Nagu kinnitab KPMG äriarendusjuht Maidu Harjak, puudub paljudel meie ettevõtetel igasugune asjatundmine küberturvalisusest.

Nimelt pakub riik kuni 2. septembrini EASi kaudu Eesti ettevõtetele küberturvalisuse taseme kaardistamise ehk teekaardi toetust (kuni 10 000 eurot), jätkuprojektina ka arendamise toetust (kuni 50 000 eurot). Saadava toetusega võib katta 50% projekti kogukulust.

Intervjuu KPMG äriarendusjuhi Maidu Harjakuga:

Kuigi küberrünnakutest või ka -ohtudest räägitakse üha enam, kui tihti kohtab suhtumist, et minu või meie äri ei tohiks ründajaid huvitada, sest oleme selleks silmatorkamatud või lihtsalt liiga väikesed?

Jah, kahjuks sellist lähenemist kohtab ettevõtetes, eriti kellel oma küberturbetiimi pole. Tihti arvatakse, et Eesti on pisike maa ja meie keel eriline, kes ikka viitsib siia tulla ja häkkima hakata.

Kui see on vale lähenemine, siis miks?

Küberrünnakute tegijaid ei huvita, mis riik ja mis ettevõte see on. Osad töötavad veebi skaneerides ja leides turvaaukudega ettevõtte, kasutavad seda ära ning üritavad oma toime pandud rünnakut kellelegi maha müüa.

See on mitmekihiline struktuur, kus ühed on ründajad-häkkijad, kes pidevalt otsivad uusi ohvreid, teised aga ostavad neilt andmeid või infot häkitud ettevõttest, et omakorda neilt ettevõtetelt näiteks hakata välja pressima lunaraha.

Ütlesid, et keegi otsib turvaaukudega ettevõtteid. Ainuüksi Eestis on ettevõtteid kümneid tuhandeid. Kui palju on see ründamise pool automatiseeritud?

Neid tööriistu on järjest juurde tulnud ning seoses tehisintellekti arenguga tuleb kindlasti veel. See aitab suhteliselt kiiresti ja tõhusalt kindlaks teha, mis ettevõttega on tegemist. Samuti saada esimese hinnangu, kas on mõtet selle ettevõttega vaeva näha või mitte – kui palju neil on käivet ja kasumit. Enamasti tuleb see kõik internetist välja.

Ent mida öelda neile, kes peavad end liiga väikeseks ettevõtteks, et küberkurjategijaile huvi pakkuda?

Sõltub sellest, mis on kellegi jaoks väike. Võib-olla näiteks Aafrikas elavale küberkurjategijale pole ka 10 000 eurot väike raha, kui tal selline teenistus õnnestub saada. Sellise suurusega ettevõtteid, kellelt 10 000 annab välja pressida, on aga Eestis piisavalt.

See „äri“ on väga rahvusvaheline, tegijaid on ka väga erinevas mastaabis. On neid, kes on väiksema saagiga nõus, samas suuremad grupeeringud tegelevad n-ö suuremate kaladega.

Eks Eestis on väiksem tööstusettevõte ka hea saak, kui õnnestub tootmine seisma panna. Nende toomispäeva käive on arvestatav, selle eest saavad küberkurjategijad küsida päris korralikke summasid.

Kuidas kõige lihtsamini panna ettevõtte omanik või juht uskuma, et tal on siiski vaja vähemalt kaardistada oma küberturvalisuse tase?

Oleme kohanud erinevaid vastuseid Eesti ettevõtetelt. Osad ütlevad, et neil on asjad pooleli ja tahavad siis teha teste, kui midagi on juba valmis. Ent võib-olla on siiski parem enne kindlaks teha, kus on olulisemad kitsaskohad, et õigest kohast peale hakata ja teha õigeid asju.

