Turvalisuse mõiste muutub ajas koos tehnoloogia arenguga. Kui minevikus räägiti ettevõtete turvalisuse puhul pigem füüsilise vara kaitsmisest – kaamerad, lukud, valvesüsteemid –, siis täna on enamiku ettevõtete jaoks üheks suurimaks murekohaks digitaalsed ohud ehk küberturvalisus. 

“Täna ei leia naljalt ettevõtteid, mille tegevust IT üldse ei puuduta. Ka meie poolt läbi viidud uuringutest on näha, et enamik ettevõtteid hindavad küberturbe ohtu juba top 3 ohuks,” rääkis KPMG küberturvalisuse valdkonna juht Mihkel Kukk.

Näiteid küberrünnakutest leiab siitsamast Eestist. Näiteks pidi ehituspood FEB poed mõneks ajaks sulgema, kuna firma langes krüpto-lunavara ohvriks.

Paljude ettevõtete jaoks muutus infoturbe küsimus eriti aktuaalseks koroonakriisi valguses, kui tööd tuli hakata tegema kodukontorist ja tegevused kolida internetti.

“Digitaalne maailm mõjutab kõiki ettevõtteid ja asutusi, isegi kui nad ei näe end IT-ettevõttena. Praegune olukord on sundinud paljusid firmasid e-poode avama ja digitaalseks minema. Küberturvalisus on väga oluline ka tehastes – kui sul on tootmisseadmed võrguga ühendatud, siis rünnaku korral on kahju samasugune nagu e-poe puhul, mis maha võetakse. Võib-olla suuremgi,” selgitas Kukk.

Digitaalsete ohtude eest kaitsmiseks on ettevõtetel võimalik väga palju ise ära teha. Tihti saavad kurjategijad ettevõtte andmetele või varadele ligi läbi mõne töötaja inimliku vea, mistõttu tasub panustada personali infoturbealaste teadmiste tõstmisesse.

Halvimal juhul võivad küberkurjategijad nõuda ettevõttelt küberrünnaku lõpetamise eest lunaraha, sarnane intsident juhtus näiteks ühe Eesti haiglaga.

Ainult riistvarasse panustamisest ei piisa enam ammu

Mihkel Kuke sõnul saab ettevõtete infoturbealased tegevused suures pildis kolmeks jagada. Esimene puudutab mõistagi riistvaralist poolt. “Vanast ajast on sees harjumus, et ostetakse kast, näiteks tulemüür või server, ja lastakse sellel lihtsalt tiksuda,” sõnas ta.

Tegelikult loob ainult riistvarasse panustamine Kuke sõnul võlts turvatunde. “Arvatakse, et kui midagi pole juhtunud, kastid nurgas töötavad, siis järelikult on kõik hästi. Pigem võiks eeldada, et te pole veel suutnud tuvastada, kas midagi on valesti läinud. Puhtalt riistvara peale oma firma turvalisuse puhul lootma jääda on natuke naiivne.”

Keegi peab süsteemi ja riske hinnata suutma

Ettevõtte IT-taristu ei ole muidugi sugugi tähtsusetu, kuid küberturvalisuse vaates on oluline panustada ka sellesse, et keegi kogu süsteemi hallata ja probleeme tuvastada suudaks. 

Mõistagi mängib siinkohal suurt rolli ettevõtte suurus – suuremates firmades on reeglina IT-osakonnas eraldi inimesed, kes tegelevadki turvalisuse küsimusega.

Väiksemates ettevõtetes peab sageli turvalisuse eest vastutama süsteemiadministraator, kes tegeleb kõikvõimalike IT-alaste küsimustega.

“Juba keskmise suurusega ettevõttes peaks olema meeskonnas mõni küberturvalisuse võimekusega inimene. Kui IT-turbe jaoks eraldi inimest määrata ei saa, siis on võimalus teenus ka väljastpoolt maja sisse tuua ehk outsource’ida. Tähtis on see, et keegi meeskonnast saaks aru, kas IT-süsteemid on õigesti korraldatud. Et keegi suudaks ära tunda, kui mingi probleem peaks tekkima,” selgitas KPMG küberturvalisuse osakonna juht. 

