Viimaste aastate jooksul on Eesti ettevõtete teadlikkus küberturvalisusest oluliselt paranenud. Ettevõtted on hakanud mõistma, et infoturbe ja küberturvalisuse investeeringud on hädavajalikud.
Samas on nõrkuste tuvastamine ja nendega tegelemine jätkuv väljakutse, mida tuleb pidevalt täiustada, eriti uute tehnoloogiate ja küberrünnakute meetodite valguses.
Näiteks on paljud Eesti ettevõtted hakanud rakendama regulaarseid turvaauditeid ja küberhügieeni koolitusi, et tõsta töötajate teadlikkust ja ettevalmistust võimalike rünnakute suhtes. Lisaks on näha suuremat investeeringut turvatarkvarasse ja -infrastruktuuri, mis on vajalik, et tõrjuda keerukaid pahavara ja phishing- ehk õngitsusrünnakuid, mis on muutunud üha levinumaks.
Veel üks oluline samm on kaasata küberkindlustus, mis aitab maandada finantsriske juhul, kui küberrünnak siiski aset leiab. Need muutused näitavad, et kuigi teadlikkus on tõusnud, on küberturvalisuse valdkonna kiire arengu tõttu pidevalt vaja oma kaitsemeetmeid ajakohastada ja parandada.
Partnerite küberturvalisuse hindamine peaks olema koostööülesanne infoturbejuhi ja IT-juhi vahel. Kuna küberturvalisus hõlmab nii tehnilisi aspekte kui ka laiemaid strateegilisi riske, on oluline, et mõlemad rollid panustaksid oma vaatenurgast, tagamaks terviklik lähenemine.
Kui potentsiaalsel partnerettevõttel puudub oma infoturbejuht või IT-juht, on soovitatav kasutada spetsialiseerunud väliste teenusepakkujate abi küberturvalisuse auditi ja riskihindamise teostamiseks. Väliste teenusepakkujate kaasamine võimaldab objektiivset hinnangut, tuues esile turvanõrkused ja andes soovitusi parimate praktikate rakendamiseks, mis on kooskõlas rahvusvaheliste standarditega.
See on eriti oluline väikeste ja keskmise suurusega ettevõtete puhul, kus sageli puuduvad süvateadmised ja ressursid küberturvalisuse alal. Auditi läbiviimine aitab tuvastada ja maandada mitmesuguseid riske, nagu näiteks andmelekkeid ja süsteemide turvanõrkusi, mis võivad mõjutada ettevõtte tegevust ja mainet.
Üldiselt võib auditi ja riskihindamise protsess väikese või keskmise suurusega ettevõtte puhul kesta mitmest nädalast kuni mõne kuuni, sõltuvalt ettevõtte spetsiifikast ja kasutatavatest süsteemidest.
Infoturbe hindamine sõltub oluliselt võimaliku partneri tegevusalast ja suurusest, kuna eri sektorid ja ettevõtte suurused seisavad silmitsi erinevate turvanõuete ja riskidega.
Näiteks finantssektori ettevõtted peavad järgima väga rangeid regulatsioone, mis nõuavad keerukaid turvameetmeid, et kaitsta klientide andmeid ja rahalisi vahendeid. Seevastu väiksemad jaemüügifirmad võivad puutuda kokku vähem rangete nõuetega, kuid nende ressursid infoturbe tugevdamiseks võivad olla piiratumad.
On ekslik eeldada, et väikeettevõtted on oma väiksuse tõttu automaatselt vähem atraktiivsed sihtmärgid küberrünnakuteks või et nad on kuidagi paremini kaitstud. Tegelikkuses võib väikeettevõtete piiratud turvainfrastruktuur ja vähene teadlikkus küberturvalisusest muuta nad hoopis haavatavamaks.
Ründajad võivad näha väikeettevõtteid kui lihtsamaid sihtmärke, kelle kaudu võib olla võimalik pääseda ligi suuremate ja paremini kaitstud ettevõtete võrkudele, eriti kui väikeettevõtted tegutsevad suuremate firmade tarneahelas.
Seetõttu on infoturbe hindamisel oluline arvestada, et see ei sõltuks üksnes tegevusalast ja ettevõtte suurusest, vaid ka sellest, kui hästi on ettevõte suuteline tuvastama potentsiaalseid ohte ja rakendama asjakohaseid kaitsemeetmeid.
Infoturbeauditid ja riskihinnangud peaksid olema piisavalt kohandatud vastavalt ettevõttele, et arvestada nii konkreetse sektori eripärasid kui ka ettevõtte spetsiifilisi riske, olenemata selle suurusest.
Väliste partnerite toimepidevusplaane tuleks hinnata nende asjakohasuse ja realistlikkuse alusel, kontrollides, kas need plaanid on ajakohased ja arvestavad kõiki asjakohaseid riskistsenaariume, ning kas need on integreeritud ettevõtte üldisesse riskijuhtimise strateegiasse.
