21.12 2020

Eesti ettevõtted on kaotanud küberpättidele sadu tuhandeid

Eesti ettevõtted on kaotanud küberpättidele sadu tuhandeid eurosid, kinnitab Balti regiooni ühe suurema küberturbeteenuseid pakkuva ettevõtte KPMG Baltics juhtimisnõustamise ja tehnoloogia valdkonna juht Tarmo Toiger. Meil on siin mõnel kliendil juhtunud, et nende tarnijate arvete tasumine läheb mitte nende klientide arvele, ja seda on ikka väga keeruline kätte saada, lisab ta põhjalikus intervjuus.

Tänavu on küberrünnakud kasvanud kaks korda mullusega võrreldes. Kas küberkuritegevus kui äri on tõusmas?

Kindlasti on küberrünnakud kasvav äri. Oleme aastaid olnud nii Eestis kui ka kogu Balti regioonis üks suuremaid küberturbeteenuseid pakkuv ettevõtte ja monitoorime seda igapäevaselt. Eriti kiiresti on kasvanud erinevad õngitsuskirjade rünnakud ja kahetsusväärselt on Eesti inimeste valmidus tunda ära õngitsemised väga madal.

Õngitsuskiri on sisult ja välimuselt sarnane lingiga e-kirjaga, millel võib olla mingit viirust või tarkvarajuppi sisaldav manus. Või siis on need õngitsuskirjad seotud erinevate arvetega, kuhu võidakse eksikombel raha saata. Kirjade hulk, kus püütakse saada kätte valearvetega raha, on hüppeliselt kasvanud viimase kaheteist kuu jooksul.

Inimene on üldiselt väga usaldav. Kui meie teeme küberründetreeninguid – eriti mis puudutab õngitsuskirjadega seotud treeninguid –, siis tõenäosus, et inimesed neid klikivad, on ikka väga-väga kõrge.

Kahetsusväärselt on Eesti inimeste valmidus tunda ära õngitsemised väga madal. Igast 3000st e-mailist üks on õngitsusmeil ja 65% tehtud rünnakutest õnnestub. Tõenäosus, et õngitsuskiri teid tabab, on väga suur.

Mis on olnud suurim kahju, mida teie firma klient on saanud?

Nad ei arvuta neid välja. Need väga konfidentsiaalsed. Aga, kui me räägime nädalast või paarist, kus sa ei saa äri teha, siis on see väga suur kulu. Aga veel hullem on see, mis meil on siin mõnel kliendil juhtunud, et nende tarnijate arvete tasumine läheb mitte nende klientide arvele, vaid need lähevad küberpättide arvele ja siis me räägime ikka kümnetest ja sadadest tuhandetest eurodest. Ja seda on ikka väga keeruline kätte saada.

Küberkuritegevus kui äri – kas seal taga on tänapäevases mõistes maffia või kuidas see on üles ehitatud?

Seal taga on kurjategijate võrgustikud. Kas see just maffia on, aga kurjategijate võrgustikud küll. Ja need, kes tegelevad andmeleketega ja ligipääsude õngitsemisega, pole sageli need, kes lõppkokkuvõttes saavad selle suurima kasu. Sissepääsuõigusi või paroole ja kasutajanimesid müüakse edasi nendele võrgustikele, kes siis lõppkokkuvõttes saavad suurima kasu. Häkkerid ise ei pruugi olla üldse need, kes selle kõige suurema kasu sealt ka välja võtavad.

Kus need lõplikud kasusaajad istuvad? Mis riikides?

Ma julgen arvata, et neid on tegelikult kõikides riikides ja kui ma ei eksi, siis ka Eestis on juba välja antud mõned Ameerika Ühendriikidele, kes on siin toimetanud. Kahjukannatajad on valdavalt olnud kas Euroopas või Ameerikas.

