.

Täna on kõik ettevõtted digitaalsed

Küberturvalisuse
tagamine on eduka
äri eeldus

Küberturvalisuse tegevussuunad

Planeerimine ja nõustamine

Nii taktikaliste kui ka strateegiliste küberturbeküsimuste lahendamine. Tunneme teie sektorit ja äri ning oskame anda vajaduspõhist nõu. Levinumad vajadused: küberturbevõimekuse loomine, hetkeolukorra kaardistamine ettevõttes, võrdlus konkurentidega, välisturgudele laienemine, standardid ja sertifikaadid.
Tehniline testimine

Globaalselt on kasvanud nii küberrünnakute arv kui ka ettevõtete soov end nende vastu kaitsta. Küberturvalisus on andmepõhises maailmas eduka äri eelduseks. Kõige lihtsam on oma nõrkused avastada enne rünnakut. Sellega seoses on tehnilise testimise osas nõutuimad teenused: rakenduste ja võrgu läbistustestid.
Koolitused

Tehnoloogilise vundamendi ladumine ja töötajate harimine on üks lihtsamaid viise, et tagada oma ettevõttele pikaajaline konkurentsieelis ja tulevikukindlus. Kõige parem on õppida praktikutelt - ekspertidelt, kes lahendavad klientide väljakutseid igapäevaselt. Levinumad soovid: sisekoolitused, juhtkonna koolitamine.

Planeerimine ja nõustamine

CMA - Cyber Maturity Assessment

Ülevaade Viis teemat Koondhinnang
KPMG infoturbe ja küberturvalisuse küpsustaseme hindamise teenus (ingl k Cyber Maturity Assessment ehk CMA) annab kiire, kompaktse ning laiahaardelise ülevaate, milline on organisatsiooni infovarade kaitsmise ja küberohtudele reageerimise võimekus (sh pööratakse tähelepanu protsessidele, kasutusel olevatele infotehnoloogilistele lahendustele, töötajatega seotud aspektidele, füüsilisele turvalisusele jpm).

Kogenud KPMG spetsialistid viivad analüüsitava organisatsiooni võtmeisikutega läbi intervjuu. Intervjuu järel analüüsitakse tulemusi ning edastatakse kliendile raport.


Loe lähemalt
Infoturbe ja küberturvalisuse küpsustaset hinnatakse viie teema lõikes: planeerimine, kaitsmine, avastamine, reageerimine ja taastamine. Mainitud võimekused iseloomustavad organisatsiooni infoturbe ja küberturvalisuse küpsustaset kõige kriitilisemate tegevusvaldkondade kontekstis.

Igale teemale antakse hinnang protsendiskaalal, kus kõrgeim võimalik koondhinnang on 100% ning madalaim 0%. Lisaks jaguneb protsendiskaala omakorda soorituspõhiselt neljaks kategooriaks: väga hea (90-100%), hea (75-89%), rahuldav (60-74%), puudustega (0-59%).


CMA teenuse veebileht
Infovarade kaitsmise ning küberohtudele reageerimise võimekusele antakse CMA koondhinnang protsendiskaalal, kus kõrgeim võimalik koondhinnang on 100% ning madalaim 0%. Koondhinnang põhineb viie teema hinnangute koosmõjul.

Protsendiskaala jaguneb omakorda soorituspõhiselt neljaks kategooriaks: väga hea (90-100%), hea (75-89%), rahuldav (60-74%), puudustega (0-59%). Raport kajastab tuvastatud olulisemaid kitsaskohti ning jagab soovitusi olukorra parandamiseks.


