Äri toimimise ja jätkusuutlikkuse eest vastutab ettevõtte juht
Et tänapäeval saaks äritegevus mingilgi määral toimida, peab seda toetama IT. Kui IT läheb “katki” (nt küberintsidendi tagajärjel), siis äri seisab ja kui äri seisab, siis kannab juht (laiemalt juhtkond) vastutust. Juht peab hoolitsema IT eest nagu oma parima töötaja eest.
- Juht peab “töötajat” piisavalt hästi tundma ja temaga läbi saama (omama baasteadmisi IT’st).
- Ta peab kandma hoolt selle eest, et “töötaja” pidevalt areneks (teisi sõnu oleks kaasaegne ja toetaks maksimaalselt äriprotsesse).
- Peab hoolitsema selle eest, et “töötaja” ei lahkuks ettevõttest (teisisõnu ei lakkaks töötamast).
Ettevõtte juht on see, kes töötab välja ettevõtte äristrateegia, kaardistab tugevused, nõrkused, võimalused ja ohud. Kui aga juht jätab äristrateegiat planeerides tähelepanuta võimaliku küberintsidendi kui ühe kõrgeima riskiga välise ohu, siis on ettevõtte jätkusuutlikus tõsise küsimärgi all. Seega on oluline, et juht mõistab küberturbe olemust ja olulisust ning arvestab püstitab äristrateegiat planeerides ka eesmärgid küberturvalisusele.
Juhi vastutus on oluline ka vajaliku töökultuuri loomisel. Juht on etalon, tema peab viima küberturbe olulisuse ka töötajateni. Kui juht küberturbe teemasid esile ei too ja ei rõhu teema olulisusele, siis ei maksa ka loota, et töötajad seda teevad.
Juht peab omama ülevaadet turbeolukorrast ja peab olema teadlik riskidest. Lõppkokkuvõttes juht on see, kes otsustab, kas me astume sammud, et see risk maandada või me aktsepteerime ettevõttes selle turvariski ja kui me aktsepteerime, siis millised võivad olla potentsiaalsed tagajärjed äritegevusele.
Kokkuvõttes peab juhi mõttemaailma jõudma see, et toimiv ja turvaline IT on äri toimise fundamentaalne alustala, mis loob ettevõttele (salajase) konkurentsieelise juhul, kui IT eest on hoolitsetud nagu oma parima töötaja eest.
Küberturvalisuse kohta käivad müüdid ja tegelikkus
Minu ettevõtte küberturvalisus on ainult meie enda asi
Sageli arvatakse, et küberturbe teemadele mitte keskendumine ja vajalike meetmete mitterakendamine on ainult ettevõtte enda teadlik valik. Kuid paraku ei mõelda väga tihti sellele, et nõrga küberturvalisusega kahjustate ka kõiki teisi osapooli – oma kliente, äripartnereid. Kui teie ettevõtte digiuksed on lukustamata ja teie kliendi isikuandmed lekivad, siis kahjustate sellega oma kliente. Või kui teie ettevõte satub näiteks lunavara rünnaku ohvriks ja te olete mõne oma partnerettevõttega infosüsteemid moel või teisel sidunud, siis on risk, et läbi teie nakatub ka teie partnerettevõte. Siinkohal võib paralleeli tõmmata ka isikliku tervisega. Loomulikult on iga inimese enda jaoks oluline, et tervis on korras. Aga tihtilugu ei ole tervis minu enda kõige kallim vara, vaid minu lähedaste oma – kes minust hoolivad ja mind armastavad.
Kes meie ettevõtte digivara ikka tahab
Õnneks aina vähem, kuid siiski on veel vahel kuulda, et millegi pärast arvatakse, et kes meie ettevõtte digivara ikka tahab. Küberpätti ei huvita, kes te olete, millega tegelete või kui väärtuslikud on teie andmed. Rünnatakse automatiseeritult ja valimatult kõiki! Igas ettevõttes on andmeid, mida peab kaitsma (võtame kasvõi needsamad isikuandmed, mida reeglina mingis mahus iga ettevõte töötleb).
Tänaseni ei ole ju midagi juhtunud
Kui tänaseni ei ole midagi juhtunud, siis küllap ei juhtu ka, sest me oleme eksisteerinud juba 20 aastat ja siiani on õnneks läinud. Fakt on see, et kõigi digiuste taga käiakse kobistamas ja kui uksel on nõrk lukk, siis ei ole küsimus kas, vaid millal sealt uksest sisse saadakse.
