Suurt rahalist kahju tekitavad kübervargused on mõne aastaga mitmekordistunud ja ähvardavad nüüd tõsiselt ka väikeettevõtteid, aga lahendus on olemas, kirjutab Finora Panga tehnoloogiajuht Marek Piller.
Liiga paljud seostavad IT-turvalisust ennekõike suurfirmade või valitsusasutustega. Kujutatakse ette, et digitaalseteks ohtudeks on hiiglaslikke arvutiparke ja keerukaid programme kasutavad häkkerid, kes ajavad taga väga suuri sihtmärke. Nii võiski see valdavalt olla kümmekond aastat tagasi. Aga tänaseks on pilt täiesti muutunud. Nüüd on reaalses ohus iga ettevõte – ka see, kus on 10 töötajat ja käive paar miljonit.
Kui keegi murrab sisse sinu füüsilisse lattu või kontorisse, siis need ei ole ilmselt rahvusvaheline maffia ega võõrriigi luurajad, vaid lihtsalt paar kohalikku pätti. Tänaseks on olukord samasugune ka digimaailmas. Andmete varguse, süsteemide lukustamise ning lunaraha nõudmise või arvepettustega tegelevad sajad ja tuhanded pisikriminaalid. Oht tüüpilisele Eesti ettevõttele on seetõttu suurusjärgu võrra suurem kui veel mõne aasta eest.
Mängu on muutnud see, et igasuguse äri juhtimine on kolinud suures osas internetti. Meie panga kliendid on valdavalt väikesed ja keskmised ettevõtted ning näeme, kuidas ka näiteks ehituse või kaubanduse valdkonnas kolivad aina rohkemad äriprotsessid digikeskkonda.
See aga tähendab, et kõik väärtuslik, mida tänapäeva töökohal on vaja kaitsta, pole enam silmaga nähtav ega kergesti märgatav. Turvalisus töökohal hõlmab füüsilisega samaväärsena ka digitaalset turvalisust. See tähendab andmete, teabe, vastavuse ja süsteemide kaitset. Sa ei pruugi neid varasid näha ega puudutada, kuid need on sinu ettevõtte edu ja terviklikkuse jaoks üliolulised. Ja selgub, et need nähtamatud varad maksavad palju.
Maailmas kokku läheb küberkuritegevuse tõttu kaotsi tervelt 1% kogu SKPst. Süsteemide pantvangi võtmine tekitab tänaseks ligi 60 korda rohkem kahju kui veel mõni aasta tagasi. Riigi infosüsteemide ameti andmetel loovutavad Eesti ettevõtted küberkurjategijatele aastas umbes miljon eurot. USA näitel sai aastatel 2018–2020 küberpättide tegevusega pihta ligi 70% väikestest ja keskmisest ettevõtetest, keskmine kahju ületas ka kõige lahjemate kuriteoliikide puhul 120 000 dollarit – ning see oli veel enne koroonaaega, mil küberkuritegevus kasvas 600% (sest pätid kolisid internetti).
Kokku võib ka väga konservatiivselt hinnates arvata, et on tugevalt üle 50% tõenäosus, et mistahes Eesti ettevõte langeb järgmise aasta jooksul küberrünnaku ohvriks ning kannab märkimisväärset rahalist kahju. Kas niigi majanduslikult keerulisel ajal tasub sellega riskida?
Igaühel on oluline teadvustada, et küberohud on hiljuti muutunud oluliselt mitmekesisemaks. Küberrünnaku eesmärgid võivad olla nii andmetele ligipääs ja väljapressimine kui ka ettevõtte online-tegevuse halvamine. Lisaks otseselt väljapetetud või lunarahaks nõutud summadele tekitab lisakahju ka töö takistamise tõttu saamata jääv tulu.
Vastumeetmed on olemas – aga nõrgim lüli on töötajad
Hea uudis on see, et tööriistad küberpättide oma digivarast eemal hoidmiseks on täiesti olemas. Neid tuleb aga teadlikult kasutada. IT-turvalisus hõlmabki väga erinevaid meetmeid, nagu tulemüürid, viirusetõrjetarkvara, sissetungimise tuvastamise süsteemid, juurdepääsukontrolli mehhanismid, krüpteerimine või avariitaasteplaanid. Need kõik on loodud selleks, et vältida või leevendada turvarikkumiste mõju ning tagada teabe konfidentsiaalsus, kättesaadavus ja usaldusväärsus.