CMA teenuse veebileht
puudustega
rahuldav
hea
väga hea
Planeerimine 53%
Kaitsmine 76%
Avastamine 62%
Reageerimine 47%
Taastamine 94%
Näide: infoturbe ja küberturvalisuse küpsustaseme hindamine
puudustega
rahuldav
hea
väga hea
Planeerimine 53%
Kaitsmine 76%
Avastamine 62%
Reageerimine 47%
Taastamine 94%
Näide: infoturbe ja küberturvalisuse küpsustaseme hindamine
puudustega
rahuldav
hea
väga hea
Planeerimine 53%
Kaitsmine 76%
Avastamine 62%
Reageerimine 47%
Taastamine 94%
Näide: infoturbe ja küberturvalisuse küpsustaseme hindamine

CISOaaS

Ülevaade
CISO (Chief Information Security Officer) ehk infoturbejuht on isik, kes vastutab ettevõtte või organisatsiooni infoturvalisuse juhtimise eest. CISO põhiülesandeks on infoturvalisuse kolme osaeesmärgi – käideldavuse, tervikluse ja konfidentsiaalsuse – tagamine.

Nende eesmärkide tagamiseks juhib CISO järjepidevalt tehniliste ja organisatoorsete kaitsemeetmete rakendamist ning nende toimise kontrollimist ettevõttes ning veendub, et meetmed vastaksid muutuva olukorra kontekstis parimatele infoturvalisuse põhimõtetele.

CISO on oluline lüli ettevõtte juhtkonna, IT juhi, füüsilise turvalisuse juhi, muude oluliste juhtide ning ka tehnilise personali vahel, omades ettevõtte väärtuslikemate andmete ja infovarade turvalisuse hetkeolukorrast parimat ülevaadet.


Loe lähemalt

Tehniline Testimine

KPMG Cyber pakub kriitiliste küberturvalisuse riskide maandamiseks erinevaid vajaduspõhiseid teenuseid (nt digitaalse jalajälje kaardistamine, veebirakenduste ja võrgu läbistustestid, õngituskampaaniad). Tulenevalt kliendi vajadustest, pakume ka erilahendusi ja integreeritud tuge (nt küberturvalisuse teenused kombineeritud õigusteenustega – sh kliendi esindamine kohtus).
Digitaalne jalajälg
Kaardistame klienti puudutava avalikult leitava info ja selgitame, kas ja milliseid küberturvalisuse riske see endas kätkeb. Teenus sobib lihtsamate äririskide tuvastamiseks ja ettevõtte küberturvalisuse taseme üldhinnangu andmiseks. Sobib ettevõtetele, kus on vaja juhtida inimestega seotud riske ja korrastada seotud IT protsesse. See on hea alguspunkt küberturvalisuse tagamiseks olukorras, kus varasem kogemus valdkonnaga on vähene.
Veebirakenduste turvatestimine
Suur osa ettevõtteid osutavad oma teenuseid täna läbi digitaalsete kanalite (äpid, veebirakendused, portaalid). Teenus aitab ettevõttel mõista riske seoses võimalike küberrünnakutega – mis juhtuks kui veebirakendust tabaks küberrünnak. Läbistustest aitab tuvastada, kas tundlikud andmed (kasutajte sisselogimise andmed, krediitkaardi andmed) võivad olla ligipääsetavad välistele osapooltele. Sobib ettevõtetele, kelle äri on enamuses digitaalne


Loe lähemalt
Õngitsus-kampaaniad
Iga süsteemi nõrgim osa on inimene. Suur osa küberturvalisuse intsidentidest saab alguse töötajate hooletusest või teadmiste vähesusest. Õngitsuskampaania käigus lepime kliendiga kokku segmendi, kelle teadmisi kampaania käigus soovitakse kontrollida ja parandada. Sobib ettevõttele, kus on asutud tõstma töötajate teadmiste taset seoses muutunud äriprotsessidega (nt teenuse osutamine digitaalsetes kanalites).
Võrgu läbistustestid
Võrgu läbistustestide läbiviimine aitab mõista, kas kliendiandmed on täna kaitstud ja kas müügiartiklid, hinnastamine ning nendega seotud andmebaasid on piisaval määral turvatud. Andmelekked on kõige suurimat kahju tekitavad küberintsidendid. Sobib ettevõtetele, kes tahavad vältida andmeriskidest tulenevaid kahjusid või näiteks laieneda välisriikidesse ning vajavad enne investeeringu pälvimist kindlustunnet.