Kui keegi omast tarkusest paneb uue tulemüüri, siis võib-olla tullakse talle sisse hoopis mingist muust kohast. Mõnel juhul aitab palju ka ettevõtte töötajate harimine, et neid kurssi viia ohtudega küberruumis. Nn phishing-rünnakud ehk andmepüük on üsna tavaline moodus ettevõttesse sisse saamiseks, ja kõige nõrgem lüli on sel puhul töötaja, kui ta klikib mingit linki või laeb alla mingi faili.

Mis on tüüpilised haavatavused või valdkonnad, millele reeglina vähem tähelepanu pööratakse?

Tüüpiline on see, et puudub igasugune küberturvalisuse asjatundmine ettevõttes. Reeglina on IT-inimesed midagi küll korraldanud, ent nemad enamasti hoolitsevad info kättesaadavuse eest ettevõtte sees. Kui siis aga mingi ründaja pääseb mõne töötaja arvuti kaudu ettevõtte võrku, on ka temal see sama informatsioon kättesaadav. Nii võib väga palju pahandust teha, näiteks lülitada sisse-välja tööstusautomaatikat. Tööstusettevõtte puhul ongi üks vigu see, et tööstusautomaatika on samas võrgus tööjaamade ja kasutajatega.

Aga võib ka olla, et kellelgi on paroolid ripakil ja võib need lihtsasti kätte saada. Tihti kasutavad inimesed samu paroole nii era kui ka töö asjade kasutajakontodel. Kui siis isiklik parool mingil põhjusel lekib, on kohe lekkinud ka tööparool. See info aga kasutatakse ära ründajate poolt. Neid paroole levitatakse ja müüakse tumeveebis.

Kuidas selline küberturbe olukorra kaardistamine käib, mis peab olema ettevõtte panus ja mida teete teie nõustajana?

Ettevõtte panus on eelkõige meie meile töö teostamiseks vajaliku sisendi ja ligipääsude andmine. Meie poolt vaadatakse esimese asjana üle infoturbealane dokumentatsioon ehk kas see on olemas ja määratletud kes mille eest vastutab. Järgnevalt käiakse üle ettevõtte IT lahenduste suur pilt. Kokku kuulub teekaardi koostamise tegevuste hulka enam kui kümme punkti tegevustest, mida tuleb hetkeolukorra kaardistamisel teostada. Need puudutavad ettevõtte tööjaamu, servereid, veebi, tulemüüri, võrku, mis uuritakse üksipulgi läbi, et kas on näha turvaauke, valesti konfigureerimisi jne. See on üsna põhjalik protsess.

Lõpptulemusena saab ettevõtte juhtkond väga hea ülevaate ettevõtte küberturvalisuse olukorrast. Selleks tuuakse välja olulisuse järjekorras, mis probleemid on n-ö kuumemad, mida võib küberkurjategija kergemini ära kasutada.

Kas mul endal peab ka olema küberturbe- või IT-inimene, kes on teie partner minu ettevõttes, kui te kaardistamist teete?

Üldjuhul ei pea ettevõttel olema oma spetsialisti sellise projekti tegemiseks. Tavaliselt on ettevõtetel kas oma inimene või IT-partner, kes on aidanud IT-süsteeme püsti panna ja üles ehitada. Küberturbe spetsialisti omamine oleks muidugi hea, ent paljud Eesti ettevõtted ei suuda sellist inimest palgata. Kaardistus tegelikult aitab osaliselt ka täita sellise küberturbe spetsialisti rolli juhtides juhtkonna tähelepanu puudustele.

Mis ajakuluga ma pean arvestama, kui tellin oma küberturbe taseme hindamise?

See sõltub ettevõtte suurusest, ent tavaliselt me teeme selle paari-kolme nädalaga ära. See hõlmab intervjuusid ettevõttes isikutega, kes on või peaksid olema küberturbe teemade eest vastutavad. Samuti vajalikke ülevaatusi ja testimisi. Meie poolt on projektis vähemalt kaks turvatestijat, kes ettevõtte olukorra kaardistavad. Selle aja sisse mahub ka raporti kirjutamine ja teekaardi koostamine.

