“Ettevõtlust, kus ei oleks küberelemente või digitaalseid lahendusi, tänapäeval pole. Võib mõelda küll, et lähme paberi ja pliiatsi peale üle, aga tegelikult käib kõik läbi masinate ja IT-süsteemide,” räägib Riigi Infosüsteemi Ameti (RIA) ekspert Seiko Kuik. Just sellepärast peavad ettevõtted küberturbele tõsisemalt mõtlema. Tegelikult mitte ainult mõtlema, vaid ka tegutsema, sest RIA jagab kokku sadades tuhandetes eurodes toetusi, et Eesti ettevõtted muudaksid oma süsteemid küberturvalisemaks. Lisaks sellele jagatakse raha idufirmadele, et need tuleksid välja uute lahendustega.
RIA teaduse ja arenduse koordinatsioonikeskus (TAK) on võtnud enda ülesandeks edendada väikeste ja keskmise suurusega ettevõtete ning asutuste küberturvalisust. Koos EAS/Kredexi ühendasutusega ja Tehnopoliga on TAK avanud kaks taotlusprojekti, mis kutsuvad nii ettevõtjaid kui ka idufirmasid haarama kinni ainulaadsest võimalusest ja taotlema toetusi küberturvalisuse parandamiseks.
“Mis tahes RIA ülevaadet lugedes näeme, et küberruumis on sihtmärgiks igaüks. Meie eesmärk on, et Eesti ja Euroopa inimesed ja ettevõtted saaksid digilahendusi kasutades kergemalt hingata, kuna küberturvalisusele on piisavalt tähelepanu pööratud. Tahame jõuda sinna, et uut platvormi või teenust arendades mõeldakse ka kohe selle küberturvalisusele ja läbi kahe projekti seda teemegi,” ütleb Kuik.
Küberinnovatsiooni tuleb toetada
Kaks aastat tagasi pööras Euroopa Liit oma pilgu tugevamalt küberinnovatsiooni peale. Loodi küberturvalisuse kompetentsikeskuste (European Cybersecurity Competence Centre ehk ECCC) võrgustik, mille eesmärk on edendada EL-i liikmesriikides küberturbetööstuse, -tehnoloogia ja -teaduse arengut. Võrgustiku Eesti riikliku koordinatsioonikeskuse (NCC-EE) rolli täidab RIA teaduse ja arenduse koordineerimisosakond.
“Meil on mitu fookust, kuid suur rõhk läheb küberinnovatsiooni toetamisele,” sõnab RIA ekspert Seiko Kuik. Kuidas muuta küberruum inimestele ja äridele turvalisemaks ja valdkonda inimesi juurde tuua – need on küsimused, millega teaduse ja arenduse koordinatsioonikeskuses igapäevaselt tegeletakse.
Näiteks korraldab RIA sel suvel rahvusvahelise küberlaagri, mille eesmärk on tutvustada valdkonda ka noortele, eeskätt tüdrukutele. “Kui vaadata matemaatika tulemusi, on poisid ja tüdrukud samal tasemel, aga reaalalasid lähevad õppima valdavalt poisid. Tahame seda lõhet kaotada,” selgitab Kuik. Samuti teeb RIA tihedat koostööd nii Eesti kui ka Euroopa ülikoolidega, et toetada küberteaduse arengut.
Aeg on teha Küberpööre
Kuidas aga saab RIA rahaliselt õla alla panna? Selleks on toetuste jagamine ja seeläbi ettevõtete toetamine. Koos EAS/Kredexi ja Tehnopoliga on RIA avanud kaks taotlusprojekti (Küberpööre ja Küberkiirendi), millega kutsutakse väikesi ja keskmise suurusega ettevõtteid (VKE-d) ning idufirmasid taotlema küberturbe parandamiseks toetusi.