Küberkurjategijad kasutavad hea meelega ära inimfaktorit

Kolmanda punktina tõi Kukk välja ettevõtte töötajate koolitamise.

“Enamik suuremaid rünnakuid ja lekkeid, mis tänapäeval on toimunud, on seotud sellega, et kasutajatele saadetakse lunavara või nn õngitsuskiri, ning inimliku vea või teadmatuse tõttu saadakse ligipääs ettevõtte kontole või tegevustele,” rääkis ta.

Kuke sõnul on küberkurjategijatel inimfaktorit tihtipeale üsna lihtne ära kasutada. Eriti keeruliseks teeb töötajate IT-alase teadlikkuse tõstmise see, et ettevõtted ei tea täpselt, kuidas inimesi koolitama peaks. “Me ei saa ju eeldada, et iga töötaja su ettevõttes on infoturbeekspert.”

Inimfaktoriga seotud riskide maandamises mängivad suurt rolli inimeste igapäevased harjumused. “Me kõik oleme harjunud mingeid tegevusi tegema. Kui mulle tuleb kiri, mis tundub pealtnäha adekvaatne, siis ma reageerin sellele üldjuhul ühtemoodi ega hakka pikemalt mõtlema, kas see võib tegelikult olla pahatahtlik,” selgitas Kukk.

Seetõttu on tema sõnul töötajate koolitamise puhul oluline, et inimesed mõistaksid, miks teatud infoturbega seotud tegevusi teha tuleks ning mis on võimalikud tagajärjed, kui keegi töötajatest peaks näiteks ohtliku e-kirja kogu siselisti edasi jagama.

“Klassikaline koolituste stsenaarium on see, et inimene käib loengutel või seminaridel ära, kuulab ja saab veidi targemaks, aga unustab nädala-kahe pärast kõik ära ning ollaksegi tagasi nullis. Kui aga inimene saab aru, miks me midagi teeme ja omandab läbi praktilise kogemuse lihasmälu tegevuse osas, siis tõenäoliselt on sellest lõpuks ka rohkem kasu nii talle endale kui firma turvalisusele,” selgitas ekspert.

Millest tuleks alustada?

Digitaalses maailmas varitsevad ohud muutuvad sageli väga kiiresti ning selleks, et enda ettevõtet kaitstuna hoida, tuleks panustada nii IT-süsteemide endi turvalisusesse kui ka töötajate teadlikkuse tõstmisesse. Kõige esimese asjana võiks Mihkel Kuke sõnul alustada firma küberturbe küpsusastme hindamisest.

“Hindamise käigus tuuakse välja, millised on praegused kitsaskohad ning millised neist on kõige kriitilisema tähtsusega. Tööstusettevõttes ei kujuta tavalise töötaja isiklik sülearvuti tõenäoliselt kõige suuremat ohtu, küll aga on oluline, et kõik tootmisseaded toimiksid korralikult,” rääkis ta. 

Töötajate koolitamisele tuleks aga läheneda vastavalt ettevõtte eripärale ja vajadustele. Suures pildis tasuks koolitamine jagada kaheks: tavatöötajad ja spetsiifilisemate oskustega IT-personal nagu süsteemiadministraatorid ja arendajad. “Rõhku tuleks panna mõlemale. Kui panustada oma ettevõtte siseste infoturbe töötajate koolitamisse, siis pikas perspektiivis aitab see viia koolitamise ja teadlikkuse tõstmise ka ettevõttesiseseks,” selgitas Kukk.

Teadlikkuse tõstmisele peavad muidugi järgnema ka teatud tegevused, mis aitavad riskitaset vähendada. Sageli on esimeseks sammuks professionaalse infoturbeeksperdiga konsulteerimine. 

Näiteks pakub KPMG erinevaid küberturvalisuse teenuseid sõltuvalt kliendi spetsiifikast ja vajadustest. 

“Toetame kliente paindlikult erinevate keeruliste olukordade lahendamisel ja pakume lisaks ka erinevaid spetsiifilisi küberkaitsekoolitusi erinevate vajaduste ja kasutajate oskuste tõstmiseks,” sõnas firma küberturbe osakonna juht.