Oma ettevõtte kaitsmine küberruumis toimuva vastu nõuab pidevat valvsust, kõikvõimalike ohtude kaardistamist ja õigete sammude astumist. Tihti aga ei pruugi vaid enda maja kaitsmisest piisata, räägib Elisa tootejuht Kristjan Kuru, selgitades, et ühendatud maailmas peab lisaks enda tagala turvalisusele veenduma ka selles, kuidas on asjad mujal – äripartnerite juures.

Viimast silmas pidades on küberturbe olukorda kaardistades ja riskihinnanguid koostades oluline arvestada olukordadega, mil küberoht ei sünni enda ettevõtte seest, vaid katk pääseb majja hoopis läbi seotud äripartneri, olgu tegu raamatupidamisfirma, arenduspartneri, pilveteenuse pakkuja või mõne muu asutusega, mis peab mingil põhjusel sinu firma andmetele, klientidele ja rahale ligi pääsema. 

Suurem tegija, suurem risk

Seejuures pole aga partnerite turvataseme hindamine midagi, mis oleks universaalne. Kuskilt pole võtta nimekirja, mida läbi käia ja kattuvatesse kastidesse linnukesi teha. Nii nagu on erinev iga ettevõte, on erinev ka see, mida nad peavad ja saavad nõuda oma partneritelt. Vahe on kõige ilmselgem, kui rääkida suurtest ja väikestest firmadest.

On selge, et kui tegemist on pisikese ettevõttega, pole seal tõenäoliselt meeletut kogust tundlikku kraami, mis äripartnerite lohakuse tõttu jooksu saaks panna. Vähe kaotada, vähe nõuda, vähe jõuõlga muutuseid küsida.

Hoopis vastupidine lugu on turu suurte tegijatega, kellele võivad kohanduda juba konkreetsed regulatsioonid ja kontsernisisesed nõuded. Enamasti teavad aga sellised organisatsioonid juba ise piisavalt hästi, mida neil oma äritegevuse kaitsmiseks teha on vaja ning mis on see, mida tuleb nõuda oma partneritelt. Riskid on küll kõrgemad, kui enamasti on nende maandamise nimel erinevalt väiksematest firmadest ka üksjagu tööd tehtud. 

On aga selge, et silmi äripartnerite tegevuse ees ei saa kinni panna ka kõige väiksemad ettevõtted ning suuremad firmad saavad alati teha midagi paremini. Nii enda jaoks, kui ka oma enda partnerite huvides.

Partnerite jaoks tasub ise tahta atraktiivne olla

Kuigi kõige lihtsam on kindlatele küberturvareeglitele vastamist nõuda oma partneritelt, ei tasu unustada, et suurimad sammud on võimalik ära teha oma maja sees. Olles ise turvaline tead ka seda, mida oodata oma partneritelt ning mis on see, ilma milleta läbi ei saa. Seejuures ei saa ka unustada, et enda turvateemadele keskendumine aitab lisaks töötajate ja klientide kaitsmisele silma paista ka potentsiaalsete partnerite seas.

Üks stsenaarium, kus ka väiksem ettevõte võib äripartnerile kohanduvatele nõuete või regulatsioonidega kokku puutuda, on näiteks hangete puhul, või kui tuleb osutada teenust suuremale ettevõttele. Suuremad tegijad võivad juba lepingus nõuda, et nende äripartnerid vastaksid mingitele kindlatele reeglitele, olgu selleks kasvõi see, et ettevõtte meilikontod on kaheastmelise autentimisega kaitstud. 

Kuid isegi ilma kindlate regulatsioonide või äripartnerilt tulenevate nõueteta tasuks oma ettevõtte turvalisust vaadata kui faktorit, mis võib sind turul atraktiivsemaks muuta. Üsna kehv oleks mõnest heast diilist või oluliselt kliendist ilma jääda, kuna ettevõttel puudub mõistlikuks äri ajamiseks piisav turvatase.

Mida oma partneritelt nõuda?

Võrrandi teine pool on muidugi enda partneritele esitatavad nõuded – kui heal tasemel on need ettevõtted, kes sinule teenust osutavad või kellega sa koostööd teed. Siinkohal tuleks muidugi teha vahet äripartneril ja äripartneril. Arvatavasti pole maailmakõrgeid nõudeid vaja seada ettevõttele, kes kontorisse vett tarbib, küll aga neile, kelle kätte usaldad enda või oma klientide andmed.

Suurimate riskide maandamiseks saab enamasti alustada väikestest ja lihtsatest asjadest. Näiteks enne koostöölepingu puntkiirjoonele allkirja joonistamist võiks üle küsida, kas tulevasel partneril on sisse lülitatud kaheastmeline autentimine, kas nad krüpteerivad kuidagi andmeid ning kui valdkond seda nõuab, siis uurida, kas nad viivad läbi töötajate taustakontrolli, kas on paika pandud konfidentsiaalsustingimused ja kas on omandanud kindlad sertifikaadid. 

Siinkohal tuleb küll nentida, et väiksematel ettevõtetel pole tihti teenust sisse ostes läbirääkimistel kuigi palju jõudu ja ka teadmisi, et mida täpselt turvalisuse poolelt vaja läheks. Teenusepakkuja annab tüüptingimused ette ja nendega kas ollakse nõus või mitte. Kui enda soovitud tingimusi lepingusse suruda ei suudeta, võib muidugi kaaluda teisi partnereid, aga kui see võimalik pole, siis tasub teha vähemalt see selgeks, mis on tüüptingimustest üles loetud. Kui sealt paistab auk, tasub uurida, mida saaks enda poolelt teha, et see lappida.

Mugavustunne võib tappa turvalisuse

Suuremate firmade puhul on mänguruumi rohkem. Miljonidiili ahvatluses saavad vajadusel muudetud kõik lepingud ning kui seda nõutakse, lastakse regulaarset majja ka audiitorid, et veenduda, kas nad ikka tingimustele vastab. Kui jõuõlga on, siis tasub seda ka ära kasutada – päeva lõpuks tegeleb partner sinu kõige väärtuslikuma digivaraga.

Kõige eelneva kõrval tasub ka meeles pidada, et aja jooksul asjad muutuvad. Muutuvad vajadused ja muutub see, mida partner oluliseks peab. Pikaajaliste koostööde käigus tekib küll usaldus ja mugavustunne, kuid sel ei saa lasta astuda kandadele turvalisusele. Turvalisust puudutavate teemade puhul tuleb alati tähelepanelikuks ja valvsaks jääda ning vajadusel teemad uuesti lauale tuua. Piisab vaid ühest veast, et kurjategijal hea päev oleks.