küberturvalisus
16.05 2022

KPMG ülevaade küberturvalisusest 2022. aastal

Nüüd, kus oleme jõudnud aastasse 2022, on nii organisatsioonide kui ka inimeste jaoks äärmiselt oluline uuesti analüüsida praegust tehnoloogilist konteksti, pidades eelkõige silmas küberturvalisust. KPMG aruande CEO Outlook andmetel usub 75% ettevõtete tegevjuhtidest, et tugev kübarturvalisuse strateegia on peamiste sidusrühmade usalduse võitmiseks kriitilise tähtsusega. Küberturvalisuse valdkond areneb pidevalt, mis toob kaasa nii probleeme kui ka võimalusi. KPMG on analüüsinud küberturvalisuse maastikku ja avaldanud aruande „Ülevaade küberturvalisusest 2022. aastal: turvalisus loob usaldust“, kus on käsitletud kaheksat peamist teemat, millele ettevõtete infoturbejuhid peaksid 2022. aastal mõtlema. Enne teemadest üksikasjalikuma ülevaadet tuleb kindlasti rõhutada, et infoturbejuhid peaksid muutma oma mõtteviisi üldiselt. Nad peaksid olema organisatsioonis pigem innustavad mõjuisikud kui reeglite ja meetmete jõustajad. Inspiratsioon on pikemas perspektiivis sageli tõhusam motivaator kui sund. See põhimõte kehtib ka küberturvalisuse kohta. Infoturbejuhid peaksid kolleege pigem mõjutama ja innustama kui neile ütlema, mida nad teha tohivad ja mida mitte.

Kaheksa küberturvalisuse teemat 2022. aastal

Strateegiline üleminek

Tänapäeval puudutab ja mõjutab küberturvalisus iga tehnoloogiaettevõtte tegevuse peaaegu kõiki tahke. Küberturvalisus ei ole enam valdkond, millega tegelevad ainult turva- ja IT-töötajad. Seepärast tuleb mõista, et küberturvalisuse eest ei vastuta enam üksnes IT-spetsialistid, vaid kogu ettevõte ühiselt. Infoturbejuht peab täitma mitut rolli ja suutma viia ettevõtte äristrateegia kooskõlla küberstrateegiaga. Seega on äärmisel tähtis, et küberturvalisus oleks lõimitud äriprotsessi. Infoturbejuhid peavad aitama ettevõtte juhtkonnal sellise ülemineku võimalikuks teha.

X-faktor: kriitilised võimed ja oskused

Juba enne COVIDit muutus järjest olulisemaks turulejõudmise kiirus, millega peab kaasas käima kõigi asjassepuutuvate riskide analüüs, ning koroonakriisiga on need vajadused veelgi teravamalt esile tõusnud. Praegu valitseb suur puudus võimekatest küberturbespetsialistidest. KPMG soovitab selle lünga täitmiseks otsida alternatiivseid lahendusi näiteks vabakutseliste kaasamise ja küberturvalisuse toimingute automatiseerimisega. Peale selle julgustatakse infoturbejuhte vaatama talendiotsingul laiemalt ringi ning kõrvaldama sisenemistõkked, et meelitada valdkonda suuremal arvul võimekaid töötajaid.

Turvalisuse kohandamine pilve jaoks

Küberturvalisuse maastikku on muutnud ka see, et jõudsalt kasvab pilveteenustele üle minevate organisatsioonide arv. Tavapärase küberturvalisuse tagamiseks vajalikud protsessid ja oskused ei tarvitse pilvekeskonnas enam sobida. KPMG aruandest ilmneb, et 90% organisatsioonidest võivad olla haavatavad pilveteenuse väärast konfigureerimisest tulenevate turvaohtude ees. Infoturbejuhid peavad aitama oma tiimil mõista konkreetselt pilvega seotud küberturvalisuse nõudeid ja kohandada küberkaitset pilveteenustega. Seejuures tuleks lähtuda reguleerivast raamistikust ja võtta arvesse seda, kuidas mõjutavad pilve turvalisust sellised õigusaktid nagu isikuandmete kaitse üldmäärus ja USA terviseandmete kaitse seadus HIPAA.

Täisusaldamatuse mudeli aluseks on identiteedihaldus

Ajal, kui miljonid töötajad on läinud üle kaugtööle ja inimesed ostavad oma telefoniga kaupu igast maailma nurgast, muutub äriprotsessides järjest tähtsamaks identiteedihaldus ja nn täisusaldamatuse (ingl zero trust) turvamudeli kasutamine. Täisusaldamatuse mudelit ei tuleks enam vaadelda tehnoloogiana või lisafunktsioonina, vaid pigem turvastandardina, mille kõik infoturbejuhid peaksid kasutusele võtma. Iga sellise mudeli keskseks komponendiks peab olema identiteedihaldus.

