Kiirenev tehnoloogiline areng, sellega kaasnevad riskid ja kordades kasvanud küberturvalisuse ohud valmistavad tippjuhtidele üha enam muret, näitab KPMG rahvusvaheline uuring. Üha suuremat rolli mängivad küberriskide maandamisel infoturbejuhid (CISO), keda nähakse proaktiivsete partneritena ärivajaduste haldamisel, selle asemel, et olla vaid IT-tulekahjude kustutaja, ütleb KPMG Eesti küberturvalisuse valdkonna juht Mihkel Kukk.
KPMG iga-aastane globaalne uuring kehtib väga selgelt ka Eesti kohta. “Näiteks küberrünnakute arv on Eestis viimase aastaga kahekordistunud. Paraku endiselt ei tegele ca 90% ettevõtetest tõsiselt küberturvalisusega, mis tähendab, et igapäevaselt seistakse silmitsi küberrünnakute ohuga,” märgib Kukk.
Kui jätta IT-turvalisuse teemad piisava tähelepanuta, võib väga suure tõenäosusega tabada ühel hetkel äri ebameeldiv üllatus. “Kõige paremini saab küberkurikaelte tegevust ennetada erinevate võrgutestimistega, mis annavad koheselt ülevaate ettevõtte nõrkustest ning turvaaukudest,” sõnab Kukk.
KPMG aruanne „Cybersecurity considerations 2024“ toob välja kaheksa peamist valdkonda, mida infoturbejuhid ehk CISO-d peaksid sel aastal prioriteediks seadma.
- Täitke klientide ootusi ja tegutsege vastutustundlikult
Kõik ettevõtte sidusrühmad – nii tarbijad, töötajad kui ka tarnijad – ootavad ettevõtetelt kasvu ja kasumit, kuid üha enam eeldatakse organisatsioonidelt ka sotsiaalselt vastutustundlikku käitumist. Organisatsioonid peaksid seda üleskutset kuulda võtma ja pöörama sisulist tähelepanu ESG-teemadele.
2. Ühendage küberturvalisus ja privaatsus
Turvalisusel – alates CISO-st kuni iga üksiku meeskonnaliikmeni – on tänapäeval varasema ajaga võrreldes väga erinev roll. Turvalisus on saanud kogu organisatsiooni kõigi funktsioonide lahutamatuks osaks ja seda on mõistnud paljud juhid, integreerides turvalisuse mõtteviisi erinevatesse ärikultuuridesse ning -protsessidesse.
3. Navigeerige osavalt hägustuvates globaalsetes reeglites
Kohanduda tuleb üha keerulisemate globaalsete regulatsioonidega, tagades samas vajalik paindlikkus. Rahvusvahelised ettevõtted tegutsevad järjest keerulisemaks muutuvas küberturvalisuse ja privaatsuse keskkonnas.
Rolli mängivad erinevad rahvuslikud ja riiklikud huvid, mis toovad kaasa erinevad regulatiivsed nõuded teabe suveräänsuse, tarneahela turvalisuse, küberkontrollide vastavuse läbipaistvuse, juhtumitest teatamise ja loomulikult privaatsuse osas.
Ettevõtte jaoks tähendab see, et oma regulatiivset aruandlust tuleb kohandada piirideta maailmaga, säilitades samas turvakontrolli, mida saab kohandada vastavalt kohalikele nõuetele. Samuti tuleb olla valmis ja võimeline kiiresti reageerima muutuvale geopoliitikale ning erinevatele sanktsiooninõuetele.
4. Kaasajastage tarneahela turvalisust
Paljude organisatsioonide lähenemine kolmandate osapoolte ja tarneahela turvalisusele ei ühti tänapäeva partnerorganisatsioonide keerulise ja üksteisest sõltuva ökosüsteemi tegelikkusega.
Traditsioonilised mudelid ehitati üles eeldusel, et kolmandad osapooled pakuvad teenuseid tehingupõhiselt. Ent see vaade ei kajasta tänapäeva keerulist API-de ja protsesside võrgustikku, mis on seotud keeruka tarkvara ja teenusepõhise pakkumisega. Arendamist vajavad strateegilised partnerlused ja andmepõhine riskijuhtimine, et tugevdada tarneahela vastupidavust.
5. Kasutage AI potentsiaali ettevaatlikult
Leidke tasakaal innovatsiooni ja turvalisuse vahel, et tagada AI (artificial intelligence, tehisaru) vastutustundlik ja eetiline kasutamine. Täna räägitakse peamiselt generatiivsest tehisarust, kuid paljud teised AI-harud robootikast masinõppeni muudavad äri jätkuvalt.