Et ettevõte oleks reaalselt kaitstud, tuleb tegeleda nii arvutisüsteemide, võrkude kui andmete kaitsmisega varguse, kahjustamise, volitamata juurdepääsu või muude pahatahtlike rünnakute eest. See hõlmab erinevate tehnoloogiate kasutamist ja protsesside sisseharjutamist, et kaitsta digitaalset teavet paljude ohtude eest, sealhulgas pahavara, andmepüügirünnakud, häkkimiskatsed ja muud tüüpi küberkuritegevus.
Kahjuks on ka fakt, et pidevalt kerkivad esile uued ohud ja haavatavused. Aga samuti töötatakse nende lahendamiseks pidevalt välja uusi tehnoloogiaid ja tehnikaid. See tänane reaalsus nõuab paraku igalt ettevõttelt tehniliste teadmiste, analüütiliste oskuste ja strateegilise planeerimise kombinatsiooni, et end tõhusalt küberohtude eest kaitsta.
Kõige tähtsam on teada ja meeles pidada, et digiturvalisuse võti ning paraku ka nõrgim lüli on täiesti mittetehnoloogiline – see on inimene. Valdav osa kübervargusi pannakse toime mõnda võtmetöötajat segadusse ajades või tema hajameelsust ära kasutades.
Seega esimene ja kõige olulisem samm, et ettevõtet digiohtude eest kaitsta, on töötajate teadlikkus ja digiturvalisuse olulisuse mõistmine. Inimesed peavad tähtsustama digiturvalisust füüsiliselt tööl viibides, aga ka muul ajal, sest töö (ja sellega koos haavatavus küberkuritegudele) kipub aina enam arvuti ja telefoniga ka koju kaasa tulema.
Iga ettevõte peaks astuma need kuus sammu, et oma IT-turvalisust suurendada.
1. Tee riskianalüüs. Esimene samm on hinnata ettevõtte digiturvalisuse hetkeseisu. Riskianalüüs aitab tuvastada nõrkusi ja potentsiaalseid ohte organisatsiooni IT-infrastruktuurile, rakendustele ja andetele.
2. Pane paika turvastrateegia. Riskianalüüsi tulemuste põhjal tuleks välja töötada turvastrateegia tuvastatud riskide ja haavatavustega tegelemiseks. Strateegia peaks sisaldama põhimõtteid, protseduure ja juhiseid ettevõtte IT-varade turvamiseks.
3. Rakenda turvakontrolle. Ettevõtte IT-varade kaitsmiseks tuleks rakendada turvakontrolle, nagu tulemüürid, sissetungimise tuvastamise süsteemid ja krüpteerimine. Need kontrollid peavad lähtuma turvastrateegiast.
4. Hari töötajaid. Nagu öeldud, töötajad on IT-turvalisuse nõrgim lüli. Seetõttu on oluline neid informeerida IT-turvalisusega seotud riskidest ja korraldada koolitusi, kuidas vältida levinud ohte, nagu näiteks andmepüügipettused või pahavararünnakud.
5. Korralda regulaarseid turbeauditeid. Regulaarsed auditid aitavad tuvastada IT-infrastruktuuri võimalikke nõrkusi ja toovad esile täiustamist vajavaid valdkondi.
6. Hoia end kursis turvatrendidega. IT-turvalisuse ohud ja haavatavused arenevad pidevalt. Uusimate turvatrendide ja -tehnoloogiatega kursis olemine aitab ettevõttel potentsiaalseid ohtusid ennetada.
Just äsja avanes võimalus saada EASilt ja KredExilt mõistlikel tingimustel toetust, et needsamad sammud kogenud eksperdi toel läbi teha. Toetustele ei tohi muidugi lootma jääda, aga kui pakutakse, tasub need ära kasutada.
Artikkel ilmus Äripäevas.