Väidetakse, et Põhja-Korea häkkerid tegelikult finantseerivad osaliselt oma riiki sellega. Julgeolekuasutused nagu Interpol püüavad neid võrgustikke. Aga küsimusi on jah tekkinud, et kas mõned võrgustikud on riiklikult initsieeritud või saanud nn riikliku toe selleks, et teatud tegevusi teostada.

Mõnedel puhkudel on hüpotees, et Põhja-Koreas, Iraanis ja Venemaal on need raha püüdvad võrgustikud riigi poolt initsieeritud. Igast 3000st e-mailist üks on õngitsusmeil ja 65% tehtud rünnakutest õnnestub. Tõenäosus, et õngitsuskiri teid tabab, on väga suur.

Kas teil on selle teema osas soovitusi?

Üks kindel soovitus on see, et tehke oma inimestele koolitusi infoturbe ja küberteadlikkuse vallas. See on kõige kiirem ja odavam viis seda riski juhtida. Loomulikult, kui on keerulised infosüsteemid, siis neid tuleb ka testida, teha infoturbe- ja ründeteste, aga koolitada tuleb iga päev oma inimesi.

Kas teie ka koolitate KPMGs? Kui suur on teie iga-aastane inimeste koolituseelarve?

Loomulikult koolitame. Meil on arvestatav koolituseelarve – 1000-2000 eurot iga inimese peale.

Olete öelnud, et väärtust luuakse kontoris, aga kui suurt täpselt, oleneb sellest, kas tehakse tarka või lolli tööd. Kuidas lolli töö osakaalu vähendada? Ja kuidas vähendada rutiinset käsitööd?

Eesti ettevõtete üldine kontoritöö automatiseerituse tase on madal. Põhjus on selles, et valdav osa ettevõtteid on tegelikult suhteliselt väikesed ja nad ei suuda olemasolevaid tarkvarasid ja infosüsteeme endale hankida ja siis nad paljuski toetuvad inimeste käsitööle.

Kui meil inimesi niikuinii vähe on ja neid ei tule Eestis ka juurde, siis kuidas sa neid väheseid inimesi kasutad. Rumala töö peale neid inimesi kasutada on ikka väga väär.

Mu näide on seotud sellise suhteliselt tüütu käsitsi tegemisega nagu näiteks mingid baasinfosüsteemid ja selle andmete ühest tabelist teise tõstmine, kompileerimine, saatmine ja kontrollimine. Tehakse käsitsi selliseid rutiinseid tegevusi, mille tarbeks tegelikult inimest ei ole vaja, vaid selle jaoks on olemas sellised lihtsalt kontorirobotid, mis teevad need rutiinsed tegevused inimeste eest ära.

Seal on veel teine olulisem, moraalsem ja eetilisem küsimus, et kui meil inimesi niikuinii vähe on ja neid ei tule Eestis ka juurde, siis kuidas sa neid väheseid inimesi kasutad. Rumala töö peale neid inimesi kasutada on ikka väga väär.

Tehnoloogia on täna ikka muutunud niivõrd kättesaadavaks, et seda tuleks rakendada ja ma ei räägi siin sellisest suurtest investeeringutest infotehnoloogiasse, vaid ma räägin väikestest koodijuppidest, mida on võimalik väga kiiresti ja paindlikult juurutada.

Kui palju maksab keskmise suurusega ettevõtte jaoks Exceli-tabelite liigutamiseks koodijupi juurutamine, et enam ei pea üks inimene käsitsi mingeid tabeleid kokku tõstma?

Räägime siin kontoritest, kus on 30-50 inimest tööl. Oma kogemuse pealt võin öelda, et kui seal kolme kuni kuue kuu jooksul juurutada robotite tööd, siis hoiame kokku 3-5 n-ö agregeeritud täistööajaga töökohta. Mitte otseselt konkreetset töökohta, aga protsesse, mida suudame robotiseerida.

