IT-riskid on liiga paljudes ettevõtetes alahinnatud
Viirusetõrjeprogrammist ja muudest tehnilistelt lahendustes ainuüksi on vähe tolku, kui organisatsioonis puuduvad infoturbe eest vastutaja ja vajalik pädevus, et neid vahendeid rakendada ja kasutada. Kõige parem lahendus on vastava valdkonna juht, kel on kõik küberturbe arendamise volitused ja sellega kaasnev vastutus.
Väikesed ettevõtted, suur risk
Küberturbe planeerimisel tuleb esmalt vaadata, kui suur oleks küberrünnete mõju ettevõttele. Tuleb märkida, et valdav osa Eesti firmasid on väikesed või keskmise suurusega ja neist paljudes on IT-risk üllatuslikult kõrge. Kahjuks aktsepteeritakse seda, kas teadlikult või infopuuduse tõttu.Suured investeeringud küberturbesse ei ole alustava start-up'i prioriteet, kuna peamine panus on ärimudeli testimisel. Tihti alles otsitakse mudelit, kuidas äri toimiks, ning sellest tulenevalt on ka IT lahenduste pool kiirelt muutuv. Turvalisus tuleb tavaliselt teemaks siis, kui ettevõte on jõudnud raha kaasamise faasi ning on vaja investoritele anda kindlust, et tegu on tõsiseltvõetava äriga.
Kuid suurettevõtetes ning elutähtsates valdkondades, nagu tervishoid, kohalik omavalitsus, energiaettevõtted, finantssektor jt ei ole IT-risk sugugi vastuvõetav. Eriti problemaatiline on olukord tervishoius, kus küll mõistetakse küberturvalisuse tähtsust, kuid napp eelarve ei jäta sageli häid valikuid, kuna tervishoid on tõsiselt alarahastatud.
Olukorra tähtsust on mõistnud finantssektor. Kuna pangandus on muutunud peaaegu täielikult digitaalseks, siis finantssektor investeerib aktiivselt ka küberturbesse. Lisaks on karmistunud regulatsioonid, mis peegeldub ka andmete ja süsteemide suuremas kaitsmises. Kokkuvõttes aitab see kõik luua küberturvalisust, kuna sunnib ettevõtteid sellele rohkem mõtlema ning suunama sinna ka vajalike vahendeid.
IT-eelarve kulub suures osas endiselt rauale
Rahvusvaheliste suurfirmade kohalikes esindustes on IT-kultuurikihti rohkem, nii nagu ka traditsioonidega Eesti organisatsioonides (pangad, telekomid, aga ka riigisektor). Neil on rünnete või teiste intsidentide kogemus varasemast ajast olemas ja tihti on IT valdkonnaga tegelenud mitmed inimesed, kellest see kultuurikiht on tekkinud.Kultuurikiht on samas ka risk, kuna tehnoloogia vananeb tohutu kiirusega. Näiteks kui pangas kasutatakse mainframe-arvutit, mis teatud operatsioonides on küll vajalik, siis selle turvanõuded on jäänud minevikku.
Ka erafirmade eelarvetesse küberturvalisus tihtipeale ei mahu. Ettevõtetes on tavaline, et iga 3–5 aasta tagant vahetatakse välja sülearvutid, samuti teised kontoriseadmed. Sama intervalliga peaks värske pilguga üle vaatama ka turbelahendused, sest nende elutsükkel on erinev ning mõned neist võivad lootusetult ajale jalgu jääda.
Pikema aja jooksul on ka tavaline, et töös kasutatavad üldised IT-lahendused on muutunud. Näiteks on lisandunud pilve kasutamine ning siis peab ka turvalisuse pool ajaga kaasas käima ja uuenema. Nii välimised kui ka sisemised auditid aitavad üle vaadata, kas riskid on hallatud ning riskitase vastab ettevõttele aktsepteeritavale riskitasemele.
Mainekahjust taastumine võib olla aastatepikkune
Lisaks andmete kaotamisele või manipuleerimisele tuleb tegeleda ettevõtte mainekahjuga, mis automaatselt tekib rünnaku alla sattunule. Mida suurema haardega ettevõttega on tegemist, seda rohkem on maine ka löögi all. Piisab näiteks pangateenuste peatumisest tunniks-paariks, kui see võib mõjutada Eestis sadu tuhandeid kliente ning meediasse ilmuvad suured pealkirjad. Konkurentsitihedates sektorites osutub küberkaitse võimekus kaalukeeleks, kui kliendid teenuseid valivad.Ettevõtte valmisolekus mängib tähtsat rolli töötajate teadlikkus, et nad oleksid informeeritud ja oskaksid küberintsidentide puhul käituda. IT-turbel peab olema kriisijuhtumiteks oma „112“ ehk kuum liin, kuhu personal saab oma kahtlustest teateid jätta. Oluline on töötajatele südamele panna, et ohust peab teatama kohe, sest viivitatud päevade või nädalate hind võib olla väga kõrge.
Nii nagu riigikaitses on üha kriitilisem küberüksuste võimekus, tuleb sama põhimõtet järgida ka eraettevõtluses ja teistes asutustes.
Mihkel Kukk
Küberturvalisuse valdkonna juht
mihkelkukk@kpmg.com
+372 521 4332
Viimased artiklid
KPMG: vähesest küberturvalisusest on saanud viimase kümnendi suurim oht ettevõtetele
KPMG 2024. aasta ülemaailmne tippjuhtide uuring näitab, et tegevjuhid peavad küberturvalisust viim..
Küberturvalisuse ekspert Mihkel Kukk: endine töötaja kui IT-turvarisk
Kõik sai alguse ühest justkui tähtsusetuna tundunud juhtumist. Üks ettevõte oli lõpetamas oma eduk..
Varjatud eelised: välisaudit on IT-turvalisuse strateegiline võti
KPMG küberturvalisuse teenuste juht Mihkel Kukk kirjeldab oma mõne aasta tagust kohtumist ühel kü..
Miks küberturvalisuse due diligence on oluline ettevõtete ühinemisel ja ülevõtmisel?
Mõni aeg tagasi pöördus KPMG poole ettevõtte tegevjuht, kes oli hiljuti ostnud ..
Eesti küberturvalisuse tehnoloogiline baas on tugev, ent nõrgim lüli on inimene
Eestil on maailmas digitaalselt arenenud ja uuendusmeelse riigi maine, mille e-teenused, IT-lahend..
Ellujäämise kunst – ärijätkusuutlikkus muutuvas maailmas
Aasta on 2025. Elame ajastul, kus maailma stabiilsus kõigub igal sammul. Ühel h..
Muuda ohud võimalusteks
Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond!
Aitame luua vastupidava ja usaldusväärse digitaalse maailma,
isegi muutuvate ohtude korral.
KPMG Baltics OÜ
+372 626 8700cyber@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
Võta meiega ühendust
${i18n('ask_more')}
Töötajate teadlikkuse analüüs
Töötajate teadlikkuse analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.
${i18n('ask_more')}
Ohuanalüüs
Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.
${i18n('ask_more')}
Küpsusanalüüs
Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.