Turvasüsteemide automatiseerimine

Automatiseerimine aitab sageli vabastada ressursse, mida võiks rakendada paremini kui monotoonsete ja korduvate ülesannete täitmiseks. See peab paika ka küberturvalisuse valdkonnas, kus selliseid toiminguid nagu nõrkuseotsing, logianalüüs ja vastavuskontroll tehakse automaatselt. Nii saavad võimekad infoturbespetsialistid keskenduda tõeliselt kriitilise tähtsusega olukordadele ning ei pea kulutama aega madalama tasandi ohtudele, mida saab hallata ka automatiseeritult. Infoturbejuhte innustatakse automatiseerimist täiel määral ära kasutama.

Privaatsus

Praegu käsitatakse küberturvalisust ja privaatsust eri valdkondadena, mis tihti toimivad üksteisest lahus. Kuna teadlikkus isikuandmete kaitsest ja selle tähtsusest aga järjest kasvab, suureneb ka vajadus suhtuda privaatsusesse mitte kui eraldiseisvasse õigusharusse, vaid kui mitut valdkonda ühendavasse funktsiooni. Kui ettevõtted rakendavad oma tegevuses lõimprivaatsuse põhimõtet, peaksid andmekaitseküsimused olema küberturvalisuse süsteemidega tihedalt läbi põimunud.

Turvalisus, mis ulatub ettevõtte piiridest kaugemale

Tänapäeval sõltuvad ettevõtted sageli tarneahelate usaldusväärsusest ja mitmest äripartnerist. Selliste sõltuvuste tulemusena on 79% küberturbe tiimidest mõistnud, et äripartneri ökosüsteemi ja tarneahela kaitsmine on sama oluline kui ettevõtte enda küberkaitsesüsteemide loomine. Seetõttu on kujunenud võrgustikud ettevõtetest, mis teevad koostööd ja vajavad piisavaid kontrollsüsteeme selleks, et kaitsta samal ajal nii enda kui ka partnerite andmeid. Vaja on luua tugev riskijuhtimise raamistik, millega saaks hallata nii organisatsioonisiseseid kui ka -väliseid küberohte. See nõuab infoturbejuhtidelt proaktiivset tegutsemist: automatiseerimise, pideva järelevalve ja täisusaldamatuse mudelite abil saavad nad aidata tagada turvalisust ka väljaspool ettevõtte piire.

Vestlus kübervastupidamisvõime teemal

KPMG aruandes kutsutakse infoturbejuhte üles algatama ettevõte tippjuhtkonnaga vestlusi teemal, kas ettevõte on küberründeks valmis. Küberründele vastupanuvõimeline ettevõte peab analüüsima kõiki ärilisi ja strateegilisi põhiprotsesse. Infoturbejuht peab muutma kübervastupidavusvõimet käsitleva vestluse formaati nii, et see peegeldaks kogu ettevõtte valmisolekut küberrünnete leevendamiseks ja suurimate riskide tuvastamiseks.

 

Loodetavasti on teile kui organisatsioonile või infoturbejuhile siin artiklis esitatud soovitustest kasu. Üksikasjalikuma ülevaate saamiseks tutvuge aruande täisversiooniga aadressil https://home.kpmg/xx/en/home/insights/2021/11/cyber-security-considerations-2022.html


Mihkel Kukk

Küberturvalisuse valdkonna juht
mihkelkukk@kpmg.com
+372 521 4332

KPMG ekspert: kõige kiiremini tasub ära rutiine automatiseeriv AI-rakendus

Tehisintellekti rakendades toovad kõige kiiremini kulutused tagasi rahaliselt suure mõjuga lahendu..

KPMG ekspert: paljudel puudub arusaam küberturbest, riigi toetus on mõistlik ära kasutada

Kiirelt tegutsedes võivad Eesti ettevõtted tõsta oma küberturvalisuse taset, kasutades EASi kaud..

KPMG IT-ekspert: praktikust koolitaja teeb koolituse põnevaks ja kasulikuks

IT- või küberturbe koolituse muudab põnevaks praktikust koolitaja, kes saab jagada oma elulisi n..

Ettevõtetel on viimane võimalus taotleda küberturvalisuse toetust

Riigi Infosüsteemi Amet ja EAS/Kredex jagavad jätkuvalt küberturvalisuse taseme kaardistamise ja t..

küberturvalisus

Partnerite nõrkus mõjutab ka teie kaitstust

Küberkaitset planeerides tuleb arvestada, et koostööpartnerite nõrkus võib otseselt mõjutada ka te..

küberturvalisus

Küberrünnakute sagenemine on pannud tegutsema ka Euroopa Keskpanga

Küberrünnakute keerukuse ja sageduse suurenemine kujutab endast kogu Euroopas kriitilist ohtu fina..

küberrünnak

Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond! 
Aitame luua vastupidava ja usaldusväärse digitaalse maailma, 
isegi muutuvate ohtude korral.

KPMG Baltics OÜ

+372 626 8700
cyber@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
${item.title}
KPMG Baltics KPMG Küberaudit KPMG Global Privaatsuspoliitika
Email again:

Töötajate teadlikkuse analüüs

Töötajate teadlikkuse analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.

Email again:

Ohuanalüüs

Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.

Email again:

Küpsusanalüüs

Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.

Email again: