Kes vastutab, kui äri seisab? Küberturvalisuses mängib võtmerolli ettevõtte juhtkond

Andres Vallistu

Küberturbe ärisuuna juht

“Ah, mina ei tea sellest IT-st midagi, mul on selleks spetsialistid!” – see on üks ohtlikumaid lauseid, mida firmajuht võib praegu oma ettevõtte küberturvalisuse kohta öelda. Äri toimimise tagamine on iga ettevõtte kõige olulisem ülesanne ja selle eest vastutab ilma kahtluseta just juhtkond. Kuna toetava IT-ta ei ole täna võimalik enam äri teha, siis on IT ja selle turvalisus ka ettevõtte juhtide asi. Sellele peab kindlasti tähelepanu pöörama.

Lekkivate andmete eest läheb vangi juht

Kui firmas tekivad mõne küberintsidendi tagajärjel probleemid, millest omakorda tekib äriseisak, siis kes selle eest vastutab? Eks ikka juht. Kui küberintsidendi tagajärjel lekivad tundlikud andmed, siis vangi ei lähe tavaliselt mitte “patsiga poiss”, vaid just organisatsiooni juht, kelle roll on tegelikult vastutada ka IT eest.

Veel üks oluline põhjus, miks on ettevõtte juhil mängida oluline roll küberturbes, on see, et just juht või juhtkond peab välja töötama äristrateegia. Kui aga jäetakse tähelepanuta küberintsidendid kui ühed kõrgeima riskiga välised ohud, siis on kontoris piltlikult öeldes viitsütikuga pomm – keegi ei tea, millal see plahvatab, aga kunagi plahvatab kindlasti. Ettevõtte jätkusuutlikkust pole mõtet selle pärast ohtu seada. 

Seega on väga oluline, et juht mõistaks küberturbe olemust ning arvestaks sellega ka äristrateegiat planeerides.

Juhi vastutus on siin oluline ka vajaliku töökultuuri loomisel, mille järgi töötajad käituvad. Kui tema ise küberturvalisusest ei hooli, siis ei tee seda ka teised. Juhi enda roll on viia küberturbe olulisus ka teiste töötajateni, seda ei pea tegema IT spetsialist.

Küberrünnakute mõju äritegevusele on laastav

Küberkuritegevus on endiselt tõusev trend. Ettevõtte juht peab olema nii suurest äririskist kindlasti teadlik: mida üks küberrünnak võib endaga kaasa tuua ja kuidas see mõjutab äritegevust. Tihti arvatakse, et kes meid ikka ründab, me pole ju nii tähtsad, aga tavaliselt ei valigi küberkurjategijad ohvrit teadlikult – see töö on suuresti automaatne ning rünnatakse neid, kes on nõrgemad. Kui IT turvalisusesse ei panustata, siis on selge, et see firma on ka ründajatele kergem saak.

Siin on mõned tüüpilised olukorrad, mille võib kaasa tuua ettevõtet tabanud küberrünnak.

Äriseisak. Üks hullemaid asju on kindlasti äriseisak, mille põhjuseks on sageli mõni õnnestunud lunavararünnak, mis halvab ärisüsteemid, krüpteerib andmed ja muudab need kasutuskõlbmatuks. Rünnaku kahjude likvideerimiseks võib kuluda päevi või nädalaid. Näiteks kui firma tegeleb jaekaubandusega, siis kuidas saab klient kaupa osta, kui kassasüsteemid on maas? 

Seda illustreerib väga hästi hiljuti Rootsi toidupoodide keti Coop intsident, kui üle riigi olid kõik Coopi kassasüsteemid maas, mille põhjustas lunavararünnak. Sarnaseid seisakuid võib esineda kõikides valdkondades.

Otsene rahaline kahju. Lunavararünnaku ohvriks langedes võib sattuda sundseisu, et peab andmete päästmiseks lunaraha maksma. Summad on sageli viiekohalised numbrid ja näiteks bitcoinides makstes ei jää mingit jälge, kellele raha saadeti. See on jäädavalt kadunud. 

Ei ole väga harvad juhud, kui nii-öelda tegevjuhti mängiv kurikael sellist petuskeemi ründemetoodikat ära kasutades annab raamatupidajale käsu raha küberpäti kontole kanda. 

Kui aga isikuandmed firmast lekivad, võib sellega kaasneda GDPR regulatsioonist tulenevalt trahvinõue, mille suurus võib olla maksimaalselt 4% ettevõtte aastakäibest.

Mainekahju. Küberrünnaku tagajärgedega käib tihti kaasas mainekahju ning peaaegu alati tähendab see, et ettevõte kaotab oma klientide silmis usalduse. Koos sellega kaovad kliendid ja äritulu. Tasub mõelda, mida see tähendab äri jaoks, kui kasvõi mõni protsent headest klientidest lahkub konkurendi juurde?

