80/20 reegel räägib sellest, et on 20% tegevusi, mis annavad 80% tulemustest. Samamoodi on ka ettevõtte küberturvalisusega – on olulisi asju, mis tuleks kindlasti ära teha, et üldist turvalisust suures osas parandada. Sellest, mis on need olulised tegevused, rääkis OIXIO veebiseminaril OIXIO küberturbe ärisuuna juht Andres Vallistu.
Kui küberturvalisusse laiemalt panustatakse maailmas 152 miljardit dollarit, siis võib tunduda see hoomamatult suur summa. Samas aga on kahju küberkuritegevusest ettevõtetele kokku ligi 40 korda sellest suurem. Seega on panustamine nii suure kahju ärahoidmiseks kindlasti väga mõistlik tegu. Küberturvalisus on nagu kindlustuse ostmine. Me maksame millegi nimel, mis ei pruugi kunagi juhtuda, aga selle väärtusest saab aru alles siis, kui midagi tõesti juhtub.
Lisaks pole ettevõtte küberturvalisus ja kaitse rünnakute eest vajalik ainult firma enda väärtuste hoidmiseks. Kübertubega hoitakse tegelikult ära ka kahju teistele ehk ettevõtte klientidele ja äripartneritele.
Kõigepealt halvad uudised – olukord on kehv
Kõigepealt aga olukorrast riigis: 95% Eesti ettevõtetest on küberturbe küpsustase madal, vaid viiel protsendil on see heal tasemel. Samas – miks see üldse on oluline?
Põhjuseks on äririskid. Küber-ohud on praegu ettevõtete äririsk number 1. See puudutab kogu ettevõtet, nii inimesi, tehnoloogiaid kui äriprotsesse.
Vaadates praegu kasvõi Riigi Infosüsteemide Ameti küberturbe statistikat, on rünnakute arv igal nädalal üsna suur. See on aga kõigest jäämäe tipp, sest paljud jätavad küber-intsidentidest üldse teatamata.
Nii levibki väärinfo, et kes meid ikka tahab rünnata, see puudutav vaid suuri ja tuntud ettevõtteid. See aga pole enam nii. Rünnakute taga on robotid, kes “pommitavad” valimatult kõiki, tundmata huvi, millega firma tegeleb või kui väärtuslik ta on. Käiakse nii-öelda kõigi uste taga kobistamas, ja kui on nõrk uks, siis on vaid aja küsimus, millal sealt sisse murtakse.
Kuula Äripäeva Raadiost: Olulised sammud ettevõtte küberturbe taseme tõstmiseks
Midagi positiivset ka – olukord paraneb
Küberturbe teadlikkus on viimasel ajal õnneks hakanud kasutajate seas kasvama. Riigi Infosüsteemi Amet (RIA) teeb pidevalt teavitustööd, ajakirjandus kirjutab turvateemadel nüüd aina rohkem, üksikud ettevõtted, kes on julgenud rääkida oma juhtumitest, on ka heaks eeskujuks teistele ja kõik see on aidanud jää liikuma. Ükskõiksus turvateemade suhtes on hakanud tasapisi vähenema.
Paljudes ettevõtetes on aga olukord siiski endiselt halb. Seda näitas hiljuti Turu-Uuringute AS-i poolt läbi viidud uuring, kus küsiti, kas teie ettevõttes on küberturbega kõik hästi? Sellele vastas jaatavalt 75%.
Sama küsimus esitati ka OIXIO veebinari kuulajatele. Tulemus oli parem, kuid kaugeltki mitte hiilgav: 26% arvas, et jah, küberturvalisusega on kõik korras, 6% vastas ei, 68% aga “nii ja naa”. See viimane vastusevariant näitab, et küberturbe auditit on siiski vaja enamusele, sest siis selgub, kas on “nii ja naa” või siiski mitte.
Millised on tagajärjed, kui küberrünne on üle käinud?
Nagu öeldud, on küberturvalisus nagu kindlustus, mille kasu selgub alles siis, kui midagi juhtub. Mis võib siis juhtuda? Kolm kõige sagedasemat tagajärge on äriseisak, rahaline kahju ja mainekahju.
Äriseisak – see on üsna levinud tagajärg, kui näiteks lunavararünnak on toimunud, äriteenused on seiskunud ja äriandmed kasutuskõlbmatud. Taastamiseks võib kuluda päevi! Ja nagu Murphy’l ikka kombeks, siis asudes varundusest taastama, võib selguda, et varundus on katki või puudulik. Igaüks saab välja arvutada, kui palju see maksma läheb, kui rünnaku tagajärjel seiskub ettevõtte tegevus näiteks üheks tööpäevaks. Sagenenud on ka lunavararünnakud, kus lisaks ähvardatakse krüpteeritud andmed lekitada – sel juhul pole abi ka toimivast varukoopiast.
Rahalised kahjud – näiteks tegevjuhi ründemetoodikaga kantakse raha võõrale kontole. Selle petuskeemi puhul saab raamatupidaja justnagu tegevjuhilt kirja, mis käsib ülekande teha. Tegelikult saadetakse raha aga petturite kontole. Kui isikuandmed lekivad, võib kaasneda GDPR regulatsioonist tulenevalt trahvinõue, mille suurus võib olla maksimaalselt 4% ettevõtte aastakäibest.
Mainekahju – seda pole ehk nii lihtne mõõta, aga kui näiteks klientide andmed lekivad, see läheb avalikuks ja selle tõttu lahkub 1% kliente ettevõtte konkurendi juurde, siis saab subjektiivselt hinnata, kui suur see mainekahju ärile rahaliselt oleks.
Vaata veebiseminar: “Kergelt nopitavad viljad küberturbe tagamiseks”
Mis on see 20%, mis aitab?
Kuidas siis leida need 20% meetmetest, mis annaksid 80% tulemuse ehk tagaksid küberturbe tagamisel kvalitatiivse hüppe?
Kahjuks ei ole aga siin üht kindlat retsepti. Standardkomplekti meetmeid pole olemas, et ettevõttes oleks küberturvalisusega hästi. Iga ettevõte on oma nägu, andmed on erinevad, süsteem erinev. Heal tasemel kaitse tagamine on siiski rätsepalahendus. Seda oskavad pakkuda kogenud teenusepakkujad.
Tõhusate meetmete väljaselgitamiseks on parim viis tellida küberturbe audit.
Milline on OIXIO auditi metoodika?
Kõigepealt vaadatakse auditi käigus üle kogu vajalik dokumentatsioon. Tutvutakse olemasoleva IT- ja infoturbe dokumentatsiooniga, mis on sisend kõigiks järgmisteks tegevusteks.
Teiseks tehakse intervjuud ja läbitakse auditi kontollküsimustik, mille juurde on kaasatud nii IT, kui ka juhtkond. Kontrollküsimused katavad ära nii protseduurilised kui tehnoloogilised valdkonnad.
Kolmas osa on tehniline audit, kus tehakse mitmeid käsitsi kontrolle ja tehniline turvanõrkuste tuvastamise skaneering. Tehniline audit on muuhulgas tõhus viis intervjuu käigus antud vastuste valideerimiseks ja loomulikult annab see kõige parema ülevaate tegelikust küberturbe olukorrast.