Vaid 5% Eesti ettevõtetest on küberturvalisus heal tasemel. Kas tead, milline on sinu äriturvalisuse tervis? IT-taristu ettevõtte OIXIO küberturbe juht Andres Vallistu selgitab kolme sammu, millega oma ettevõte (küber)kuulikindlaks teha.

„Viimaste aastate jooksul on meie elud meeletu tempoga digiteeritud ning ühes digiteerimise kasvuga on hüppeliselt kasvanud ka küberkuritegevus,“ selgitab OIXIO küberturbe juht Andres Vallistu, kes on selles vallas rikkaliku kogemustepagasiga ning on hästi kursis ka Eestis toimuvaga. „Küberkuritegevus ärimaailmas läheb maailmale maksma mitu triljonit dollarit aastas ja see puudutab igas suuruses organisatsioone igas riigis.“

Väikeettevõtja võib end näiliselt rahustada mõttega, et tema ei ole küberkurjategijatele oluline sihtmärk oma väiksuse või tegutsemisvaldkonna tõttu. Ent Vallistu kinnitusel ei vali kurjategijad sihtmärki ainult ettevõtte tegevusala või andmete väärtuse põhjal. „Rünnatakse valimatult kõike. Piltlikult öeldes käiakse ukse taga kobistamas ning kui sellel uksel on nõrk lukk – või see üldse puudub –, siis astutakse sinna tuppa sisse ja tassitakse tuba tühjaks või lüüakse kõik pahupidi.“ Kuritegevuse alustala ja rünnakute motivaator on raha, kinnitab Vallistu, ning lisab, et inimesed, kes sellega raha teenivad, kirjutavad viiruseid või pahavara ning tuvastavad nõrku uksi. „Häkkimine on saanud tänapäeval tööks nagu teisedki tööd.“

Seega: toimiv ja turvaline IT on tänapäeval äritegevuses täiesti fundamentaalne vajadus. Ent millest võiks sel teekonnal alustada ning millele tähelepanu pöörata? Andres Vallistu toob välja kolm sammu küberturvalise ärini.

1. Kaardista hetkeolukord

Vallistu selgitab, et kui äriomanik mõistab küberturvalisuse olulisust, peaks ta võtma vastutuse ja kaardistama hetkeolukorra. „Tuleks teha selgeks, kui heas või halvas seisus küberturvalisus praegu on,“ kinnitab ta. „Väga tihti puudub elementaarne teadmine sellest, mis on digivarad, mida kaitsta tuleb, millised meetmed on rakendatud, kus on kaitset vajavad nõrgad kohad ja riskid.“ Eelmisel aastal OIXIO poolt läbiviidud küberturbeauditite tulemusena selgus, et heal tasemel küberturvalisus on tagatud vaid 5% ettevõtteis.

„Kahjuks on levinud väärarusaam, et kui midagi seni juhtunud ei ole, siis küllap on kõik hästi. Tegelikult on küberintsident vaid aja küsimus,“ sõnab Vallistu. Ta kinnitab, et ei tasu karta ka seda, et küberturbe tagamine tingimata väga kallis oleks: esmase kaardistuse tegemisel võib selguda, et parandamist vajavad kolm-neli elementaarset meedet, millel kõrget hinnalipikut küljes ei olegi ning mida saab kerge vaevaga rakendada. Ent nii nagu muudes eluvaldkondades, on ka turbeteemade puhul võtmeks järjepidevus, rõhutab Vallistu. „Sellest on vähe kasu, kui korra aastas teema lauale võtta, paar-kolm kõige punasemalt vastu terendanud ohtu kõrvaldada,“ sõnab ta. „Mulle on jäänud meelde hea ütlus RIA aastaraamatust: küberturvalisus ei ole Javelini rakett, mille võib välja lasta ja põhimõtteliselt ära unustada.“ Seega: küberturvalisus ei ole ühekordne projekt, vaid sellega tuleb järjepidevalt tegeleda.