EASi poolt 2. septembrini pakutav küberturvalisuse taseme kaardistamise toetus on kuni 10 000 eurot projekti kohta, mis EASi kodulehe järgi on kalkuleeritud Eesti turuhindu arvestades. Kuivõrd omafinantseering on 50%, siis milline ettevõte saab projekti tehtud 20 000 euroga? Ja ons väikefirmal see rahaline kulu väiksem, neil ei lähe 10 000 eurot vajagi?

Jah, väikefirmadel on see muidugi väiksem. Pigem ulatub kogu projekti maksumus 10 000 euro kanti, pool sellest võib siis olla riigi tugi EASi kaudu. Lõplik hind sõltub muidugi sellest, kui palju on ettevõttel erinevaid süsteeme ja kui palju aega kulub nende asjade üle vaatamiseks. See maksimum 10 000 eurot on pigem suuremapoolse ettevõtte töömaht, kus kogu projekti maksumus ulatub 20 000 euroni.

Projekt võib olla ka kaheastmeline, kus küberturvalisuse taseme kaardistamisele järgneb ka n-ö küberpöördega tehtav arendus. Millal on mõistlik või vajalik seda teist astet kaaluda?

Sõltub ettevõttest ja nende küberturvalisuse hetkeseisust. Mõlemas astmes peab ettevõte muidugi poole summast ise välja käima. Teises etapis võib toetust kasutada erinevateks asjadeks nagu näiteks ka mingite seadmete või tarkvarauuenduste ostmiseks. Või siis täiendava teenusena mingite lahenduste suuremaks testimiseks, kui on näha, et mõned asjad on ettevõtte jaoks kriitilise tähtsusega ja vajavad põhjalikumat sissevaadet. Esialgse kaardistuse käigus ei testita rakendusi ja lahendusi väga detailselt.

Kas esimese ja teise astme peaks tegema partnerluses ühe ja sama ettevõttega?

Seda ei ole nõutud, et oleks sama partner. Tavaliselt küsitakse hinnapakkumisi mitmelt partnerilt ja nende põhjal on võimalik otsustada, kes on pädevaim tööde teostamiseks. Vahel võib ka juhtuda, et nn esimese osa partner ei tegele kõige sellega, mis on vajalik teises osas.

Teisalt on mõnes mõttes lihtsam teha teine osa sama firmaga, mis on teinud ka esimese osa.

Kas teine osa on pikem-põhjalikum kui esimene?

Üldiselt küll. Palju sõltub siiski konkreetsest lahendusest või projektist. Samas, nagu öeldud, võib teine osa olla ka mingite seadmete või tarkvara ostmine, mis pole aeganõudev. Teisalt õige lahenduse leidmine ja juurutamine võtab ikkagi aega.

Mis on teie tugevused või mille poolest KPMG eristub ses koostöös?

Meie tugevuseks on suur küberturvalisuse meeskond. Meil on üle 20 sertifitseeritud spetsialisti, kes igapäevaselt selliste projektidega tegelevad. Samuti on meil pikk koostöökogemus Riigi Infosüsteemi Ametiga. Oleme koostöös RIAga teinud näiteks elutähtsa teenuse osutajate küberturvalisuse hindamisi.

Küberturvalisuse teekaart ongi tuletatud elutähtsa teenuse osutajate küberturvalisuse hindamistest – väiksematele ettevõtetele pakutakse lihtsalt selle n-ö kergemat varianti.

Meie eeliseks on kogemused ja eri valdkondadele spetsialiseerunud inimesed. KPMG spetsialistid on oma ala fännid, kes teevad tööd kirglikult. See on põhjalik ja süstemaatiline ettevõtete lahenduste testimine.

Kui tihti puutute aga küpsustaseme hindamisel kokku üha samade ja samade probleemidega?