Kulu selles osas on igal aastal 2000-3000 eurot püsivaid litsentsitasusid ja ühekordne juurutamisele minev summa 20 000-30 000 eurot. Aga kui see hoiab kokku 4-5 töökohta, siis see tuleb juba ühe aastaga tagasi: konservatiivselt hinnates, et üks täistööajaga töökoht maksab 15 000 eurot aastas ja korrutada see viiega. Siis on firmal tasuvus tasa juba ühe aastaga, sest hoiab kokku 60 000-75 000 eurot.

Küsimus on pigem selles, kas oleme valmis organisatsiooni läbipaistvaks muutma ja sellesse investeerima. Ja need süsteemid on tõesti lihtsamat sorti kontoritarkvara laadsed platvormid, millega saab tavainimene hakkama, kui teda veidi koolitada.

Nimetage mõned lihtsamad platvormid, mida soovitaksite kasutada?

Soovitame klientidel kontorirobotite kiireks loomiseks kasutada platvorme Blueprism või UI Path, mida me ise klientide juures juurutame. Esimene on finantssektoris rohkem kasutatav, teine on pigem tavakontorites ja tootmises kasutatav, aga just kontori poole peal.

Miks Eestist räägitakse, et meie IT-firmad on väga heal tehnoloogilisel tasemel, aga tööstused, kaubandus- ja ehitusfirmad on kehval tasemel?

See on seotud otseselt firmade iseseisva investeerimisvõimekusega. Kõige tavapärasem on, et lahendatakse ära raamatupidamise ja siis ka laosüsteemide automatiseerimine. Aga mis puudutab müügijuhtimissüsteeme ja tootmisjuhtimissüsteeme, mis toovad erinevatest allikatest infot kokku, siis neid on pigem vähe juurutatud. Ja see on täitsa mõistetav, sest et meie ettevõtete marginaalid on ju keskmiselt suhteliselt madalad.

Mis nad on keskmiselt?

Ei saa öelda, mis nad konkreetselt on, aga kui ma vaatan oma klientide seas ja võrdlen mõne tootmisettevõtte marginaale näiteks Põhjamaade marginaalidega, siis Põhjamaades on kulud kõrgemad ja marginaalid ka.

Mis on siis Eesti ja Soome tootmisettevõtte marginaali vahe?

Isegi 15-20 protsendipunkti. Ja kui me paneme selle nüüd investeerimise keelde, siis tegelikult jääb väga vähe raha järgi Eesti firmal selleks, et teha täiendavaid investeeringuid ja täiustusi. Loomulikult võib seda alati ka ju laenurahaga teha, aga kõike ei soovita laenurahaga teha.

Millest siis tuleks Eesti firmadel alustada?

Optimeerida. Inimene ei taha kunagi seda rolli, et teha rumalat tööd – käsitsi rutiinseid tegevusi. Kõik inimesed on väga väärtuslikud, ükskõik milline ta haridustase on ja kõik tuleb panna tegema kallimat tööd. See on väga konkreetne soovitus. Kui me räägime kontori tegevuse optimeerimisest, siis tuleks vaadata konkreetselt neid samme ja tegevusi, mis ütleb, kuhu aeg kaob.

Kui sul on kontoris arvestatav hulk inimesi, siis esimene asi on ikkagi mõista, millised on need reaalsed tegevused, mida need inimesed igapäevaselt teevad, muuta see läbipaistvaks. Ja püüda leida protsesse, kus tehakse käsitsi ja korduvalt. Sinna on võimalik leida asendusi, mis ei ole teab mis kallis, tänapäeval sa ei pea tegema ülisuuri investeeringuid selleks, et sealt tegelikult see kasu kätte saada.

Kas esimese asjana tuleb teha nii-öelda töökohapõhine analüüs?

Jah, kaardistada see, mida inimesed teevad. Tegevused, mis on väga paindlikkust eeldavad, sinna robot loomulikult ei sobi, kui inimene peab tegema inimene iga kord eritüübilisi otsuseid. No näiteks artiklite kirjutamine, sa kogu aeg kirjutad, aga tekst on alati erinev. Ja sinna robotit arvatavasti veel panna ei saa.

