küberturvalisus
30.11 2022

Küberrünnakute valdkond on arenenud omaette ärisuunaks

„Iga niinimetatud lingilogistamine ja skännimine ei pruugi olla küberrünnakute osas kõige olulisem infokild. Küberrünnakud kui valdkond on arenenud ja muutunud üsna sarnaseks ärilise tegevusega, kus lunavaraga ründavad osapooled pakuvad kasutajatuge ja on ohvriga tihti aktiivses suhtluses, et tagada enda tasu kätte saamine,” selgitab KPMG Baltics OÜ küberturvalisuse teenuste juht Mihkel Kukk.

Kui sageli arvavad pisemad ettevõtjad, et rünnatakse pigem suuremaid ning nende jaoks oht puudub, siis Kuke sõnul on see kindlasti eksiarvamus, millega ei maksa endale luua võltsturvalisuse tunnet. „Oletame, et kontrollin ühe inimese identiteeti ja tema ühe töötajaga firmat. Kui nüüd loominguliselt mõelda, kuidas saaks ründaja olukorrast raha teenida, on seal väga palju võimalusi. Ta võib ettevõtte ja inimese nimel võta erinevaid laene igalt poolt, kus võimalik. Sõlmida lepinguid, võtta liisinguid ning hiljem kogu selle vara ja raha endale võtta, jättes kohustused ohvrile.”


Teine hea näide, mida paraku ka sageli tehakse, on olukord, kus kasutatakse väiksemaid ettevõtteid kui kergemaid ohvreid suurematele ettevõtetele ligipääsemiseks. Näiteks kui suurem ettevõte on väiksema kliendibaasis, saadetakse välja erinevaid võltsarveid ja kasseeritakse ohvritelt raha.

Suurim probleem on koolitatud inimeste puudus

„Kõige suurem probleem küberründe valdkonnas on madal teadlikkus ja hästikoolitatud inimeste tõsine puudujääk,” nendib Kukk. „Kui Eesti süsteemi põhjal vaadata, siis korraliku infoturbetaustaga inimesi ei tule kuskilt haridussüsteemist, seega peavad inimesed ise õppima. Ja nende inimeste hulk on väga väike ning neid ei jagu enamustesse firmadesse ja asutustesse.”

Ta lisab, et endiselt valitseb nii ettevõtetes kui ka avalikus sektoris mentaliteet, kus arvatakse, et arvutikastid ja tarkvara on selleks, et poleks vaja inimesi palgata. „Ent see on taas ekslik arvamus, sest vahendid on ikka selleks, et võimendada pädevate inimeste tööd, mitte neid asendada. Pädev spetsialist suudab tihti ka vähemate asjadega väga palju ära teha, samal ajal näeme aga ka selliseid ettevõtteid ja asutusi, kus on ostetud sadu tuhandeid maksvaid seadmeid, mis on täiesti kasutud, kuna pole inimesi, kes nendega midagi mõistlikku teha oskaks.”

Esmalt peaks iga ettevõtja ja organisatsiooni juht aru saama, kus küberkaitse osas hetkel ollakse. Selleks on näiteks hea teha küpsustaseme hindamine, et mõista, mis seis ettevõttes on erinevates IT-kaitse valdkondades. Pärast seda saab juba hakata seadma prioriteete, kus oleks vaja tase paremaks saada, kusjuures vahel tuleb ka meeldivaid üllatusi, et mõnes valdkonnas ollakse juba päris tugevad.

Iga ettevõte vastutab ise oma turvalisuse eest

Ettevõtete IT-süsteemide nõrgaks küljeks on Kuke hinnangul sageli just eksiarvamused. „KPMG poolt Eestis 2022. a. alguses läbi viidud uuringust paistis ka üsna selgelt välja, et tihti hinnatakse enda IT-turvalisuse taset heaks. Minnes samas aga küsimustega detailsemaks, et kas ja kui palju on näiteks sellesse investeeritud või kas selleks on piisavalt inimesi, siis järeldub midagi muud. Ehk selle asemel, et eeldada ja arvata, tuleks küsida õigeid küsimusi ja lähtuda faktidest. Kas on olemas infoturbe eest vastutav inimene? Tihti arvatakse, et kui IT-haldusteenus on sisse ostetud, tähendab see ka automaatselt turvalisust, kuid lepinguga lähemalt tutvudes ei pruugi see nii olla. Peab küsima IT turvalisuse inimeste käest, mida teha ja kuidas toimida, et olla kaitstumad erinevate rünnakute vastu. Tuleb mõista, mis vahendeid ja miks vaja on ning kuidas need aitavad toetada äritegevust.”

Kindlasti tuleb eristada IT-inimest ja IT turvalisuse eest vastutavat töötajat ning selgelt mõista, mis nende kahe erinevus on. „Ei saa eeldada, et kui ettevõttes on olemas IT-juht, siis tema olemasolu tagab koheselt ka turvalisuse osa! Mõlema puhul on üldiselt kaks teed: kas palgata need inimesed enda ettevõttesse, mis võib osutuda keeruliseks või kalliks. Alternatiivina tasub kindlasti kaaluda ka nende teenuste sisseostu nõustajatelt,” ütleb Kukk. „Ent arvestage, et alati tuleb küsida selgeid ja õiged küsimusi ning lähtuda faktist, et päeva lõpus vastutab oma äritegevuse eest siiski ettevõte ise!”


Mihkel Kukk

Küberturvalisuse valdkonna juht
mihkelkukk@kpmg.com
+372 521 4332

Küberrünnakute sagenemine on pannud tegutsema ka Euroopa Keskpanga

Küberrünnakute keerukuse ja sageduse suurenemine kujutab endast kogu Euroopas kriitilist ohtu fina..

küberrünnak

KPMG tunnistati küberturvalisuse nõustamisteenuste liidriks Euroopas

Hiljuti avaldatud Forrester Wave uuringu ”Cybersecurity Consulting Services in Europe, Q1 2024” ko..

küberturvalisus

KPMG uuring: tippjuhid seisavad igapäevaselt silmitsi kordades suurenenud küberturvalisuse ohtudega

Kiirenev tehnoloogiline areng, sellega kaasnevad riskid ja kordades kasvanud küberturvalisuse ohud..

KPMG ekspert kübertestidest: tahame, et ettevõte ei satuks päris rünnaku ohvriks

Organisatsiooni küberturvalisuse taset aitab hästi valideerida – ning nõrkusi ja vajalikke uuendus..

küberturvalisus

DORA määrus: finantssektor peab leidma rohtu küberohtude vastu

Vähem kui aasta pärast, 17. jaanuaril 2025, hakkab ka Eestis kehtima finantssektori digitaalset te..

küberturvalisus

Küberturbe ekspert: IT-hügieeni ei tohi pühade ja puhkuste ajal unarusse jätta

Töö- ja vaba aja segunemine ning kaugtöö ulatuslik levik tähendavad, et ka pühade ajal võetakse va..

küberturvalisus

Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond! 
Aitame luua vastupidava ja usaldusväärse digitaalse maailma, 
isegi muutuvate ohtude korral.

KPMG Baltics OÜ

+372 626 8700
cyber@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
${item.title}
KPMG Baltics KPMG Küberaudit KPMG Global Privaatsuspoliitika
Email again:

HR analüüs

HR analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.

Email again:

Ohuanalüüs

Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.

Email again:

Küpsusanalüüs

Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.

Email again: