IT-riskid on liiga paljudes ettevõtetes alahinnatud
Viirusetõrjeprogrammist ja muudest tehnilistelt lahendustes ainuüksi on vähe tolku, kui organisatsioonis puuduvad infoturbe eest vastutaja ja vajalik pädevus, et neid vahendeid rakendada ja kasutada. Kõige parem lahendus on vastava valdkonna juht, kel on kõik küberturbe arendamise volitused ja sellega kaasnev vastutus.
Väikesed ettevõtted, suur risk
Küberturbe planeerimisel tuleb esmalt vaadata, kui suur oleks küberrünnete mõju ettevõttele. Tuleb märkida, et valdav osa Eesti firmasid on väikesed või keskmise suurusega ja neist paljudes on IT-risk üllatuslikult kõrge. Kahjuks aktsepteeritakse seda, kas teadlikult või infopuuduse tõttu.Suured investeeringud küberturbesse ei ole alustava start-up'i prioriteet, kuna peamine panus on ärimudeli testimisel. Tihti alles otsitakse mudelit, kuidas äri toimiks, ning sellest tulenevalt on ka IT lahenduste pool kiirelt muutuv. Turvalisus tuleb tavaliselt teemaks siis, kui ettevõte on jõudnud raha kaasamise faasi ning on vaja investoritele anda kindlust, et tegu on tõsiseltvõetava äriga.
Kuid suurettevõtetes ning elutähtsates valdkondades, nagu tervishoid, kohalik omavalitsus, energiaettevõtted, finantssektor jt ei ole IT-risk sugugi vastuvõetav. Eriti problemaatiline on olukord tervishoius, kus küll mõistetakse küberturvalisuse tähtsust, kuid napp eelarve ei jäta sageli häid valikuid, kuna tervishoid on tõsiselt alarahastatud.
Olukorra tähtsust on mõistnud finantssektor. Kuna pangandus on muutunud peaaegu täielikult digitaalseks, siis finantssektor investeerib aktiivselt ka küberturbesse. Lisaks on karmistunud regulatsioonid, mis peegeldub ka andmete ja süsteemide suuremas kaitsmises. Kokkuvõttes aitab see kõik luua küberturvalisust, kuna sunnib ettevõtteid sellele rohkem mõtlema ning suunama sinna ka vajalike vahendeid.
IT-eelarve kulub suures osas endiselt rauale
Rahvusvaheliste suurfirmade kohalikes esindustes on IT-kultuurikihti rohkem, nii nagu ka traditsioonidega Eesti organisatsioonides (pangad, telekomid, aga ka riigisektor). Neil on rünnete või teiste intsidentide kogemus varasemast ajast olemas ja tihti on IT valdkonnaga tegelenud mitmed inimesed, kellest see kultuurikiht on tekkinud.Kultuurikiht on samas ka risk, kuna tehnoloogia vananeb tohutu kiirusega. Näiteks kui pangas kasutatakse mainframe-arvutit, mis teatud operatsioonides on küll vajalik, siis selle turvanõuded on jäänud minevikku.
Ka erafirmade eelarvetesse küberturvalisus tihtipeale ei mahu. Ettevõtetes on tavaline, et iga 3–5 aasta tagant vahetatakse välja sülearvutid, samuti teised kontoriseadmed. Sama intervalliga peaks värske pilguga üle vaatama ka turbelahendused, sest nende elutsükkel on erinev ning mõned neist võivad lootusetult ajale jalgu jääda.
Pikema aja jooksul on ka tavaline, et töös kasutatavad üldised IT-lahendused on muutunud. Näiteks on lisandunud pilve kasutamine ning siis peab ka turvalisuse pool ajaga kaasas käima ja uuenema. Nii välimised kui ka sisemised auditid aitavad üle vaadata, kas riskid on hallatud ning riskitase vastab ettevõttele aktsepteeritavale riskitasemele.
Mainekahjust taastumine võib olla aastatepikkune
Lisaks andmete kaotamisele või manipuleerimisele tuleb tegeleda ettevõtte mainekahjuga, mis automaatselt tekib rünnaku alla sattunule. Mida suurema haardega ettevõttega on tegemist, seda rohkem on maine ka löögi all. Piisab näiteks pangateenuste peatumisest tunniks-paariks, kui see võib mõjutada Eestis sadu tuhandeid kliente ning meediasse ilmuvad suured pealkirjad. Konkurentsitihedates sektorites osutub küberkaitse võimekus kaalukeeleks, kui kliendid teenuseid valivad.Ettevõtte valmisolekus mängib tähtsat rolli töötajate teadlikkus, et nad oleksid informeeritud ja oskaksid küberintsidentide puhul käituda. IT-turbel peab olema kriisijuhtumiteks oma „112“ ehk kuum liin, kuhu personal saab oma kahtlustest teateid jätta. Oluline on töötajatele südamele panna, et ohust peab teatama kohe, sest viivitatud päevade või nädalate hind võib olla väga kõrge.
Nii nagu riigikaitses on üha kriitilisem küberüksuste võimekus, tuleb sama põhimõtet järgida ka eraettevõtluses ja teistes asutustes.
Mihkel Kukk
Küberturvalisuse valdkonna juht
mihkelkukk@kpmg.com
+372 521 4332
Viimased artiklid
KPMG tunnistati küberturvalisuse nõustamisteenuste liidriks Euroopas
Hiljuti avaldatud Forrester Wave uuringu ”Cybersecurity Consulting Services in Europe, Q1 2024” ko..
KPMG uuring: tippjuhid seisavad igapäevaselt silmitsi kordades suurenenud küberturvalisuse ohtudega
Kiirenev tehnoloogiline areng, sellega kaasnevad riskid ja kordades kasvanud küberturvalisuse ohud..
KPMG ekspert kübertestidest: tahame, et ettevõte ei satuks päris rünnaku ohvriks
Organisatsiooni küberturvalisuse taset aitab hästi valideerida – ning nõrkusi ja vajalikke uuendus..
DORA määrus: finantssektor peab leidma rohtu küberohtude vastu
Vähem kui aasta pärast, 17. jaanuaril 2025, hakkab ka Eestis kehtima finantssektori digitaalset te..
Küberturbe ekspert: IT-hügieeni ei tohi pühade ja puhkuste ajal unarusse jätta
Töö- ja vaba aja segunemine ning kaugtöö ulatuslik levik tähendavad, et ka pühade ajal võetakse va..
Ettevõtet ei saa osta eelneva IT-auditita
Majanduses on käes heitlikud ajad, mis toovad alati kaasa ettevõtete oste ja müüke. Ühtedele annav..
Muuda ohud võimalusteks
Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond!
Aitame luua vastupidava ja usaldusväärse digitaalse maailma,
isegi muutuvate ohtude korral.
KPMG Baltics OÜ
+372 626 8700cyber@kpmg.ee
Narva mnt 5, 10117 Tallinn, Estonia
Võta meiega ühendust
${i18n('ask_more')}
HR analüüs
HR analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.
${i18n('ask_more')}
Ohuanalüüs
Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.
${i18n('ask_more')}
Küpsusanalüüs
Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.