Kas robotite juurutamine kahe kuuga on teie reaalne võimekus? Jah, kahe-kolme kuuga on võimalik algusest lõpuni teatud protsessid automatiseerida ja tulusus on väga kiire. Firma saab selle raha tagasi väga kiiresti.

Mis tüüpi need kontoritööd on, kus kõige rohkem leiab kohti optimeerimiseks?

Näiteks üleandmised ja vastuvõtmised. Ja siis on sellisteks ametikohtades raamatupidajad, finantsjuhid, ostujuhid, hankijad ja seda nii B2C kui ka B2B valdkonnas. Ja sinna hulka kuuluvad veel müügimehed, kes sageli teevad päris palju rutiinseid tegevusi.

Kuidas saab müügimeeste rutiinseid tegevusi optimeerida?

Müügimehed panevad kokku erineva info pealt aruandeid käsitsi, sageli ei tule need süsteemist, aga need aruanded on suhteliselt korduvad nädalast nädalasse. See on üks kohti ja teine koht on see, et genereerida erinevaid vastuskirju klientidele päringutele, mis on suhteliselt standardsed, näiteks viisakuskirjad.

Kuni selleni välja, et on võimalik tekitada väike tekstituvastus, kust on võimalik automaatselt välja lugeda põhjus ja siis sinna saata eritüübiline vastus, mis hoiab selle müügiinimese aega ikka arvestatavalt kokku. Osades kirjades on muidugi vaja oma käsi sees hoida, nagu artikli kirjutamiseski. Seda ei saa automatiseerida, sest iga kord on erinev artikkel.

Stanfordi ülikooli uuring näitas, et kodukontor võib-olla tavalisest büroost 12-13 protsenti tootlikum ehk siis põhimõtteliselt inimene kodus teeks võib-olla firma jaoks ühe kuu aastas rohkem tööd kui tavalises kontoris.

Praegusel ajal töötavad inimesed rohkem kodukontorites. Rääkisite ühest Stanfordi ülikooli uuringust, kust selgus, et kodukontor on üks väga tootlik koht – efektiivsus on isegi suurem kui tavapärases büroos?

Jah, kodukontor võib-olla tavalisest büroost 12-13 protsenti tootlikum ehk siis põhimõtteliselt inimene kodus teeks võib-olla firma jaoks ühe kuu aastas rohkem tööd kui tavalises kontoris. See uuring oli tehtud enne koroonat ning eksperimendis osales üks suur rahvusvaheline Aasia ettevõte, millel on ülemaailmne kontorite võrgustik.

Tähelepanuväärne oli see, et kaasatud olid erinevad kultuurid ja riigid, aga ikkagi ei saa seda võtta must-valgena, et see tähendab nüüd, et kõik inimesed, kes lähevad kodukontorisse tööle, on 13% tootlikumad.

Asi on tegelikult selles, et ka tavakontoris töötavad väga eritüübilised inimesed ja osad neist soovivad olla ligilähedaselt sada protsenti kodukontoris ja seal nad saavutavad efektiivsuse 110%. Aga osad inimesed soovivad olla tavakontoris kolm-neli päeva nädalas ja üks-kaks päeva nädalas kodukontoris. Tahan öelda, et kodukontori rakendamine ei ole null või üks. Ta sõltub väga paljuski nendest konkreetsetest inimestest.

Üks asi, mis sellest uuringust veel välja tuli, oli see, et inimesed leidsid, et kodukontoris on neil palju vähem segajaid. Aga distsipliin on oluline nii kodu- kui ka tavakontoris. Tavakontoris võib olla samamoodi rohkem häirimisi – sul on seal kolleegid jutustamas, köögist võib tulla lõhnu, mida sa lähed vaatama või kohviaparaadi juurde vestlema. See on ikkagi väga paljuski igas inimeses endas kinni.

