Küberkaitset planeerides tuleb arvestada, et koostööpartnerite nõrkus võib otseselt mõjutada ka teie organisatsiooni turvalisust, kinnitab KPMG küberturbe ekspert Mihkel Kukk.
Nõrgim lüli on aga küberkaitse valdkonnas reeglina töötaja.

Vastab KPMG Baltics’i küberturvalisuse teenuste juht Mihkel Kukk:

Küberturbest räägitakse viimastel aastatel üha enam. Kuivõrd on selle ajaga paranenud Eesti ettevõtete arusaam oma infoturbe ning küberturvalisuse seisust, sealhulgas nõrkustest?

Viimaste aastate jooksul on Eesti ettevõtete teadlikkus küberturvalisusest oluliselt paranenud. Ettevõtted on hakanud mõistma, et infoturbe ja küberturvalisuse investeeringud on hädavajalikud.

Samas on nõrkuste tuvastamine ja nendega tegelemine jätkuv väljakutse, mida tuleb pidevalt täiustada, eriti uute tehnoloogiate ja küberrünnakute meetodite valguses.

Näiteks on paljud Eesti ettevõtted hakanud rakendama regulaarseid turvaauditeid ja küberhügieeni koolitusi, et tõsta töötajate teadlikkust ja ettevalmistust võimalike rünnakute suhtes. Lisaks on näha suuremat investeeringut turvatarkvarasse ja -infrastruktuuri, mis on vajalik, et tõrjuda keerukaid pahavara ja phishing- ehk õngitsusrünnakuid, mis on muutunud üha levinumaks.

Veel üks oluline samm on kaasata küberkindlustus, mis aitab maandada finantsriske juhul, kui küberrünnak siiski aset leiab. Need muutused näitavad, et kuigi teadlikkus on tõusnud, on küberturvalisuse valdkonna kiire arengu tõttu pidevalt vaja oma kaitsemeetmeid ajakohastada ja parandada.

Kes organisatsioonis peaks hindama partnerite küberturvalisust, puhtalt infoturbejuht või ka koostöös oma IT-juhiga?

Partnerite küberturvalisuse hindamine peaks olema koostööülesanne infoturbejuhi ja IT-juhi vahel. Kuna küberturvalisus hõlmab nii tehnilisi aspekte kui ka laiemaid strateegilisi riske, on oluline, et mõlemad rollid panustaksid oma vaatenurgast, tagamaks terviklik lähenemine.

Kui võimalikus partnerettevõttes pole oma infoturbejuhti (või mitte ka IT-juhti), kuidas sel juhul tema küberkaitstust ja enda riske hinnata?

Kui potentsiaalsel partnerettevõttel puudub oma infoturbejuht või IT-juht, on soovitatav kasutada spetsialiseerunud väliste teenusepakkujate abi küberturvalisuse auditi ja riskihindamise teostamiseks. Väliste teenusepakkujate kaasamine võimaldab objektiivset hinnangut, tuues esile turvanõrkused ja andes soovitusi parimate praktikate rakendamiseks, mis on kooskõlas rahvusvaheliste standarditega.

See on eriti oluline väikeste ja keskmise suurusega ettevõtete puhul, kus sageli puuduvad süvateadmised ja ressursid küberturvalisuse alal. Auditi läbiviimine aitab tuvastada ja maandada mitmesuguseid riske, nagu näiteks andmelekkeid ja süsteemide turvanõrkusi, mis võivad mõjutada ettevõtte tegevust ja mainet.

Üldiselt võib auditi ja riskihindamise protsess väikese või keskmise suurusega ettevõtte puhul kesta mitmest nädalast kuni mõne kuuni, sõltuvalt ettevõtte spetsiifikast ja kasutatavatest süsteemidest.

Kuivõrd sõltub infoturbe hindamine koostöövaates võimaliku partneri tegevusalast ja suurusest?

Infoturbe hindamine sõltub oluliselt võimaliku partneri tegevusalast ja suurusest, kuna eri sektorid ja ettevõtte suurused seisavad silmitsi erinevate turvanõuete ja riskidega.

