Eesti riigi IT-juht Luukas Kristjan Ilves ütles OIXIO-le antud intervjuus välja kaks postulaati seoses küberturvalisusega:
- Andmekaitse on universaalne kohustus kõigile ja läbi selle peaks olema kohustuslik ka kaitsega seotud kontroll ja audititegevus.
- Andmekaitsekohustus on juhtkonna, mitte IT-osakonna vastutada.
Seadusega on sätestatud, et elutähtsate teenuste osutajatel on küberturbeaudit kohustuslik. Aga ka kõik teised ettevõtted, kus vähegi tegeletakse riskijuhtimisega, peaks olema küberturbe auditeerimine selle lahutamatu osa.
Küberohud on nr 1 äririsk ja puudutab meid kõiki, nii era- kui ka tööelus. Olukord ümberringi läheb järjest hullemaks, kaitstud ei ole keegi, ei suuremad ega väiksemad ettevõtted. Ülioluline on, et küberturbe teemad oleksid täna juhtkonna laual, sest küberturvalisuse tagamine on just nimelt ettevõte juhi probleem.
Kuidas alustada?
Kuidas midagi parandada, kui puudub arusaam, mis katki on? Küberturvalisuse konteksti viies:
– kas ettevõte peaks investeerima täiendavatesse turbetehnoloogiatese
– kas piisab, kui rakendada mõned täiendavad seadistused
– kas mõni oluline dokumentatsiooni või protsessi osa on puudu
– kas töötajate küberhügieenitase on piisav
– kas on olemas teadlikkus kõikidest nõrkustest ja “aukudest”?
Ilmselt tuleb tegeleda nende kõigiga, aga millises järjekorras?
Küberturbeaudit toob selguse ja annab plaani.
Meie pakutav küberturbeaudit on mitmekihiline, sisaldab automatiseeritud tehnilisi skanneringuid ja käsitsi kontrolle ning vestlusel põhinevat intervjuud. Auditi tulemiks on faktidel põhinev ülevaade tänasest ettevõtte küberturbe küpsustasemest, mis on rikastatud meiepoolsete arendusettepanekute ja tegevusplaaniga, mis aitab küpsustaseme redelil ülespoole liikuda.
Kas küberturbeaudit on piisav?
Ei. Heal tasemel küberturvalisuse tagamiseks tuleb teha järjepidevat tööd. Küberturbaaudit on oma olemuselt justkui fotoklõps tänasest olukorrast, mis annab küll tegevusplaani alustamiseks, kuidas ei taga püsivalt ja pikemas perspektiivis heal tasemel turvalisust. Turvalisuse tagamine ei ole ühekordne projekt, vaid on protsess.
Kuidas tagada püsivalt heal tasemel küberturvalisus?
Iga ettevõte on täiesti oma nägu. Erinevad on kaitstavad süsteemid ja digivarad. Ettevõtetele kohalduvad erinevad õigusaktid. Erinevad ka riskid ja valimidus jääkriske aktsepteerida. Oluline on aga turbega tegeleda pidevalt ja süsteemselt. Seda eesmärki täidab turvaseire teenusena (SOCaaS), mis annab pideva turbeolukorra teadlikkuse ja võimaldab tegeleda pideva parendusega. Kui küberturbeaudit on justkui fotoklõps hetkeolukorrast, siis turvaseire tagab püsiva ülevaatlikkuse. Turvaseiret on mõistlik teenusena sisse osta väliselt partnerilt, sest majas sees selle kompetentsi hoidmine on jõukohane vähestele.
Turvaseire teenusena hõlmab logitalletust ja logiandmete analüüsi reaalajas ning ka turvanõrkuste pidevat seiret. Teenuses sisaldav regulaarne turvaintsidentide ja -nõrkuste aruandlus annab jooksva teadmise infoturbe seisust ning võimaluse selle alusel luua parendamise plaani, et reageerida kiirelt uutele ohtudele ja tagada (äri)tegevuse jätkusuutlikkus.
Lisaks kõigele eelpool toodule sisaldub turvaseire teenuses ka infoturbejuhi (CISO) funktsioon, mis toetab ettevõtte olemasolevat infoturbe/IT-juhti või võtab vajadusel infoturbe eestvedamise ettevõttes enda peale. Teenusega kaasnev infoturbejuht võtab vastutuse, käivitab ettevõttes infoturbe organisatsiooni ja infoturbe juhtimissüsteemi. Samuti teeb koostööd äripoolega, koordineerib vajalikke osapooli, hindab riske, seab infoturbe valdkonnale eesmärgid ja mõõdikud, töötab välja vajalikud juhendid ning protsessid, teeb regulaarseid kokkuvõtteid infoturbe olukorrast ja on turbeplaanist tulenevate vastumeetmete rakendamise veduriks, millega on tagatud pidev turbeolukorra paranemine.
Kokkuvõtvalt
Küberturbe tagamine on protsess, mis algab auditist. Püsiva ülevaate tagab turvaseire ja turbega seotud protsesse juhib infoturbejuht. Audit teostame juba aastaid ja seiret ning juhtimist pakume teenusena.
Ma tahan sinuga kohtuda, et aru saada sinu muredest. Leiame koos praktilised sammud, kuidas küberturbe taset tõsta.”