RIA ja EAS/Kredexi Küberpöörde pilootprojekt lükati käima tänavu 13. märtsil. See on suunatud VKE-dele ning eesmärk on toetada nende küberturvalisuse taseme kaardistamist ja seejärel tõstmist. “Erinevad uuringud on näidanud, et pigem on need väikesed ja keskmise suurusega ettevõtted, keda on vaja neis teemades järele aidata. Suurtel ettevõtetel on küberi jaoks rohkem ressurssi ja tavaliselt on nad selle peale juba suuremal määral mõelnud,” selgitab Kuik.
Mis asi see Küberpööre täpselt on? “Kui rohepööre tähendab, et olemasolev ettevõte peab roheliseks muutuma, siis küberpööre tähendab olemuselt sama – digitaliseeruv ettevõte panustab oma teenuste ja toodete küberturvalisusesse,” selgitab Seiko Kuik.
Mure on nimelt selles, et digitaliseeritakse küll, aga küberturbele seejuures alati ei mõelda. “Teame juhtumit, kus farmi lüpsimasinale sai põhimõtteliselt igaüks ligi ja seda kontrollida. Selliseid näiteid, kus ettevõtete kallis vara istub avalikult ja kaitsmata netis, on kümneid. Väikeettevõtted võtavad järjest enam kasutusele digilahendusi, kuna muidu ei suuda nad konkurentsis püsida, aga küberturvalisuse jaoks ei pruugita raha eraldada,” räägib Kuik.
Siin tulevadki RIA ja Küberpöörde projekt appi: RIA pakub ettevõtjatele kuni 60 000 euro suurust toetust. Programm läks lahti ligi kolm kuud tagasi ja tänaseks on esimesed ettevõtted toetust saanud ning asunud oma küberturbe taset tõstma.
Toetuse abil saab välise nõustaja kaasabil kaardistada ja hinnata oma IT-süsteemide küberturvalisuse taset ning astuda samme kaitsmaks ettevõtet küberrünnakute ja nendega kaasneva majanduskahju vastu. Lihtsalt öeldes maksab riik pool ettevõtte küberturbe auditist kinni. “Eesmärk on anda ettevõtetele aruanne, mille abil saab juhtkond aru, mis juhtub, kui üht või teist asja õigel ajal ära ei tee. Ei pea olema infoturbespetsialist, et seda mõista,” ütleb Kuik. Ta lisab, et küberturbe hindamist toetatakse 10 000 euroga. Puudujääkide kõrvaldamiseks saavad ettevõtted taotleda lisaks 50 000 eurot.
Toetust saavad taotleda VKE-d, kelle tegevusala kuulub järgmistesse EMTAK jagudesse: B (mäetööstus), C (töötlev tööstus), D (elektrienergia, gaasi, auru ja konditsioneeritud õhuga varustamine), E (veevarustus, kanalisatsioon, jäätme- ja saastekäitlus), F (ehitus), G (hulgi- ja jaekaubandus, välja arvatud mootorsõidukite ja mootorrataste remont), H (veondus ja laondus), I (majutus ja toitlustus), J (info ja side), M (kutse-, teadus- ja tehnikaalane tegevus), N (haldus- ja abitegevused), Q (tervishoid ja sotsiaalhoolekanne).
Kuik juhib tähelepanu just viimasele valdkonnale – tervishoiule. “Ei pea vaatama väga kaugele ajas tagasi, et leida Eestist juhtumeid, kus perearstikeskused on pidanud vähemalt mõneks ajaks uksed küberrünnaku tõttu kinni panema. Info, mida sealt saab varastada, on ikkagi ülitundlik, rääkimata sellest, et arstid ei pruugi saada sel ajal kvaliteetset teenust pakkuda,” sõnab Kuik ja kutsub üles toetust küsima.
Miks peaks ettevõte oma küberturvalisusse panustama?
Küberturvalisuse intsidente on alati targem ja odavam ennetada kui tagajärgedega tegeleda. Küberintsidentidega võivad ettevõtetele kaasneda tõsised kahjud. “Probleemid hakkavad pihta väga lihtsatest asjadest. Näiteks kui kaugtöö pole turvaliselt korraldatud, võib vale inimene netist ettevõtte serverile ligi pääseda. Või näiteks pannakse kliendibaas lukku,” sõnab Kuik.
