.
3. Kontrolli sertifikaadi kehtivust vähemalt kord kvartalis.
Kui sertifikaat aegub, on veebilehe aadressi eest http (mitte https) ning veebileht kuvab hoiatust ja külastaja võib lehelt lahkuda.
4. Väldi HTTP-lehe suunamist ilma SSL-sertifikaadita.
Aegunud või puuduva sertifikaadi korral võivad vormid, broneeringud ja päringud lekkida.
5. Lepi teenusepakkujaga kokku protsess, kuidas lahendatakse sertifikaadi uuenduse vead.
Näiteks: kes saab teavituse, kes teeb paranduse ja milline on reageerimisaeg.
6. Kontrolli, et kogu leht on tõesti turvaline.
Mõnikord laadivad alamlehed või pildid endiselt HTTP kaudu ja brauserid kuvavad hoiatust (”mixed content“). Palu oma veebipakkujal see üle vaadata.
7. Küsi veebimajutuse teenusepakkujalt, mis on nende poolne andmete taastamise poliitika juhul kui majutatud veebirakendusega peaks ikkagi midagi juhtuma.
Turvaline HTTPS-veebileht on väikestele turismiettevõtetele kiireim ja lihtsaim võimalus tõsta teenuse usaldusväärsust. Enamik lahendusi ei nõua eraldi investeeringut – vaid teadlikku kontrolli ja kord aastas ülevaatust.
Pildi autor: Visit Estonia
6. Paroolid ja ligipääsud: kõige lihtsam, aga kriitilise tähtsusega
Kõige sagedasem turvarisk väikestes ettevõtetes on lihtsate paroolide ja jagatud kontode kasutamine. Paljud küberintsidendid saavad alguse inimlikust eksimusest, mitte tehnilisest veast.
Soovitused:
• Loo igale töötajale isiklik kasutajakonto.
Väldi olukorda, kus kogu tiim kasutab ühte “admin” või “info@” kontot. Isiklikud kontod võimaldavad vajadusel õiguseid eemaldada ja logidest hiljem tegevusi tuvastada.
• Hoia adminõigused ainult neil, kes seda tõesti vajavad.
Kõik töötajad ei pea olema administraatori õigustes. Mida kõrgemad õigused, seda suurem risk eksimuseks või väärkasutuseks.
• Piira paroolide jagamist sõnumiäppides.
Ära jaga paroole Messengeris, WhatsAppis ega SMS-iga. Kui parool tuleb siiski edastada, kasuta ühekordset linki või paroolihalduri jagamisfunktsiooni.
• Kasuta tugevaid paroole.
Need peaksid sisaldama nii tähti, numbreid kui ka sümboleid.
• Ära kasuta sama parooli mitmes kohas ehk kasuta erinevates süsteemides erinevaid paroole.
Tugev parool ei pea olema meeldejäetamatult pikk. Kasuta parooli loomisel lausel põhinevat loogikat, kui paroolihaldurit ei kasutata. Näiteks: KülalineTahabKooki2025! – lihtne meelde jätta, raske murda.
• Kasuta paroolihaldurit.
Tööriistad aitavad paroole turvaliselt hallata. Paroolihaldur võimaldab kasutada “peaparooli”, mis avab turvaliselt kogu paroolivõtmete komplekti. Paroolihalduri valimisel konsulteeri IT asjatundjatega.
• Jälgi kontode sulgemist kohe, kui töötaja lahkub.
Kõige levinum turvarisk on "unustatud kontod". Sulge e-posti, broneerimissüsteemide ja muude töövahendite ligipääsud samal päeval.
• Muuda paroole regulaarselt.
Soovitavalt iga 6–12 kuu järel või kohe pärast töötaja lahkumist.
• Kaheastmeline autentimine on kohustuslik.
See peaks olema sisse lülitatud kõigil töö- ja e-posti kontodel.
Pildi autor: Visit Estonia
7. Tehisintellekti kasutamine ja andmete kaitse
Tehisintellekti (AI) tööriistad, nagu ChatGPT, Copilot, Google Gemini jt, võivad olla abiks nii turunduses, ideede loomisel kui ka tööprotsesside juhtimisel. Samas tuleb mõista, et AI-süsteemidesse sisestatud andmed ei pruugi jääda konfidentsiaalseks.
Soovitused:
• Ära sisesta tundlikku teavet.
Kliendiandmed, broneeringute detailid, isikukoodid, kontaktandmed, lepingud, arved ja sisemised aruanded ei sobi AI-tööriistadesse. Samuti ära sisesta paroole või makseandmeid.
• Kontrolli ja kohanda AI vastuseid enne kasutamist.
AI võib eksida kuupäevade, hindade, reeglite ja faktidega. Ära kopeeri vastuseid otse kodulehele, pakkumisse või lepingusse – loe läbi, kohanda ja võrdle oma tegelike tingimustega.
• Loe läbi AI tööriista privaatsuspoliitika.
Vaata, kas sisestatud andmeid kasutatakse mudeli treenimiseks, kui kaua neid säilitatakse ja kus serverid asuvad. Eelista lahendusi, kus saad treenimise jaoks andmete kasutamise välja lülitada.
• Kaitse AI-kontosid samamoodi nagu teisi töövahendeid.
Kasuta tugevaid paroole, sest AI vestlusajalugu võib sisaldada ärilist infot (näiteks uusi teenuseideid või turundusplaane).