Ja mis selles uuringus välja tuli, et väga oluline on tulemuste analüüs, mitte tundide lugemine. Tunnid on selgelt vähem tähtsamad kui konkreetse töö tulemus.

Tegeleme ise päris palju tarkvaraarendajatega ja püüame seda poolt mõista ning hinnata erinevate investeeringute tasuvusi. Tarkvaraarenduses võib olla ühe nn kodeerija töö tootlikkuse vahe kümnekordne. Aga samas on sul kõiki neid erineva tootlikkusega arendajaid vaja. Kõik inimesed ei ole samaväärselt tootlikud. Aga kui me nüüd sunnime nad kõik ühel moel töötama, siis me kindlasti langetame, mitte ei tõsta tootlikkust.

Kas seal uuringus käsitleti, kuidas peab olema töö organiseeritud, et inimene oleks kodus tootlikum?

Paindlikkus on üks asi, mis tasub välja tuua sellest uuringust. Näiteks, kuidas jaotatakse seesama kaheksa või kümme tundi tööaega – on väga erinev. Osad alustavad väga vara, teevad siis kaks tundi väga vara hommikul, enne kui teised alustavad, siis ta teeb paar tundi enne lõunat, siis ta teeb paar tundi peale lõunat ja siis ta läheb õhtul veel paar tundi, aga see jaotub ära tegelikult palju pikema aja peale, nt kuueteistkümne tunni peale.

Aga mõni teeb ühel päeval kuusteist tundi, teisel päeval kaks tundi. Ehk siis – seda tundide jaotust sellisel kujul nagu Henry Ford seda mõtles, kui ta autotööstust automatiseeris ja lõi nagu tänapäevase autotööstuse, siis see ei ole see, mida peame täna teenusmajanduses rakendama.

Kas peavad väga kindlalt paigas olema lühiajalised ja pikaajalised eesmärgid?

Mina läheks veel spetsiifilisemaks ja ütleks, et paika tuleks panna töö eesmärgid nädalaste tsüklite kaupa ja seda suudavad ka inimesed ise päris hästi juhtida – mida ta peab nädalaga ära tegema ja oma tähelepanu suunata sinna.

Suured aastased eesmärgid on üksikisiku tasemel täiesti ebamõistlikud. Jah, me peame finantstasemel seda mõõtma aasta kaupa, aga mitte inimese tasemel. Et ühte konkreetset inimest hoida edukana ja motiveerituna, siis nädalane tsükkel on hallatav ja siis tuleks ka igal nädalal vähemalt paarkümmend minutit oma inimestega eesmärkidest ja tegemistest rääkida.

Teenusmajandus on Eestis juba mitu korda suurem kui tootmismajandus, kuidas see on juhtunud?

See on trend kogu maailmas. Kõigis arenenud majandustega riikides – ja Eesti on ka kindlasti arenenud majandusega riik – on teenusmajandus oluliselt suurem kui tootmismajandus ja see trend on süvenev.

Kui me tahame hoida seda tootmismajandust, mis meil praegu on, siis peab ka tootmismajanduse automatiseerituse tase hüppeliselt kasvama. Tootmismajandusel ei ole enam seda väga olulist mõju tööhõivele, mis tal oli 30 või 50 või 100 aastat tagasi. Aga tal on väga oluline roll ekspordi vaates ja just sellest vaates, et Eesti oleks üldises mõistes konkurentsivõimeline.

Kas teenusmajandust saab sektoriteks lahti lüüa, et kui kiiresti on näiteks kasvanud pangandusteenused või IT-teenused? Või mis teenused on kõige kiiremini kasvanud?

Kui me mõtleme seda lisandväärtuse mõistes, et kus meil tegelikult rikkus tekib, siis ilmselgelt väga suur rikkuse osakaal on tekkinud meil telekommunikatsioonis ja ITs.

