IT-riskid on liiga paljudes ettevõtetes alahinnatud
Viirusetõrjeprogrammist ja muudest tehnilistelt lahendustes ainuüksi on vähe tolku, kui organisatsioonis puuduvad infoturbe eest vastutaja ja vajalik pädevus, et neid vahendeid rakendada ja kasutada. Kõige parem lahendus on vastava valdkonna juht, kel on kõik küberturbe arendamise volitused ja sellega kaasnev vastutus.
Väikesed ettevõtted, suur risk
Küberturbe planeerimisel tuleb esmalt vaadata, kui suur oleks küberrünnete mõju ettevõttele. Tuleb märkida, et valdav osa Eesti firmasid on väikesed või keskmise suurusega ja neist paljudes on IT-risk üllatuslikult kõrge. Kahjuks aktsepteeritakse seda, kas teadlikult või infopuuduse tõttu.Suured investeeringud küberturbesse ei ole alustava start-up'i prioriteet, kuna peamine panus on ärimudeli testimisel. Tihti alles otsitakse mudelit, kuidas äri toimiks, ning sellest tulenevalt on ka IT lahenduste pool kiirelt muutuv. Turvalisus tuleb tavaliselt teemaks siis, kui ettevõte on jõudnud raha kaasamise faasi ning on vaja investoritele anda kindlust, et tegu on tõsiseltvõetava äriga.
Kuid suurettevõtetes ning elutähtsates valdkondades, nagu tervishoid, kohalik omavalitsus, energiaettevõtted, finantssektor jt ei ole IT-risk sugugi vastuvõetav. Eriti problemaatiline on olukord tervishoius, kus küll mõistetakse küberturvalisuse tähtsust, kuid napp eelarve ei jäta sageli häid valikuid, kuna tervishoid on tõsiselt alarahastatud.
Olukorra tähtsust on mõistnud finantssektor. Kuna pangandus on muutunud peaaegu täielikult digitaalseks, siis finantssektor investeerib aktiivselt ka küberturbesse. Lisaks on karmistunud regulatsioonid, mis peegeldub ka andmete ja süsteemide suuremas kaitsmises. Kokkuvõttes aitab see kõik luua küberturvalisust, kuna sunnib ettevõtteid sellele rohkem mõtlema ning suunama sinna ka vajalike vahendeid.
IT-eelarve kulub suures osas endiselt rauale
Rahvusvaheliste suurfirmade kohalikes esindustes on IT-kultuurikihti rohkem, nii nagu ka traditsioonidega Eesti organisatsioonides (pangad, telekomid, aga ka riigisektor). Neil on rünnete või teiste intsidentide kogemus varasemast ajast olemas ja tihti on IT valdkonnaga tegelenud mitmed inimesed, kellest see kultuurikiht on tekkinud.Kultuurikiht on samas ka risk, kuna tehnoloogia vananeb tohutu kiirusega. Näiteks kui pangas kasutatakse mainframe-arvutit, mis teatud operatsioonides on küll vajalik, siis selle turvanõuded on jäänud minevikku.
Ka erafirmade eelarvetesse küberturvalisus tihtipeale ei mahu. Ettevõtetes on tavaline, et iga 3–5 aasta tagant vahetatakse välja sülearvutid, samuti teised kontoriseadmed. Sama intervalliga peaks värske pilguga üle vaatama ka turbelahendused, sest nende elutsükkel on erinev ning mõned neist võivad lootusetult ajale jalgu jääda.
Pikema aja jooksul on ka tavaline, et töös kasutatavad üldised IT-lahendused on muutunud. Näiteks on lisandunud pilve kasutamine ning siis peab ka turvalisuse pool ajaga kaasas käima ja uuenema. Nii välimised kui ka sisemised auditid aitavad üle vaadata, kas riskid on hallatud ning riskitase vastab ettevõttele aktsepteeritavale riskitasemele.
Mainekahjust taastumine võib olla aastatepikkune
Lisaks andmete kaotamisele või manipuleerimisele tuleb tegeleda ettevõtte mainekahjuga, mis automaatselt tekib rünnaku alla sattunule. Mida suurema haardega ettevõttega on tegemist, seda rohkem on maine ka löögi all. Piisab näiteks pangateenuste peatumisest tunniks-paariks, kui see võib mõjutada Eestis sadu tuhandeid kliente ning meediasse ilmuvad suured pealkirjad. Konkurentsitihedates sektorites osutub küberkaitse võimekus kaalukeeleks, kui kliendid teenuseid valivad.Ettevõtte valmisolekus mängib tähtsat rolli töötajate teadlikkus, et nad oleksid informeeritud ja oskaksid küberintsidentide puhul käituda. IT-turbel peab olema kriisijuhtumiteks oma „112“ ehk kuum liin, kuhu personal saab oma kahtlustest teateid jätta. Oluline on töötajatele südamele panna, et ohust peab teatama kohe, sest viivitatud päevade või nädalate hind võib olla väga kõrge.
Nii nagu riigikaitses on üha kriitilisem küberüksuste võimekus, tuleb sama põhimõtet järgida ka eraettevõtluses ja teistes asutustes.
Mihkel Kukk
Küberturvalisuse valdkonna juht
mihkelkukk@kpmg.com
+372 521 4332
Viimased artiklid
Ettevõtet ei saa osta eelneva IT-auditita
Majanduses on käes heitlikud ajad, mis toovad alati kaasa ettevõtete oste ja müüke. Ühtedele annav..
Kuidas olla valmis küberintsidendi seljatamiseks
Küberintsidentide puhul pole ammu enam küsimus selles, kas need toimuvad, vaid millal need toimuva..
EAS/Kredex laiendas ettevõtete ringi, kes saavad küberpöörde esimese ja teise tegevussuuna toetust taotleda
Nüüdsest saab tunduvalt suurem ring ettevõtteid läbi EAS/Kredexi küberturvalisuse taseme kaardista..
KPMG küberturvalisuse ekspert: infoturbejuhtide roll äritegevuse ja infoturbe eesmärkide ühendamisel on märkimisväärne
Infoturbega mittetegelemist ei tuleks vaadata IT-riskina, vaid eeskätt strateegilisel tasemel äril..
KPMG: tehisintellekt arsti ei asenda
KPMG küberturvalisuse teenuste juht Mihkel Kukk leiab, et tehisintellekt ei saa tervishoius asenda..
Muuda ohud võimalusteks
Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond!
Aitame luua vastupidava ja usaldusväärse digitaalse maailma,
isegi muutuvate ohtude korral.
KPMG Baltics OÜ
+372 626 8700cyber@kpmg.ee
Narva mnt 5, 10117 Tallinn, Estonia
Võta meiega ühendust
${i18n('ask_more')}
HR analüüs
HR analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.
${i18n('ask_more')}
Ohuanalüüs
Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.
${i18n('ask_more')}
Küpsusanalüüs
Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.