Koolituste kalender

06
juuni
Pythoni programmeerimise algkursus
Pythoni programmeerimise algkursus on loodud Pythoni Instituudi poolt ja on teostatud OpenEDG Academy koolitusplatvormis. Algkursus sobib ilma Pythoni programmeerimise teadmisteta isikutele.
07
juuni
Häkkimise põhitõdede töötuba
Kursus on äärmiselt praktiline ning stsenaariumipõhine. Sobib ideaalselt küberturvalisuse spetsialistidele, kes soovivad mõista samm-sammult, kuidas IT-süsteemi nõrku kohti ära kasutada.
25
aug.
Õngitsuskoolitus organisatsioonidele
Kaasaegse, digitaalselt ümberkujundatud organisatsiooni jõudsale arengule kaasa aitamiseks pakub KPMG oskusteavet selle kohta, mida on õngitsusrünnakute puhul oodata ning kuidas ehitada üles vastumeetmeid ja vastupanuvõimelist organisatsiooni.
22
sept.
OSINT alused
Avalike allikatega jälitusteabe põhialused on ühepäevane süvakursus OSINT-i maailma. Kursusel näidatakse, kuidas häkkerid kasutavad avalikult saadaval olevat infot küberrünnaku planeerimiseks ja korraldamiseks.
18
okt.
Turvaline arendamine: häkkeritelt arendajatele
Turvaline arendamine: häkkeritelt arendajatele on ühepäevane süvakursus, kasutades CTF-i sarnast platvormi OWASP Dojo, mis aitab arendajatel sügavamalt mõista, kuidas häkkerid nende koodi murravad.
29
nov.
Veebirakenduste turvalisuse meistriklass
Õppige, kuidas oma süsteemi murda, et osata parandada selle turvalisust. KPMG küberturvalisuse eksperdid tutvustavad era- ja avaliku sektori organisatsioonides õpitut.

Paketid

KPMG Cyber pakub mitmest küberturvalisuse teenusest koosnevaid pakettlahendusi, mis on vajaduspõhised ja võimaldavad lahendada kompleksseid ärilisi väljakutseid. Paketid sobivad ettevõttele kui soovitakse tellida mitut erinevat teenust.
Küberturvalisuse
HR analüüs
HR analüüs keskendub küberturvalisuse nõrgima lüli hetketaseme kaardistamisele ja kompetentside tõstmisele.
7 päeva
Paketi koosseisu kuulub
  • õngituskampaania läbiviimine
    vastavalt ettevõtte soovidele ja spetsiifikale
  • kampaania tulemustel põhinev
    personalikoolitus.
Teenus sobib ettevõtetele, kus on lühikese aja jooksul olnud aktiivne värbamine. Või juhul kui võtmetöötajate kvalifikatsioon vajab< värskendamist.
Rohkem infot
Küberturvalisuse
ohuanalüüs
Ohuanalüüs on taktikaline ja tehniline
teenus, mis võimaldab ettevõttel saada
kiire ülevaade välistest ohtudest.
14 päeva
Selleks teostatakse:
  • avalikest allikatest kättesaadavate andmete analüüs
  • veebirakenduse läbistustest
  • tumeveebi tehingute monitooring
Ohuanalüüs sobib esitlemiseks investoritele raha tõstmisel või uutele turgudele laienemisel, kuid annab kindlustunnet ka ettevõttele juhtidele igapäevase töö planeerimisel.
Rohkem infot
Küberturvalisuse
küpsusanalüüs
Küpsusanalüüs on oma loomult
strateegilist sisendit pakkuv teenus.
28 päeva
Teenuse osutamise käigus teostatakse küberturvalisuse küpsustaseme analüüs (CMA) üldtuntud metoodikate (ISO/IEC 27000 seeria standardid,
CCS CSC, COBIT 5, ISKE) põhjal.

Täiendavalt viiakse läbi ka IT audit ja riskianalüüs.
Enim on teenusest kasu ettevõtetel, kes
soovivad läbi mõelda IT ja küberturvalisuse
valdkonna investeeringuid.
Rohkem infot

KPMG küberturvalisuse meeskond

KPMG Cyber Eesti meeskond on 20+ liikmeline kõrgelt haritud oma ala tippspetsialistidest koosnev meeskond.