Nende tehnoloogiate turvalisuse, privaatsuse ja eetiliste mõjude määratlemine on keeruline ning organisatsioonid soovivad luua raamistikke, mis pakuvad tehisintellekti rakendamisel mõlemat – nii riskijuhtimist kui ka juhtimispädevust.
6. Tõhustage turvalisust automatiseerimisega
Kasutage automatiseerimist tehnoloogia turvaprotsesside lihtsustamiseks ja efektiivsuse suurendamiseks. Ettevõtted viivad oma süsteeme üha enam pilve, see tähendab, et kaitset vajavate andmete hulk kasvab hüppeliselt ning rohkem inimesi teeb kaugtööd ja pääseb ettevõtte võrkudesse oma seadmetega.
Selle tulemusena laieneb küberrünnakute pind, mis tähendab, et CISO-del on võimalike küberrünnakute tuvastamisega üha enam tööd. Ent selleks ei ole piisavalt ressurssi ja ainus viis olukorda hallata on kasutada automatiseerimist.
7. Muutke identiteet individuaalseks, mitte institutsionaalseks
Iga organisatsioon, kellega tarbijad suhtlevad, määrab neile unikaalse digitaalse identiteedi ning nii nagu kasutajanimed ja paroolid on erinevad, toimivad ka autentimismeetodid. Küberjulgeoleku vaatenurgast identiteedimudel areneb. Enamik identiteedi- ja juurdepääsuhalduse (IAM) mudeleid töötati algselt välja üksikute organisatsioonide digitaalsete identiteetide ja kasutajate juurdepääsu haldamiseks.
Ent nüüdseks on paljud kujundanud kontseptsiooni ümber, et hõlmata vastupidavuse taset, mis sobib liit-, privaat-, avalike või mitme pilvega andmetöötluse keskkondade jaoks. See välistab üksikisikute igakordse vajaduse läbida tüütu ja aeganõudev identiteedikontrolli protsess, kui nad suhtlevad uue asutusega, kas kliendi või töötajana.
8. Viige küberturvalisus kooskõlla organisatsiooni vastupanuvõimega
Küberintsidendile peavad organisatsioonid reageerima minutite ja tundide, mitte päevade ja nädalate jooksul. Tänapäeva muutlikus keskkonnas on vastupanuvõime muutunud organisatsioonide ühiseks teemaks kriitilise infrastruktuuri sektorites, nagu energeetikas, sides ja transpordis, kusjuures nende juhtide tähelepanu keskendub tegevuse taastamisele, kui ennetavad kontrollid ebaõnnestuvad.
Vastupanuvõime peaks olema sujuvalt kooskõlas küberturvalisusega, rõhutades kaitset, tuvastamist ning kiiret reageerimist ja taastamist. Kübervastupidavus on äritegevuse suutlikkuse säilitamiseks, klientide usalduse kaitsmiseks ja tulevaste rünnakute mõju vähendamiseks ülioluline. Need distsipliinid peavad töötama koos, et aidata organisatsioonidel riske juhtida.
Küberturvalisus peab kohanduma tehnoloogiliste uuendustega
Kõik need eelnevad kaalutlused rõhutavad vajadust strateegilise pragmaatilisuse järele. Küberturvalisus peab olema kooskõlas ärieesmärkidega ja kohanduma tehnoloogiliste uuendustega. Tegevjuhtidel soovitatakse neid küberturvalisuse strateegiaid integreerida, et kaitsta oma organisatsioone, samal ajal edendada kasvu ja innovatsiooni.
“Samuti tuleb küberturvalisust vaadelda kui pidevalt arenevat ja jätkuvat protsessi,” ütleb Kukk. Üha rohkem organisatsioone aktsepteerivad küberintsidente kui vältimatut, kuid samas juhitavat riski, mis tähendab, et seda parem on nende võimalus saavutada tasakaal ettevalmistuse ja organisatsiooni vastupanuvõime vahel.
Kokkuvõttes tasub ettevõtetel hoolikalt läbi mõelda, et kui toimub andmeleke, võrgu rikkumine või muu küberrünnak, siis kuidas saab organisatsioon kiiresti tavapärast tegevust jätkata, nii et see mõjutaks minimaalselt kliente ning äritegevust.
Tutvu uuringuga: Cybersecurity considerations 2024 – KPMG Global