IT-l on olnud väga oluline roll ka teiste teenusmajandusvaldkondade kasvus, sest ta on kas taaskäivitanud või aidanud kasvada ka teistel sektoritel. Küsimus ei ole mitte IT-sektor kui selline, kui palju tema enda mõju on, vaid ka tema mõju siis kohapealsetele teistele sektoritele. Lisaks erasektorile näiteks ka riiklik sektor nagu meditsiin ja haridus.

Eestis on kaalutud muuta kõrgharidus tasuliseks. Kas see võiks tähendada ka selle teenusmajanduse haru lisandväärtuse kasvu?

Ei oska öelda, kas lisandväärtus sellest kasvab, sest seal võib-olla ka avalduda ühendatud anumate efekt. Võib-olla on see lihtsalt raha ümberjagamine, aga sellel on muud põhjused. Põhjus on kindlasti tegelikult sama kui meditsiinis – ollakse puudujäägis. Riik ei suuda seda teenust ennast või teenuseid, mida seal sees pakutakse, finantseerida ja kui hinda tõsta, siis ei jõua need teenused enam kõikide elanikeni.

Tegelikult on eesti meditsiin täna väga heal tasemel ja laialdaste gruppideni jõudev teenus, aga meie kõrghariduses need näitajad kindlasti nii head ei ole. Meie ülikoolide tase on siiski oluliselt kehvem kui Põhjamaades. Eriti mis puudutab teadusülikoole.

Üks põhjus näiteks hariduse teenusmajanduse madalas tasemes on kindlasti finantseeritusse tase. Eesti teadus- ja arendustegevuse maht SKPst on liiga madal võrreldes Põhjamaadega. Mul on hüpotees, kui palju inimesed tegelikult väärtustavad kõrgharidust – intuitiivselt mõtleme, et nad väärtustavad, aga tegelikult see raha ei jõua sellesse kõrgharidussüsteemi sellisel määral, millisel moel ta mujal jõuab.

Allikas: ITuudised

Tarmo Toiger

Partner, juhtimisnõustamise ja tehnoloogia valdkonna juht
ttoiger@kpmg.com
+3725032260

KPMG ekspert: kõige kiiremini tasub ära rutiine automatiseeriv AI-rakendus

Tehisintellekti rakendades toovad kõige kiiremini kulutused tagasi rahaliselt suure mõjuga lahendu..

KPMG ekspert: paljudel puudub arusaam küberturbest, riigi toetus on mõistlik ära kasutada

Kiirelt tegutsedes võivad Eesti ettevõtted tõsta oma küberturvalisuse taset, kasutades EASi kaud..

KPMG IT-ekspert: praktikust koolitaja teeb koolituse põnevaks ja kasulikuks

IT- või küberturbe koolituse muudab põnevaks praktikust koolitaja, kes saab jagada oma elulisi n..

Ettevõtetel on viimane võimalus taotleda küberturvalisuse toetust

Riigi Infosüsteemi Amet ja EAS/Kredex jagavad jätkuvalt küberturvalisuse taseme kaardistamise ja t..

küberturvalisus

Partnerite nõrkus mõjutab ka teie kaitstust

Küberkaitset planeerides tuleb arvestada, et koostööpartnerite nõrkus võib otseselt mõjutada ka te..

küberturvalisus

Küberrünnakute sagenemine on pannud tegutsema ka Euroopa Keskpanga

Küberrünnakute keerukuse ja sageduse suurenemine kujutab endast kogu Euroopas kriitilist ohtu fina..

küberrünnak

Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond! 
Aitame luua vastupidava ja usaldusväärse digitaalse maailma, 
isegi muutuvate ohtude korral.

KPMG Baltics OÜ

+372 626 8700
cyber@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
${item.title}
KPMG Baltics KPMG Küberaudit KPMG Global Privaatsuspoliitika
Email again:

Töötajate teadlikkuse analüüs

Töötajate teadlikkuse analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.

Email again:

Ohuanalüüs

Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.

Email again:

Küpsusanalüüs

Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.

Email again: