KPMG ülevaade küberturvalisusest 2022. aastal

Strateegiline üleminek

Tänapäeval puudutab ja mõjutab küberturvalisus iga tehnoloogiaettevõtte tegevuse peaaegu kõiki tahke. Küberturvalisus ei ole enam valdkond, millega tegelevad ainult turva- ja IT-töötajad. Seepärast tuleb mõista, et küberturvalisuse eest ei vastuta enam üksnes IT-spetsialistid, vaid kogu ettevõte ühiselt. Infoturbejuht peab täitma mitut rolli ja suutma viia ettevõtte äristrateegia kooskõlla küberstrateegiaga. Seega on äärmisel tähtis, et küberturvalisus oleks lõimitud äriprotsessi. Infoturbejuhid peavad aitama ettevõtte juhtkonnal sellise ülemineku võimalikuks teha.

X-faktor: kriitilised võimed ja oskused

Juba enne COVIDit muutus järjest olulisemaks turulejõudmise kiirus, millega peab kaasas käima kõigi asjassepuutuvate riskide analüüs, ning koroonakriisiga on need vajadused veelgi teravamalt esile tõusnud. Praegu valitseb suur puudus võimekatest küberturbespetsialistidest. KPMG soovitab selle lünga täitmiseks otsida alternatiivseid lahendusi näiteks vabakutseliste kaasamise ja küberturvalisuse toimingute automatiseerimisega. Peale selle julgustatakse infoturbejuhte vaatama talendiotsingul laiemalt ringi ning kõrvaldama sisenemistõkked, et meelitada valdkonda suuremal arvul võimekaid töötajaid.

Turvalisuse kohandamine pilve jaoks

Küberturvalisuse maastikku on muutnud ka see, et jõudsalt kasvab pilveteenustele üle minevate organisatsioonide arv. Tavapärase küberturvalisuse tagamiseks vajalikud protsessid ja oskused ei tarvitse pilvekeskonnas enam sobida. KPMG aruandest ilmneb, et 90% organisatsioonidest võivad olla haavatavad pilveteenuse väärast konfigureerimisest tulenevate turvaohtude ees. Infoturbejuhid peavad aitama oma tiimil mõista konkreetselt pilvega seotud küberturvalisuse nõudeid ja kohandada küberkaitset pilveteenustega. Seejuures tuleks lähtuda reguleerivast raamistikust ja võtta arvesse seda, kuidas mõjutavad pilve turvalisust sellised õigusaktid nagu isikuandmete kaitse üldmäärus ja USA terviseandmete kaitse seadus HIPAA.

Täisusaldamatuse mudeli aluseks on identiteedihaldus

Ajal, kui miljonid töötajad on läinud üle kaugtööle ja inimesed ostavad oma telefoniga kaupu igast maailma nurgast, muutub äriprotsessides järjest tähtsamaks identiteedihaldus ja nn täisusaldamatuse (ingl zero trust) turvamudeli kasutamine. Täisusaldamatuse mudelit ei tuleks enam vaadelda tehnoloogiana või lisafunktsioonina, vaid pigem turvastandardina, mille kõik infoturbejuhid peaksid kasutusele võtma. Iga sellise mudeli keskseks komponendiks peab olema identiteedihaldus.

Turvasüsteemide automatiseerimine

Automatiseerimine aitab sageli vabastada ressursse, mida võiks rakendada paremini kui monotoonsete ja korduvate ülesannete täitmiseks. See peab paika ka küberturvalisuse valdkonnas, kus selliseid toiminguid nagu nõrkuseotsing, logianalüüs ja vastavuskontroll tehakse automaatselt. Nii saavad võimekad infoturbespetsialistid keskenduda tõeliselt kriitilise tähtsusega olukordadele ning ei pea kulutama aega madalama tasandi ohtudele, mida saab hallata ka automatiseeritult. Infoturbejuhte innustatakse automatiseerimist täiel määral ära kasutama.

Privaatsus

Praegu käsitatakse küberturvalisust ja privaatsust eri valdkondadena, mis tihti toimivad üksteisest lahus. Kuna teadlikkus isikuandmete kaitsest ja selle tähtsusest aga järjest kasvab, suureneb ka vajadus suhtuda privaatsusesse mitte kui eraldiseisvasse õigusharusse, vaid kui mitut valdkonda ühendavasse funktsiooni. Kui ettevõtted rakendavad oma tegevuses lõimprivaatsuse põhimõtet, peaksid andmekaitseküsimused olema küberturvalisuse süsteemidega tihedalt läbi põimunud.

Turvalisus, mis ulatub ettevõtte piiridest kaugemale

Tänapäeval sõltuvad ettevõtted sageli tarneahelate usaldusväärsusest ja mitmest äripartnerist. Selliste sõltuvuste tulemusena on 79% küberturbe tiimidest mõistnud, et äripartneri ökosüsteemi ja tarneahela kaitsmine on sama oluline kui ettevõtte enda küberkaitsesüsteemide loomine. Seetõttu on kujunenud võrgustikud ettevõtetest, mis teevad koostööd ja vajavad piisavaid kontrollsüsteeme selleks, et kaitsta samal ajal nii enda kui ka partnerite andmeid. Vaja on luua tugev riskijuhtimise raamistik, millega saaks hallata nii organisatsioonisiseseid kui ka -väliseid küberohte. See nõuab infoturbejuhtidelt proaktiivset tegutsemist: automatiseerimise, pideva järelevalve ja täisusaldamatuse mudelite abil saavad nad aidata tagada turvalisust ka väljaspool ettevõtte piire.

Vestlus kübervastupidamisvõime teemal

KPMG aruandes kutsutakse infoturbejuhte üles algatama ettevõte tippjuhtkonnaga vestlusi teemal, kas ettevõte on küberründeks valmis. Küberründele vastupanuvõimeline ettevõte peab analüüsima kõiki ärilisi ja strateegilisi põhiprotsesse. Infoturbejuht peab muutma kübervastupidavusvõimet käsitleva vestluse formaati nii, et see peegeldaks kogu ettevõtte valmisolekut küberrünnete leevendamiseks ja suurimate riskide tuvastamiseks.

Loodetavasti on teile kui organisatsioonile või infoturbejuhile siin artiklis esitatud soovitustest kasu. Üksikasjalikuma ülevaate saamiseks tutvuge aruande täisversiooniga aadressil https://home.kpmg/xx/en/home/insights/2021/11/cyber-security-considerations-2022.html

Yusef Ward
Cyber Advisory
KPMG Baltics OÜ