Meil on küberturbega hästi
Veel üks üsna sage vääruskumus on see, et arvatakse, et meil on turbega hästi. Ei taha kellelgi liiga teha ja osadel ettevõtetel (murdosal) ongi hästi, kuid reaalsus on see, et enamikel siiski ei ole. Me näeme seda oma teostatud küberturbeauditite pealt. Ütleks, et ainult ca 5% on tõesti turbega hästi, aga valdaval enamusel, paraku mitte.
Pilv on turvaline
Paraku arvatakse tihti ka seda, et pilveteenuse kasutusele võtmise korral võib küberturbe teemad unustada, sest pilv on ju turvaline. Jah, üldjuhul on pilveteenused turvalised, aga reeglina mitte oma vaikeseadetest. Hästi lihtsustatult, kui te kolite pilve, aga pilves vajalikke turbeseadistusi ei tee, siis te istute seal pilve peal päris paljalt ja kõik näevad, kui te seal alasti olete.
Küberturbesse investeerimine on kallis
Arvatakse, et küberturvalisuse tagamisega kaasneb suur kulu. Päris nii see ei ole, sest baasturvalisuse tagamine ei ole reeglina kallis! On väga palju meetmeid, mida saab ilma investeeringuid tegemata rakendada (täiendavad turvaseadistused, protsessid, töökorrad). Ja on meetmed, mille kulu (arvestades mõju turbe tagamisel) on olematu.
Investeeringud küberturbesse võivad oodata
Ja viimaseks müüt, mis räägib küberturbe investeeringute ajatamisest. Kas on mõistlik investeeringuid edasi lükata? Näiliselt ju turbesse investeerimine ärilist käegakatsutavat väärtust ei loo. Miks võtta endale kulusid peale, pigem paigutame raha kuhugi, kus tuleb käegakatsutav tulu.
Oletame, et me teame, kus ettevõttes nõrgad kohad turbe mõistes on, aga me lükkame investeeringuid edasi. Siia näitesse on hea tuua paralleel autode maailmast. Kui autol läheb õlituli põlema siis, kas on mõistlik edasi sõita või valada õli juurde? Jah tõsi, võib ju lühiajaliselt edasi sõita, aga pikemalt sõites jookseb mootor kokku ja remont on kordades kallim, kui oleks olnud õigel ajal õli peale valamine. Sama printsiip kehtib ka turbes. Pigem lappida turvaauk kohe, mitte oodata, kui küberintsident aset leiab.
Kust juht peaks alustama?
Alustuseks peab juht küsima endalt järgmised lihtsad küsimused:
- Kes meil vastutab küberturbe tagamise eest operatiivtasemel ja kas meil on majas piisav kompetents tegelemiseks? Juht omab küll vastutust, aga juht ei saa vastutada operatiivtasemel/tehniliselt.
- Millised meetmed oleme juba rakendanud? Kas ma oman ülevaadet tänasest küberturvalisuse olukorrast – kus on turvanõrkused ja millised on kaasnevad riskid äritegevusele?
Kui eelnevad küsimused on küsitud ja vastused olemas, siis küsige veel:
- Kas meil on küberturbe vastumeetmete rakendamiseks piisav eelarve olemas? Pahatihti on just IT ja küberturvalisus need valdkonnad, mille pealt otsitakse kokkuhoiukohti, mis on fundamentaalselt vale. Tegelikult on küberrünnakute ärahoidmine ja ennetamine alati kordades odavam kui nende tagajärgedega tegelemine.
- Kas juhtkond on teadlik riskidest, kaasnevatest tagajärgedest ja kas me oleme aktsepteerinud jääkriskid?
- Kas meil on olemas plaan? Mis on need tegevused, millega me küberturvalisust parandame, kasvõi väikeste sammudega.
Suures osas katab eelnevad punktid ära sõltumatu osapoole poolt teostatud küberturbeaudit, kus OIXIO Cyber saab abiks olla. Audit toob välja turvanõrkused ja probleemid. Isegi, kui te arvate teadvat, millised nõrkused ettevõttes on ja millega peab tegelema hakkama, võib juhtuda, et te tegelete valede probleemidega ja oluliselt suuremad probleemid on kusagil, kuhu te vaadata ei oska.
Küberturbeauditi lõpptulemiks on konkreetne tegevuskava küberturvalisuse taseme tõstmiseks. Kui ettevõttes puudub kompetents või ajaressurss plaani elluviimiseks, siis OIXIO Cyber saab eestvedamise infoturbejuhi teenuse raames enda kanda võtta.