Testimine peaks toimuma vähemalt kord aastas, et tagada plaanide tõhusus reaalsetes olukordades, kuid sõltuvalt sektorist ja muutuvatest riskitingimustest võib olla vajalik sagedasem testimine. Välised teenusepakkujad toovad olulist lisaväärtust, pakkudes laialdasi teadmisi ja kogemusi, mis aitavad tagada plaanide põhjalikkuse ja asjakohasuse.
Nende sõltumatu vaade aitab tuvastada potentsiaalseid nõrkusi ja nende läbiviidud simulatsioonid ning kriisiharjutused on sageli realistlikumad ja keerukamad, mis aitab paremini ette valmistab tegelikeks hädaolukordadeks. Lisaks pakuvad nad jooksvat nõustamist ja plaanide regulaarset ajakohastamist, mis on vajalik kiiresti muutuvas ärikeskkonnas.
Partneri hindamisel tuleks võrdset tähelepanu pöörata nii kasutatavale tehnoloogiale kui ka inimfaktorile. Kuigi tehnoloogia on oluline, võib inimfaktor – nagu töötajate koolitus ja teadlikkus – sageli olla nõrgim lüli küberturvalisuse ahelas.
Partneri töötajate küberteadlikkust saab hinnata läbi erinevate meetmete, nagu regulaarsed koolitused, teadmiste testid ning simulatsioonid ja harjutused, mis näitavad töötajate reaktsioone potentsiaalsetele küberrünnakutele.
Majaväliste partnerite küberturvalisuse teema on kriitilise tähtsusega organisatsiooni enda riskianalüüsis ja infoturbeauditites. Nagu Riigi Infosüsteemi Ameti blogis “Tarneahelaründed: võimalik mõju ja kuidas end kaitsta” toodud näide illustreerib, võivad partnerite küberturvalisuse nõrkused viia olukorrani, kus ründajad kasutavad ära nende süsteeme kui hüppelauda, et pääseda ligi teie võrkudele.
Sellised nõrkused võivad avaldada tõsist mõju kogu tarneahela turvalisusele ja seeläbi ka teie organisatsiooni mainele ja finantstulemustele. Seetõttu on hädavajalik hinnata ja jälgida regulaarselt partnerite küberturvalisuse taset, et vältida võimalikke riske ja tagada süsteemide vastupidavus (allikas: Riigi Infosüsteemi Amet).
Võimaliku partneri küberturvalisuse hindamise teenuse sisseostmine sertifitseeritud välisteenuse pakkujatelt annab klientidele juurdepääsu spetsialistide sügavale teadmiste pagasile ja kogemustele, mis võib puududa ettevõttes endas. See lähenemine võimaldab tagada hindamisprotsessi objektiivsuse, vältides võimalikke huvide konflikte, mis võivad esineda, kui hindamine toimub ainult sisemiste jõududega.
Lisaks annab see klientidele kindlustunde, et küberturvalisuse riskid on tuvastatud ja hinnatud vastavalt rahvusvahelistele standarditele, mis aitab neil teha informeeritumaid otsuseid ja kaitsta oma ettevõtet potentsiaalsete ohtude eest.
KPMG kogemuse järgi esinevad Eesti ettevõtetel sageli puudulikud riskijuhtimisprotsessid ja töötajate vähene teadlikkus küberturvalisusest. Lisaks puuduvad tihti konkreetsed protseduurid küberturvalisuse intsidentide lahendamiseks.Näiteks võib selline olukord viia selleni, kus töötajad ei oska ära tunda phishing-rünnakuid ega tea, kuidas sellises olukorras käituda. See võib omakorda põhjustada andmete lekkeid või rünnakuid, mis mõjutavad ettevõtte mainet, toovad kaasa rahalisi kahjusid ja vähendavad klientide usaldust.
Organisatsioonisiseseid konflikte saab vältida, kui luua selged kommunikatsioonikanalid ja protsessid, kus eri osakonnad saavad oma muresid ja vajadusi esitada.
IT- ja infoturbejuht peaksid olema kaasatud juba varases planeerimise staadiumis, et tagada nende nõuete ja murede adresseerimine enne koostöölepingute sõlmimist.
Küberturvalisuse valdkonna juht
mihkelkukk@kpmg.com
+372 521 4332
Tehisintellekti rakendades toovad kõige kiiremini kulutused tagasi rahaliselt suure mõjuga lahendu..
Kiirelt tegutsedes võivad Eesti ettevõtted tõsta oma küberturvalisuse taset, kasutades EASi kaud..
IT- või küberturbe koolituse muudab põnevaks praktikust koolitaja, kes saab jagada oma elulisi n..
Riigi Infosüsteemi Amet ja EAS/Kredex jagavad jätkuvalt küberturvalisuse taseme kaardistamise ja t..
Küberrünnakute keerukuse ja sageduse suurenemine kujutab endast kogu Euroopas kriitilist ohtu fina..
Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond!
Aitame luua vastupidava ja usaldusväärse digitaalse maailma,
isegi muutuvate ohtude korral.
Töötajate teadlikkuse analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.
Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.
Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.