Küberturbeaudit toob välja kõik peidetud nõrkused

Kui juhtkond on aru saanud, et IT ja küberturvalisuse tagamine on väga olulise tähtsusega, siis peab hakkama otsima vastuseid erinevatele olulistele küsimustele:

  • Kes meil vastutab küberturbe tagamise eest operatiivtasemel ja kas meil on majas piisavalt oskusi sellega tegelemiseks?
  • Milliseid lahendusi me oleme juba rakendanud, mida oleme tänaseni teinud?
  • Kas on olemas ülevaade küberturvalisuse olukorrast praegu – kus on nõrkused, probleemid ja millised on kaasnevad riskid äritegevusele?
  • Kas meie infoturvapoliitika on ajakohane ja kõikide töötajateni viidud või puudub see sootuks?

Parimaks lahenduseks on siinkohal tellida sõltumatu osapoole teostatud küberturbeaudit, mis toob välja turvanõrkused ja probleemid. Muidu võib juhtuda, et tegelete iseseisvalt valede probleemidega ja oluliselt suuremad probleemid on kuskil, kuhu vaadata ei oska. 

Küberturvalisus on oluline – eralda sellele 2-3% käibest

Väga oluline on pärast küberturbe auditi tegemist avastatud probleemidega edasi tegeleda. Vajalikeks investeeringuteks peaks olema piisav eelarve. Soovituslik on eraldada küberturbele 2-3% ettevõtte käibest.

Pahatihti on just IT ja küberturvalisus need valdkonnad, mille pealt hakatakse esimesena kokku hoidma, mis on põhimõtteliselt vale. Tegelikult on küberrünnakute ärahoidmine ja ennetamine alati kordades odavam, kui nende tagajärgedega tegelemine.

Kindlasti tekib auditi järel veel küsimusi, millele tasub vastused saada:

  • Kas juhtkond on teadlik riskidest, kaasnevatest tagajärgedest ja kas jääkriskid on vastuvõetavad?
  • Kas rakendatud või rakendatavate turbemeetmete ja kasutusmugavuse vahel on tasakaal? Liigsete piirangutega võib väheneda kasutusmugavus, mis võib kaasa tuua töötajate rahulolematuse. 
  • Kas on olemas plaan järgmiseks perioodiks?

Küberturvalisusel pole algust ega lõppu

Küberturvalisuse tagamine ei saa kunagi olla ühekordne projekt kindla alguse ja lõpuga. See peab olema pidev töö ning kindlasti ei tohi unustada ka ennetustegevusi. 

Kõige olulisemad tegevused, millega küberintsidentide ennetamisel tegeleda, on järgmised: 

  • Regulaarsed küberhügieeni koolitused töötajatele. Väga tihti on nõrgimaks lüliks just seesama töötaja ise, kes avab viirusega faili või klikib õngitsuslingil.
  • Küberteemasid peab toetama ka firma töökultuur. Hoidke organisatsiooni tasemel küberturbeteemasid tähtsal kohal ja rääkige selle olulisusest igal võimalikul juhul.
  • Talletage logisid. Ettevõttes tuleb luua võimekus turbelogide säilitamiseks, analüüsiks ja intsidentide tuvastamiseks. Kui selline võimalus puudub, istute piltlikult öeldes silmaklapid peas, samal ajal kui küberpätid teie digivara laiali tassivad.
  • Lülitage küberturvalisuse teema juhtkonna päevakorda. Seadke juhtkonnas paika mõõdikud ja hoidke teema fookuses.

Kõige olulisem on küberturvalisuse tagamisel, et juhi mõttemaailmas püsib teadmine turvalise IT olulisusest äri toimimise olulise alustalana. See võib luua ettevõttele konkurentsieelise, kui IT eest on väga hästi hoolitsetud. Nii tugev, kui on ettevõtte turvalisuse ahela kõige nõrgemad lülid, nii turvaline on ka ettevõtte keskkond.

Kui ettevõttes puudub kompetents infoturbega tegelemiseks või täiskohaga infoturbejuhi palkamine pole kuluefektiivne, on mõistlik mõelda infoturbejuhi teenusena (CISOaaS) sisseostmisele. Küsi nõu!

Kuidas saame Sulle abiks olla? (OIXIO Cyber)

Võta ühendust, kui soovid suhelda eksperdiga.

* tähistatud väljad on kohustuslikud

Nimi*
Kirjutage meile, kui teil on küsimus või soovite suhelda eksperdiga.
This field is for validation purposes and should be left unchanged.

Andres Vallistu

Linkedin

Küberturbe ärisuuna juht