RIA ekspert hoiatab, et teema ei puuduta ainult suurfirmasid, kelle tagant on rohkem varastada. “Enamasti pole rünnakud täpselt sihitud. Sealt uksest, kust sisse annab murda, sealt sisse minnakse. Alles siis hakkavad häkkerid vaatama, kuidas asi rahaks teha: kas varastavad lihtsalt andmed ära ja küsivad selle eest raha või üritavad juba midagi muud teha. Kurjategijad on pragmaatilised ning nad otsivad kõige odavamat viisi, kuidas ründeid ellu viia. Sellepärast võibki sihtmärgiks olla ettevõte Pärnus või Elvas, kelle server või teenus istub kaitsetult netis,” selgitab Kuik, kuidas asi reeglina käib.
Lunavararünnak võib peatada ettevõtte töö, kuna vajalikud failid või süsteemid on teadmata ajaks krüpteeritud ja kasutamatud. Töö katkemine või andmete vargus ja nende avalikustamine kahjustab ka ettevõtte mainet, rääkimata lunaraha maksmise nõudest, mille küberkurjategijad andmete dekrüpteerimiseks ettevõtetele esitavad.
“Tihti minnakse ühe ettevõtte kaudu sisse ja püütakse selle kaudu n-ö laiali minna. Niisiis ei pruugi sinu ettevõte olla primaarne sihtmärk, vaid minnakse hoopis sinu teenusepakkuja juurde. Näiteks üks IT-teenuse pakkuja ei olnud oma asju kõige paremini lahendanud ja nende kaudu jõudsid ründajad 4-5 teise organisatsiooni süsteemidesse,” toob Kuik näite, kuidas sinu nõrkus võib teisi mõjutada. Seega pole ime, et mida aeg edasi, seda enam vaatavad ettevõtted partnerit valides, kuidas on lood nende küberturbega.
“Kellelegi ei meeldi, kui tellid endale telliseid, et maja ehitada, aga ettevõte ütleb, et ei saa praegu tuua, kuna küberrünnaku tõttu on tootmine maas. Eestis said hiljuti paar suurt tööstusettevõtet lunavararünnakuga pihta ja täpselt nii juhtuski – tootmine seiskus. Rünnakutega ei kaasne ainult rahaline kahju, see mõjutab ka seda, kuidas partnerid ja kliendid sind hindavad,” räägib Kuik.
Milleks on toetus ette nähtud?
Küberpöörde pilootprojekt on kaheastmeline: küberpöörde kaardistus ja seejärel küberpöördega tehtav arendus.
Esimese tegevussuuna puhul on ettevõttel võimalik taotleda kuni 10 000 eurot, mille abil saab kaardistada oma IT-süsteemide küberturvalisuse hetkeseisu, mille tulemusena tekib teekaart. Teekaart sisaldab ülevaadet olulisematest puudustest ja parandusettepanekutest. Taolise kaardistuse saab tellida turul teenust pakkuvalt küberturbeettevõttelt. “RIA kodulehel on olemas juhend, kuidas teekaarti teha ja kuidas seda hindame. Näiteks vaatame üle, kas teekaardil on olemas info, kuidas on ettevõtte n-ö kübervälisperimeeter kaitstud, kas tulemüür on kasutusel ja päriselt töötab, kas serverid on normaalselt seadistatud, kas kontori WiFi on avalikult kättesaadav või parooliga – need on lihtsad asjad, aga tavaliselt just nende vastu eksitakse,” selgitab Kuik. Ennekõike peab teekaart olema ülevaatlik ja selge, kuna see pole mõeldud RIA küberekspertidele, vaid ettevõtte enda juhtkonnale. “Juhatuse esimees peab ise aru saama, et see on teema, mille alla tuleb hakata raha paigutama,” ütleb Kuik.