• Kehtesta ettevõttes reegel AI kasutamiseks.
Näiteks: ”AI-d võib kasutada vaid avaliku info põhjal, mitte klientide andmetega.“
• Koolita töötajaid.
Selgita, millist infot tohib AI-sse panna ja mida mitte, ning too praktilisi näiteid. Rõhuta, et AI on abiline ideede ja mustandite loomiseks, mitte ”viimane tõde”.
Pildi autor: Visit Estonia
8. Töötajate teadlikkus ja koolitusvajadus
Küberturvalisus ei sõltu ainult tarkvarast ja seadmetest, vaid otseselt inimeste igapäevastest harjumustest. Väikestes turismiettevõtetes, kus tehnilist tuge sageli majas ei ole, on teadlikud töötajad kõige olulisem kaitseliin. Hästi toimiv turvakeskkond sünnib siis, kui töötajad teavad, mida tähele panna, ja tunnevad, et nad võivad probleemi korral kohe abi küsida.
Soovitused:
• Määra üks inimene “küberturvalisuse kontaktiks”.
See ei pea olema IT-spetsialist, vaid keegi, kes hoiab teemat meeles, jagab infot ja koordineerib vajadusel suhtlust teenusepakkujatega. See vähendab segadust ja kiirendab reageerimist.
• Korralda vähemalt kord aastas lühike infopäev.
Tutvusta levinumaid ohte nagu pettuskirjad, libalingid, vale-arved, parooliriskid ja sotsiaalne manipulatsioon (nt tundmatu helistaja, kes küsib broneeringuandmeid).
• Loo uue töötaja stardipakett.
Koosta lihtne juhend “5 küberturvalisuse reeglit meie majas”, mis selgitab:
• kuidas kasutada paroole ja MFA-d;
• kust tarkvara alla laadida;
• kuidas tuvastada kahtlaseid e-kirju;
• mida ei tohi AI-tööriistadesse sisestada;
• kelle poole probleemide korral pöörduda.
• Harjuta praktikas.
Näita töötajatele, milline näeb välja tüüpiline õngitsuskiri (“Teie pangakaart aegub”), valebroneering või libaarve. Praktilised näited jäävad paremini meelde kui üksnes reeglite lugemine.
• Julge rääkida vigadest!
Turvalisus paraneb siis, kui töötajad julgevad kohe märku anda. Kui keegi avab kogemata kahtlase faili või klõpsab linki, ei tohi teda süüdistada – oluline on kiire reageerimine, et kahju vähendada.
• Julgusta küsimist.
Küberturvalisus on meeskonnatöö. Kui miski tundub imelik – ootamatu arve, tundmatu link või “kiire” päring, kehtib reegel: enne küsi, kui klikid.
• Hoia juhised nähtaval kohal.
Pane kontorisse (või virtuaalsesse kausta) visuaalne meelespea: “Kuidas kahtlast e-kirja ära tunda?”, “Mida teha, kui avastan vea?” või “Turvalise parooli kontrollnimekiri”.
Pildi autor: Visit Estonia
9. Küberturvalisuse kontrollnimekiri väikeettevõttele
- Kas kõik kontod on kaitstud kaheastmelise autentimisega?
- Kas kasutatakse unikaalseid ja tugevaid paroole?
- Kas endiste töötajate ligipääsud on suletud?
- Kas rollipõhised ligipääsud on paigas (või üle vaadatud)?
- Kas tarkvarad, seadmed ja viirusetõrje on uuendatud?
- Kas veebilehel on kehtiv HTTPS-turvasertifikaat?
- Kas failide jagamisõigused on üle vaadatud?
- Kas andmetest tehakse regulaarselt varukoopiaid?
- Kas töötajad teavad, kuidas ära tunda petukirju ja libalinke?
- Kas tehisintellekti kasutatakse ainult avaliku info loomiseks, mitte kliendiandmetega?
Kokkuvõte
Väikeste turismiettevõtete kogemus näitab, et küberturvalisus ei sõltu kallist tarkvarast, vaid teadlikest harjumustest.
Kõige olulisem on järjepidevus: uuenda tarkvara, kontrolli ligipääse, kasuta tugevaid paroole ja suhtle oma töötajatega turvalisuse teemal.
Küberturvalisus ei ole eraldi IT-teema – see on osa teenuse kvaliteedist ja ettevõtte
usaldusväärsusest.
Hea teada!
- EIS pakub regulaarselt võimalust taotleda toetust küberturvalisuse taseme tõstmiseks ettevõttes, sh küberturvalisuse taseme hindamiseks ja küberturvalisuse teekaardi koostamiseks ning teekaardist tulenevate tegevuste elluviimiseks.
Jälgi ettevõtetele pakutavate toetuse infot eis.ee veebilehel - Loe ka ITL-i soovitusi äririskide vähendamiseks: Kübertugi | Eesti Infotehnoloogia ja Telekommunikatsiooni Liit
Lisainfo ja küsimused
Juhendmaterjali valmimist rahastas Euroopa Liit. Juhendmaterjalidega toetame turismisektoris muudatusi, mille tulemusena investeerivad turismisektori ettevõtjad digitaliseerimisse ja automatiseerimisse, et olla efektiivsemad ja vähendada inimsekkumise vajadust.
Pildi autor: EIS
Viimati uuendatud
23.12.2025