Kaitse end, üksainus rünnak võib su hävitada!

Vaid väheste ettevõtete küberkaitse on ähvardavate ohtudega tasakaalus, kuigi küberohtude vastu on võimalik end kaitsta.

Statistika põhjal jääb andmelekke ja/või küberkuriteo keskmine rahaline kahju vahemikku 100 tuhat kuni miljon eurot. Kui rahalisele kahjule lisandub negatiivne meediakajastus, võibki kokkuvõttes vaid üksainus "õnnestunud" küberrünnak või andmeleke hävitada ettevõtte tänase majandusliku seisundi ja maine.

Hoolimata sagenenud rünnakutest näitab PwC globaalne küberturbe uuring, et investeeringud IT-turvalisusse ei kasva samas tempos kui ähvardavad ohud.

Kurjamid ründavad valimatult

PwC analüüs näitab, et häkkerid tungivad ettevõtete infosüsteemidesse valdavalt ilma eelneva konkreetse eesmärgita. Otsitakse potentsiaalselt huvipakkuvat infot, mis kopeeritakse ning müüakse huvitatutele edasi. Ohver ei pruugi säärasest tegevusest teada saada enne, kui mõni konkurent asub nende ärisaladust kasutama või lekitab info meediasse.

Tõusuteel on ka rünnakud läbi kolmandate osapoolte. Eestis toimivad ärisuhted täna valdavalt usalduspõhiselt ning eeldades, et küllap on partneri IT-turve vähemalt sama hea kui enda oma. Pole tavaks esitada partneritele lepingu sõlmimisel selgeid ning rangeid turvanõudeid. Näiteks panustavad paljud kaubandusettevõtted vaid maksekaartide turvalisusesse, jättes kaitseta ettevõtte kriitilise äriinfo.

Esimesed sammud: mis, kes, kus?

Esmalt tuleb leida vastus küsimusele, millised on ettevõtte jaoks kõige kriitilisemad andmed (hinnad, kokkulepped, lepingud, kliendiandmed jms), kellel on neile ligipääs, millistes infosüsteemides ja failides need asuvad? Seejärel tuleb hinnata, kas need andmed on piisavalt kaitstud.

Adekvaatset ettekujutust IT-turvalisusest on võimalik saada näiteks ründetestimise teel. Selle asemel, et lasta oma IT-süsteemi „testida“ kurjamil, võib kontrollitud ründetestimise tellida ka teenusepakkujalt. Ründetesti tulemusena selguvad süsteemi nõrgad kohad, mida on võimalik enne tegeliku kriisiolukorra tekkimist korda teha.

Lisaks süsteemide tehnilisele testimisele ja kaitsele on kriitiliseks riskifaktoriks ettevõtete töötajaskond, seda nii hooletusest kui tahtlikkusest tulenevalt. Ettevõtted peaksid panustama riskide maandamisse nii koolituste, teavituste kui juhtkonna eeskuju kaudu. Selline ennetustegevus on suhteliselt odav, kuid seda tuleb teha järjepidevalt ja sisuliselt.

Strateegilised otsused tippjuhi tasemel

Üha suurem osa ettevõtetest kogu maailmas leiab, et kuna võimalik kahju ettevõtte finantsstabiilsusele on sedavõrd ulatuslik, ei saa andmekaitset ja küberturvet käsitleda ainult IT-juhi kompetentsi kuuluva teemana, vaid see nõuab pigem finants- ja tippjuhi otsust.

Ehkki pealtnäha võib IT-valdkond tunduda hoomamatu ja keeruline, pole otsuse langetamine ülemäära keeruline pärast seda, kui info on „IT-keelest“ tavakeelde tõlgitud. Oluline on teada, et kübe-ohtude puhul pole tegu vääramatu jõuga, vaid nende vastu on võimalik end kaitsta.