Lisaks Eesti meeskonna kogemusepagasile, toetub KPMG Cyber Eesti meeskond tihedas koostöös nii Soome, Hollandi, UK, Rumeenia kui ka teiste riikide küberarenduskeskuste ning laiemalt kõigi 200 000 KPMG profesionaali kogemustepagasile, kokku 154 erinevast riigist.

Meeskonna liikmed on pikaajalise küberturvalisuse valdkonnas töötamise taustaga ja laialdase rahvusvahelise nõustamise kogemusega spetsialistid, omades erineval hulgal rahvusvaheliselt tunnustatud sertifikaate (OSCP, GWAPT, OSWP, CPTE, CRISC, GMOB, GPEN, CEH, CCNA, CISA, CISM, CISSP, GCCC, GSEC, CEE, Security+, NATO CSP).
Võta ühendust

Lähituleviku üks
suurimaid ärilisi väljakutseid on
küberturvalisuse tagamine.

Artiklid

Infoturvet saab kvaliteetsel tasemel tagada vaid pädeva infoturbejuhi eestvedamisel
Miks on infoturve oluline ning mis on selle peamine eesmärk ettevõtte tegevuste kontekstis?

Vastus ei ole keeruline – infoturve (ja turvalisus laiemalt) võimaldab ettevõttel jätkata oma põhitegevust olenemata katsetest ettevõtte väärtuslike andmeid varastada või muuta ettevõtte füüsilised ja tehnoloogilised varad kasutuskõlbmatuks.
Põhjused, miks ettevõtted on küberrünnakute vastu nii kaitsetud
KPMG viis 2022. aastal läbi küberturvalisuse uuringu Eesti suurimate ettevõtete juhtide ning lisaks ka eraldiseisvalt Eesti tervishoiusektori ettevõtete juhtide seas. Uuringust selgub, et poolte vastanute arvates on nende ettevõttes IT turvalisuse vallas asjad korras. Lähemal vaatlusel aga selgub, et tõde võib nii mõnegi ettevõtte puhul olla hoopis midagi muud. KPMG küberturvalisuse nõustaja Igmar Ilves selgitab, miks paljud ettevõtjad hindavad oma ettevõtte küberturvalisust ekslikult paremaks, kui see tegelikult on ja mis võivad sellise eksiarvamuse tagajärjed olla.
Infoturvalisusele ja selle juhtimisele peaksid mõtlema kõik ettevõtted olenemata suurusest
Infoturbejuht (ingl k Chief Information Security Officer ehk CISO) on ettevõttes isik, kes vastutab ettevõtte jaoks oluliste andmete turvalisuse eest. Lisaks IT-põhisele turvalisusele peab infoturbejuht tagama ettevõtte varade füüsilise kaitstuse (piirdeaedade rajamisest kuni tähtsate paberkandjal dokumentide turvalise hoiustamiseni), kaardistama infoturbealased riskid, mis võivad olulisel määral mõjutada ettevõtte põhitegevusi, ning looma süsteemse lähenemise infoturbe tagamiseks organisatsioonis läbi vastavate poliitikate ja protsesside.
Küberrünnakute valdkond on arenenud omaette ärisuunaks
„Iga niinimetatud lingilogistamine ja skännimine ei pruugi olla küberrünnakute osas kõige olulisem infokild. Küberrünnakud kui valdkond on arenenud ja muutunud üsna sarnaseks ärilise tegevusega, kus lunavaraga ründavad osapooled pakuvad kasutajatuge ja on ohvriga tihti aktiivses suhtluses, et tagada enda tasu kätte saamine,” selgitab KPMG Baltics OÜ küberturvalisuse teenuste juht Mihkel Kukk.Kui sageli arvavad pisemad ettevõtjad, et rünnatakse pigem suuremaid ning nende jaoks oht puudub, siis Kuke sõnul on see kindlasti eksiarvamus, millega ei maksa endale luua võltsturvalisuse tunnet.
Küberturvalisuse tagamine energiasektoris
Tänaseks on alles jäänud vähe neid ettevõtteid, kes pole vähemalt osa enda põhilistest äritoimingutest digitaalsesse maailma üle viinud. Tänu Interneti olemasolule on digitaalseid sõnumeid võimalik ühest maailma nurgast teise edastada kõigest mõne sekundiga, mis lihtsustab tunduvalt uute ideede levitamist üle maailma ning muudab miljonite inimeste ja ettevõttete igapäeva tegevusi lihtsamaks kui kunagi varem. Ka energiasektori ettevõtted pole siinkohal erand. Turvalisuse teemadel energiasektoris räägib lähemalt KPMG küberturvalisuse nõustaja Igmar Ilves.
Üle poole küberrünnakutest on suunatud väikeettevõtetele
Andmeleketest ja küberrünnakutest lugedes mõtlevad inimesed tihtipeale ainult suurte ettevõtete peale. Tundub justkui loogiline, et rünnatakse neid, kellel on on palju väärtuslikke andmeid. Tegelikkus on pisut teistsugune. “Väga levinud on seisukoht, et küberturvalisus on eksklusiivselt vaid suurettevõtete mure. Ei tajuta, et väiksemad ettevõtted ja startupid võivad olla kellegi sihikul,” sõnas KPMG uute ärisuundade juht Marek Mühlberg.
Kas sinu ettevõtte küberturvalisus on ikka tasemel ja riskid maandatud?
Sageli võib ettevõtte või organisatsiooni juhile tunduda, nagu oleks asutuse küberturvalisusega kõik nii nagu vaja. Paraku tuleb sageli halva üllatusena, et olukorda hinnatakse ekslikult paremaks, kui see tegelikult on. Et tänapäeval viiakse internetis erinevaid toiminguid läbi pea kõikides valdkondades ja ettevõtetes, tõuseb aina olulisemaks küsimus, kas kõik andmed on ikka võõraste silmade eest turvaliselt kaitstud
Kumba küberrünnakut soovite? Üks näitab vead ja turvaaugud, teine teeb ettevõte tühjaks
Tavaliselt on ettevõttel kaks võimalust sattuda küberrünnaku alla: ühel juhul antakse nõu, mis on firma ITs valesti, teisel juhul tehakse ettevõte lihtsalt tühjaks, kinnitab KPMG küberturvalisuse valdkonna juht Mihkel Kukk. Keskmiselt ulatub tuvastusperiood tema sõnul lausa aastani, mil ettevõte saab lõpuks aru, et oi-oi, keegi on meil siin sees käinud. Aastaga suudaks enamuse ettevõtteid üsna paljaks varastada, sõnab Kukk.
Tahad häkkida teiste firmade IT-süsteeme ning selle eest ka palka?