2. Kaasa abijõudu väljaspoolt

Küberturvalisuse eksperdi sõnul on isegi siis, kui majas sees on olemas turbekompetentse, aeg-ajalt tark tellida väljast sisse sõltumatuid auditeid, et olukorrast selgust saada ning hinnata olemasolevate meetmete kaitsetõhusust. „Kui tulemus on hea, siis garanteerib see vähemalt hea une,“ leiab ta. Ent lisaks kaardistuste tegemisele tasub abijõudu kaasata ka pikas perspektiivis, kinnitab Vallistu. „Kui on üks teenus, mida väljaspoolt ostetakse, on selleks just küberturbeteenus.“

Põhjuseid on seejuures mitmeid. „Majas sees kompetentsi hoidmine on väga kallis. Väiksemates ettevõtetes on heal juhul olemas IT-tehnik või süsteemiadministraator, aga küberturbe eest vastutuse võtmiseks on vaja eraldi pädevust. Need inimesed on kallid ning Eesti kontekstis on üldiselt vaid suurettevõtetel infoturbejuhile täiskohaga tööd pakkuda.“ Vallistu selgitab, et mõistlikum on kulusid optimeerida ja osta tuge teenusepakkujate käest. „OIXIO eeliseks on see, et haldame samaaegselt mitmeid ettevõtteid ning oleme seetõttu teadlikult erinevatest küberohtudest, meil on olemas sertifitseeritud spetsialistid, keda koolitame. Samuti on meie eeliseks väljakujunenud praktikad ja protsessid, mida IT-turvalisuse tagamiseks vaja.“

3. Koolita töötajaid küberhügieeni vallas

Tänapäeva maailmas on järjest olulisem töötajatele küberhügieeni õpetamine. „Juhi vaatest on oluline tagada, et töötajad oleksid tänapäevaste ohtude ja pidevalt arenevate ründemetoodikatega hästi kursis,“ sõnab Vallistu, kes lisab, et paraku ei ole olemas hõbekuuli, mis iga ettevõtte mured hoobilt lahendab. „Küberturvalisuse tagamine on nagu rätseplahenduse loomine.“

Ka töötaja vaatest on mitmeid põhitõdesid ja elementaarseid reegleid, mida silmas pidada – mõnda neist, näiteks turvalise parooli valimist, on palju rõhutatud, ent väljatoomist väärivad teisedki. „Üks soovitus nii töö- kui eraellu: just pilveteenuste ja erinevate veebisaitide puhul rakendada mitmikautentimist, sest ainult parool ei kaitse,“ kinnitab Vallistu. „Kui vähegi võimalik, on mõistlik töö- ja eraelu lahus hoida. Kui tööfailid laaditakse koduarvutisse, mida kasutab ka laps, või jookseb kass üle klaviatuuri, siis see kõik ohustab äriandmeid.“ Vallistu lisab, et tänapäeval tehakse ka väga professionaalseid õngitsuskirju, mistõttu tuleb väga ettevaatlikult suhtuda kirja teel tehtavatesse pakkumistesse või päringutesse. „Mitte iialgi ei tohiks mõtlemata jagada konfidentsiaalset infot või paroole – tasub võtta hetk ja mõelda, ning kui on kahtlus, siis abi küsida.“

Heal tasemel küberturvalisus on konkurentsieelis

Kokkuvõttes rõhutab Vallistu, et turbe tagamine käib läbi kolme peamise lüli: inimesed, protsessid ja tehnoloogia. „Oluline teada, kuidas need kolm omavahel ühendada, et tagada küberturvalisus ja -turve,“ sõnab ta. Ta lisab, et heal tasemel küberturvalisusega ei kaitse me mitte ainult endid, vaid ka oma kliente ja äripartnereid. Kehva turbetasemega kahjustatakse aga ka teisi.“ Seega loob küberturvalisus täna otseses mõttes konkurentsieelised.

Tele2 soovib ettevõtjaile toeks olla ning pakub oma äriklientidele partnerteenuste valikut terve ettevõtte elutsükli jooksul. B2B-teenuste valdkonnajuhi Janek Jaago sõnul soovib Tele2 ettevõtjaile toeks olla ning arvestades praegust turbulentset aega, siis on eriline rõhk just küberturvalisust pakkuvatel teenustel ja nende hulgas ka küberturbe analüüsil, millest Andres Vallistu alustada soovitab. Uuri lähemalt siit.