Kuigi konkurentsitihedates sektorites, nagu finants ja telekomid, omistatakse küberturbele suurt tähendust ning seda mõistetakse ka riigikaitse tasandil, jäävad IT-riskid sageli teenimatult tahaplaanile, kirjutab KPMG küberturvalisuse teenuste juht Mihkel Kukk.
Organisatsioonide küberturvalisuses esineb üksjagu enesepettust. Sageli leitakse, et viirusetõrjeprogrammid pakuvad piisavalt kaitset. Ja kui ettevõttes on ametis IT-administraator ning IT-teenus on hallatud, siis on justkui kõik korras. Tegelikult on asi korrasolekust kaugel ning küberturvalisus hõlmab endas oluliselt rohkemat kui lihtsalt viirusetõrje.
Viirusetõrjeprogrammist ja muudest tehnilistelt lahendustes ainuüksi on vähe tolku, kui organisatsioonis puuduvad infoturbe eest vastutaja ja vajalik pädevus, et neid vahendeid rakendada ja kasutada. Kõige parem lahendus on vastava valdkonna juht, kel on kõik küberturbe arendamise volitused ja sellega kaasnev vastutus.
Väikesed ettevõtted, suur risk
Küberturbe planeerimisel tuleb esmalt vaadata, kui suur oleks küberrünnete mõju ettevõttele. Tuleb märkida, et valdav osa Eesti firmasid on väikesed või keskmise suurusega ja neist paljudes on IT-risk üllatuslikult kõrge. Kahjuks aktsepteeritakse seda, kas teadlikult või infopuuduse tõttu.
Suured investeeringud küberturbesse ei ole alustava start-up'i prioriteet, kuna peamine panus on ärimudeli testimisel. Tihti alles otsitakse mudelit, kuidas äri toimiks, ning sellest tulenevalt on ka IT lahenduste pool kiirelt muutuv. Turvalisus tuleb tavaliselt teemaks siis, kui ettevõte on jõudnud raha kaasamise faasi ning on vaja investoritele anda kindlust, et tegu on tõsiseltvõetava äriga.
Kuid suurettevõtetes ning elutähtsates valdkondades, nagu tervishoid, kohalik omavalitsus, energiaettevõtted, finantssektor jt ei ole IT-risk sugugi vastuvõetav. Eriti problemaatiline on olukord tervishoius, kus küll mõistetakse küberturvalisuse tähtsust, kuid napp eelarve ei jäta sageli häid valikuid, kuna tervishoid on tõsiselt alarahastatud.
Olukorra tähtsust on mõistnud finantssektor. Kuna pangandus on muutunud peaaegu täielikult digitaalseks, siis finantssektor investeerib aktiivselt ka küberturbesse. Lisaks on karmistunud regulatsioonid, mis peegeldub ka andmete ja süsteemide suuremas kaitsmises. Kokkuvõttes aitab see kõik luua küberturvalisust, kuna sunnib ettevõtteid sellele rohkem mõtlema ning suunama sinna ka vajalike vahendeid.
IT-eelarve kulub suures osas endiselt rauale
Rahvusvaheliste suurfirmade kohalikes esindustes on IT-kultuurikihti rohkem, nii nagu ka traditsioonidega Eesti organisatsioonides (pangad, telekomid, aga ka riigisektor). Neil on rünnete või teiste intsidentide kogemus varasemast ajast olemas ja tihti on IT valdkonnaga tegelenud mitmed inimesed, kellest see kultuurikiht on tekkinud.
Kultuurikiht on samas ka risk, kuna tehnoloogia vananeb tohutu kiirusega. Näiteks kui pangas kasutatakse mainframe-arvutit, mis teatud operatsioonides on küll vajalik, siis selle turvanõuded on jäänud minevikku.
Ka erafirmade eelarvetesse küberturvalisus tihtipeale ei mahu. Ettevõtetes on tavaline, et iga 3–5 aasta tagant vahetatakse välja sülearvutid, samuti teised kontoriseadmed. Sama intervalliga peaks värske pilguga üle vaatama ka turbelahendused, sest nende elutsükkel on erinev ning mõned neist võivad lootusetult ajale jalgu jääda.
Pikema aja jooksul on ka tavaline, et töös kasutatavad üldised IT-lahendused on muutunud. Näiteks on lisandunud pilve kasutamine ning siis peab ka turvalisuse pool ajaga kaasas käima ja uuenema. Nii välimised kui ka sisemised auditid aitavad üle vaadata, kas riskid on hallatud ning riskitase vastab ettevõttele aktsepteeritavale riskitasemele.
Mainekahjust taastumine võib olla aastatepikkune
Lisaks andmete kaotamisele või manipuleerimisele tuleb tegeleda ettevõtte mainekahjuga, mis automaatselt tekib rünnaku alla sattunule. Mida suurema haardega ettevõttega on tegemist, seda rohkem on maine ka löögi all. Piisab näiteks pangateenuste peatumisest tunniks-paariks, kui see võib mõjutada Eestis sadu tuhandeid kliente ning meediasse ilmuvad suured pealkirjad. Konkurentsitihedates sektorites osutub küberkaitse võimekus kaalukeeleks, kui kliendid teenuseid valivad.
Ettevõtte valmisolekus mängib tähtsat rolli töötajate teadlikkus, et nad oleksid informeeritud ja oskaksid küberintsidentide puhul käituda. IT-turbel peab olema kriisijuhtumiteks oma „112“ ehk kuum liin, kuhu personal saab oma kahtlustest teateid jätta. Oluline on töötajatele südamele panna, et ohust peab teatama kohe, sest viivitatud päevade või nädalate hind võib olla väga kõrge.
Nii nagu riigikaitses on üha kriitilisem küberüksuste võimekus, tuleb sama põhimõtet järgida ka eraettevõtluses ja teistes asutustes.