Näiteks finantssektori ettevõtted peavad järgima väga rangeid regulatsioone, mis nõuavad keerukaid turvameetmeid, et kaitsta klientide andmeid ja rahalisi vahendeid. Seevastu väiksemad jaemüügifirmad võivad puutuda kokku vähem rangete nõuetega, kuid nende ressursid infoturbe tugevdamiseks võivad olla piiratumad.

On ekslik eeldada, et väikeettevõtted on oma väiksuse tõttu automaatselt vähem atraktiivsed sihtmärgid küberrünnakuteks või et nad on kuidagi paremini kaitstud. Tegelikkuses võib väikeettevõtete piiratud turvainfrastruktuur ja vähene teadlikkus küberturvalisusest muuta nad hoopis haavatavamaks.

Ründajad võivad näha väikeettevõtteid kui lihtsamaid sihtmärke, kelle kaudu võib olla võimalik pääseda ligi suuremate ja paremini kaitstud ettevõtete võrkudele, eriti kui väikeettevõtted tegutsevad suuremate firmade tarneahelas.

Seetõttu on infoturbe hindamisel oluline arvestada, et see ei sõltuks üksnes tegevusalast ja ettevõtte suurusest, vaid ka sellest, kui hästi on ettevõte suuteline tuvastama potentsiaalseid ohte ja rakendama asjakohaseid kaitsemeetmeid.

Infoturbeauditid ja riskihinnangud peaksid olema piisavalt kohandatud vastavalt ettevõttele, et arvestada nii konkreetse sektori eripärasid kui ka ettevõtte spetsiifilisi riske, olenemata selle suurusest.

Kuidas hinnata väliste partnerite toimepidevusplaane ning nende asjakohasust?

Väliste partnerite toimepidevusplaane tuleks hinnata nende asjakohasuse ja realistlikkuse alusel, kontrollides, kas need plaanid on ajakohased ja arvestavad kõiki asjakohaseid riskistsenaariume, ning kas need on integreeritud ettevõtte üldisesse riskijuhtimise strateegiasse.

Testimine peaks toimuma vähemalt kord aastas, et tagada plaanide tõhusus reaalsetes olukordades, kuid sõltuvalt sektorist ja muutuvatest riskitingimustest võib olla vajalik sagedasem testimine. Välised teenusepakkujad toovad olulist lisaväärtust, pakkudes laialdasi teadmisi ja kogemusi, mis aitavad tagada plaanide põhjalikkuse ja asjakohasuse.

Nende sõltumatu vaade aitab tuvastada potentsiaalseid nõrkusi ja nende läbiviidud simulatsioonid ning kriisiharjutused on sageli realistlikumad ja keerukamad, mis aitab paremini ette valmistab tegelikeks hädaolukordadeks. Lisaks pakuvad nad jooksvat nõustamist ja plaanide regulaarset ajakohastamist, mis on vajalik kiiresti muutuvas ärikeskkonnas.

Kuivõrd peaks võimaliku partneri hindamisel keskenduma nende poolt kasutatavale tehnoloogiale ning kuivõrd nn inimfaktorile?

Partneri hindamisel tuleks võrdset tähelepanu pöörata nii kasutatavale tehnoloogiale kui ka inimfaktorile. Kuigi tehnoloogia on oluline, võib inimfaktor – nagu töötajate koolitus ja teadlikkus – sageli olla nõrgim lüli küberturvalisuse ahelas.

Partneri töötajate küberteadlikkust saab hinnata läbi erinevate meetmete, nagu regulaarsed koolitused, teadmiste testid ning simulatsioonid ja harjutused, mis näitavad töötajate reaktsioone potentsiaalsetele küberrünnakutele.

Kuivõrd peaks käsitlema nn majaväliste partnerite küberkaitstuse teemat organisatsiooni enda riskianalüüsis või infoturbeauditis?