Laias laastus võib ettevõtted jagada kaheks: ühtedel on midagi tehtud ning teistel pole mitte midagi tehtud. Suurematel firmadel on reeglina palju tehtud, samas on ka neil tihti puudujääke. Küberturvalisus on ju ala, kus tuleb pidevalt testida, kontrollida. Ettevõtete IT-lahendused muutuvad sageli, tehakse uuendamisi, ostetakse uusi süsteeme. Iga muudatus võib tuua kaasa uue probleemi.

Me pole näinud, et kellelgi oleks kõik 100% korras. Ikka tuleb välja ka kriitilisi vigu, mida tuleks kiirelt parandada. Need on ohtlikud vead, mille kaudu on võimalik üsna lihtsalt küberrünnet korraldada.

Küberpöörde teekaarte on tellinud paljud ettevõtted, kelle tase on ka erinev. Ent kõigil on olnud kriitilisi probleeme. Seega riigi pakutav toetus on iga ettevõttel mõistlik ära kasutada. Seejärel saab otsustada, kas teha mingi uus, täiendav projekt sinna otsa või mitte.

Kui ma septembriks ei jõua taotleda kõnealust EASi toetust küberturvalisuse taseme hindamiseks, mis siis edasi? Saan seda teha ilma riigi toeta?

Jah, muidugi! Me oleme sarnaseid projekte teinud ettevõtetele ka ilma toetuseta, vajalik metoodika on meil olemas. Võime pakkuda näiteks ka küberturbe küpsustaseme hindamist, mis on lihtsam ja odavam versioon ettevõtte küberturbe olukorra hindamiseks. Teisalt on mainitud võimalust, et sarnane toetusmeede võib tulla tagasi 2025 kevadel, kuid kindel see veel pole.

Kui mõelda, mis selline kaardistamine läheks ettevõttele maksma ilma riigi toetuseta ning võrrelda seda võimaliku küberrünnaku poolt põhjustatud kuluga, siis need summad on väga erinevad, suurusjärgu võrra vähemalt, kui mitte rohkemgi.

Sõltumata riigi toetusest, kui sageli võiks seda küberturvalisuse taseme hindamist teha?

Sõltub ettevõttest ja sellest kui sageli nende IT lahendustes tehakse olulisi muudatusi. Kui toimuvad suuremad muutused ehk vahetatakse midagi välja või ehitatakse võrk ringi, pannakse uus tulemüür vms, siis iga sellise muudatuse puhul tekib vajadus asjad uuesti üle vaadata. Üldiselt tasub regulaarselt teha ka väiksemaid ülevaatusi ja testimisi.

Mis garantii küberturbe taseme hindamine mulle kui ettevõtte juhile või omanikule annab?

Küberturbe taseme hindamine otseselt garantiid ei anna. See annab ikkagi hetkeolukorra kaardistuse. Maailm muutub lihtsalt väga kiiresti, uusi haavatavusi ja rünnakuvektoreid avastatakse üha enam. Samas kui ettevõttel on baasasjad ära tehtud, sealhulgas oma töötajate harimine neis küsimustes, et nad ei langeks mingisse tobedasse lõksu, siis sellist ettevõtet on oluliselt keerulisem rünnata.

Rünnatakse ikka neid, keda on kergem rünnata ja lihtsam sisse saada. Peamine väärtus sellest projektist ongi selles, et pärast oluliste puuduste likvideerimist on tõenäosus sattuda rünnaku ohvriks väiksem. See on ettevõttele põhiline võit.

Kui juht on teadlik, mis on ohud ja mis võib juhtuda – mis kaardistamise käigus selgub –, siis on tal endal ka lihtsam edasisi otsuseid teha.

Lõplikku garantiid ei saa aga keegi pakkuda. Nõrgim lüli on enamasti ikkagi inimene: kui ta teeb tobedaid vigu, on küberkurjategijail lihtne rünnakuid teostada.