Kui esimene faas on läbitud, avaneb ettevõttel võimalus taotleda kuni 50 000 eurot, et enda poolt valitud teenusepakkuja abil esimeses tegevussuunas tuvastatud olulisemad puudused kõrvaldada. “Tänu hindamisele on sul juba n-ö checklist ees, selle alusel saad hakata ettevõtet turvalisemaks ehitama,” sõnab Kuik.
Mõlema tegevussuuna puhul tuleb ettevõttel kanda pool teenuse kogumaksumusest.
Idufirmad saavad Küberkiirendist täispaketi
Idufirmadele mõeldud taotlusprojekt kannab nime Küberkiirendi. Seda korraldab RIA koos Tehnopol Startup Inkubaatori ja ECCC-ga. Kiirendiprogrammi eesmärgiks on küberturvalisuse valdkonnas uute toodete ja iduettevõtete tekitamine – seeläbi tuuakse turule uusi küberturvalisuse valdkonna tooteid ja teenuseid, mis loovad kasu ka teistele ettevõtetele. “Kui sul on sõpradega mõte, kuidas mingit küberturvalisuse lahendust pakkuda, siis tule ideega meie juurde ja kui hästi läheb, saad 48 000 eurot ja pool aastat mentorlust eri teemadel,” kutsub Kuik üles.
Kiirendis osalejate äriideed peavad vastama ühele kahest tingimusest: see peab olema kas tipptasemel küberturvalisuse lahendus erasektorile (eelkõige väikesed ja keskmise suurusega ettevõtted ehk VKE-d) või lahendus, mis keskendub uute tehnoloogiate (tehisintellekt, 5G, masinõpe jmt) küberturvalisusele. Küberkiirendi kahe vooru vältel aidatakse oma tooteid või teenuseid arendada 15 iduettevõttel. Kiirendisse pääsenud tiimid saavad oma idee arendamiseks tipptasemel nõu ja 48 000 eurot. “Kuhu me lõpuks välja tahame jõuda – oleks üliäge, kui neist idufirmadest kasvaks välja päris ettevõtted. Eesmärk on tekitada rohkem konkurentsi, rohkem innovatsiooni ja seda üle Euroopa,” ütleb Kuik.
6-kuuline kiirendiprogramm on avatud tudengitele, teadlastele, iduettevõtjatele ja VKE-de spin-off-tiimidele. Programm on üles ehitatud sprintide ehk intensiivsete arendustsüklite põhimõttel, kus grupitegevused vahelduvad individuaaltegevustega. Kõigil tiimidel on võimalus osaleda küberturvalisuse koolituste sarjas ning tiimide arengut toetavad pühendunud juhtmentorid. Vajaduspõhiselt kaasatakse ka valdkondlikke eksperte (juriidika, finants, turundus ja kommunikatsioon, müük, disain, intellektuaalomandi kaitse jmt). Kõik tiimid saavad kasutada Tehnopol Startup Inkubaatori koostöötamise keskust, et soodustada ühtse kogukonna teket ja suurendada koostöövõimalusi teiste idufirmadega.
“Seal on kõike, mis on idu jaoks ülioluline – nad saavad n-ö täispaketi, et päriselt kasvaks ettevõte välja. Alustavatele ettevõtetele on see super võimalus. Nad saavad väga tugeva mentorprogrammi, saavad Tehnopoli tööruumides möllata ja see on ingliskeelne programm, nii et ei ole ainult Eesti-põhine,” sõnab Kuik.
Küberkiirendisse saab kandideerida 16. juunini. Küberkiirendit kaasrahastakse läbi Euroopa Liidu Digital Europe programmi ja Euroopa küberpädevuskeskuse.
Mõlema projekti kohta loe pikemalt RIA veebist:
- https://www.ria.ee/kuberturvalisus/riiklik-koordinatsioonikeskus-ncc-ee/kuberpoore
- https://www.ria.ee/uudised/ria-toetab-kahe-aasta-jooksul-tehnopoli-kuberkiirendi-kaudu-idufirmasid-720-000-euroga