Häkkimine võib olla päris ja igati legaalne töö, mida "ohvrid" lausa ootavad. Nimelt aitab see neil paremini aru saada oma IT-süsteemide turvalisuse tasemest.

Häkkimise teenust pakub Eestis rohkem auditi-, maksu- ja ärinõustamise ettevõttena tuntud KPMG ning värbab selleks ka IT-asjatundjaid.
IT-juhtide uuring: COVID tõi 6-kuuga kaasa tehnoloogilise hüppe, mis oleks muidu võtnud aastaid

Igal aastal viib KPMG ülemaailmselt läbi uuringu erinevate ettevõtete IT-juhtide seas. Möödunud aastal keskendus uuring mõistagi suuresti sellele, kuidas COVID-19 ettevõtete käekäiku mõjutanud on ning millised on tänased digi- ja IT-alased väljakutsed.
Mihkel Kukk
KPMG Baltics OÜ
Narva mnt 5, Tallinn 10117, Estonia
Tel: +372 626 8700
@ 2022 KPMG BALTICS OÜ, EESTI OSAÜHING JA ŠVEITSI ÜHINGUGA KPMG INTERNATIONAL COOPERATIVE ("KPMG INTERNATIONAL") LEPINGULISELT
SEOTUD SÕLTUMATUTE ETTEVÕTJATE VÕRGUSTIKU LIIGE. KÕIK ÕIGUSED KAITSTUD.