Majaväliste partnerite küberturvalisuse teema on kriitilise tähtsusega organisatsiooni enda riskianalüüsis ja infoturbeauditites. Nagu Riigi Infosüsteemi Ameti blogis “Tarneahelaründed: võimalik mõju ja kuidas end kaitsta” toodud näide illustreerib, võivad partnerite küberturvalisuse nõrkused viia olukorrani, kus ründajad kasutavad ära nende süsteeme kui hüppelauda, et pääseda ligi teie võrkudele.

Sellised nõrkused võivad avaldada tõsist mõju kogu tarneahela turvalisusele ja seeläbi ka teie organisatsiooni mainele ja finantstulemustele. Seetõttu on hädavajalik hinnata ja jälgida regulaarselt partnerite küberturvalisuse taset, et vältida võimalikke riske ja tagada süsteemide vastupidavus (allikas: Riigi Infosüsteemi Amet).

Mil määral saab võimaliku partneri hindamise teenust n-ö väljast sisse osta?

Võimaliku partneri küberturvalisuse hindamise teenuse sisseostmine sertifitseeritud välisteenuse pakkujatelt annab klientidele juurdepääsu spetsialistide sügavale teadmiste pagasile ja kogemustele, mis võib puududa ettevõttes endas. See lähenemine võimaldab tagada hindamisprotsessi objektiivsuse, vältides võimalikke huvide konflikte, mis võivad esineda, kui hindamine toimub ainult sisemiste jõududega.

Lisaks annab see klientidele kindlustunde, et küberturvalisuse riskid on tuvastatud ja hinnatud vastavalt rahvusvahelistele standarditele, mis aitab neil teha informeeritumaid otsuseid ja kaitsta oma ettevõtet potentsiaalsete ohtude eest.

Mis on KPMG kogemuse järgi levinumad probleemkohad, mis Eesti organisatsioonide puhul sellisel hindamisel enim esile kerkivad?

KPMG kogemuse järgi esinevad Eesti ettevõtetel sageli puudulikud riskijuhtimisprotsessid ja töötajate vähene teadlikkus küberturvalisusest. Lisaks puuduvad tihti konkreetsed protseduurid küberturvalisuse intsidentide lahendamiseks.Näiteks võib selline olukord viia selleni, kus töötajad ei oska ära tunda phishing-rünnakuid ega tea, kuidas sellises olukorras käituda. See võib omakorda põhjustada andmete lekkeid või rünnakuid, mis mõjutavad ettevõtte mainet, toovad kaasa rahalisi kahjusid ja vähendavad klientide usaldust.

Kuidas vältida organisatsiooni sees konflikte: tootmis-, turundus- või müügiosakond soovib koostööd, ent IT- või infoturbejuht on vastu?

Organisatsioonisiseseid konflikte saab vältida, kui luua selged kommunikatsioonikanalid ja protsessid, kus eri osakonnad saavad oma muresid ja vajadusi esitada.

IT- ja infoturbejuht peaksid olema kaasatud juba varases planeerimise staadiumis, et tagada nende nõuete ja murede adresseerimine enne koostöölepingute sõlmimist.

TASUB TEADA

* KPMG pakub Eestis erinevaid küberturvalisuse teenuseid alates kitsaskohtade kaardistamisest ja probleemkohtade väljatoomisest, tehnilisest testimisest, riskianalüüsist, tegevuste planeerimisest ja nõustamisest kuni puudujääkide kõrvaldamise ning koolitusteni välja.

* KPMG kontrollib ka turvameetmete tõhusust, lõhub süsteeme, vaatab konfiguratsioone, mängib läbi küberrünnakuks ettevalmistuse etapid. Kui siiski juhtub küberintsident, on see tänu eeltööle võimalik koheselt avastada ning minimeerida võimalikud kahjud.

* KPMG on kokku pannud mitmest küberturvalisuse teenusest koosnevad pakettlahendused, mis on vajaduspõhised ja võimaldavad lahendada kompleksseid ärilisi väljakutseid. Paketid sobivad ettevõttele, kui soovitakse tellida mitut erinevat teenust.