küberturvalisus
29.06 2022

Eesti ettevõtete juhid peavad infoturvet ja küberturvalisust oluliseks

Eesti ettevõtete juhid peavad infoturvet ja küberturvalisust oluliseks ning hindavad küberintsidentide realiseerumise ohtu pigem tõenäoliseks

2022. aasta esimeses kvartalis viis KPMG Baltics koostöös Äripäevaga läbi sõltumatu infoturbe ja küberturvalisuse uuringu Eesti juhtivate ettevõtete seas. Uuringu peamine eesmärk oli teada saada, kuidas ettevõtted suhtuvad infoturbe ja küberturvalisuse tagamisse ning mismoodi on ettevõtted infoturvet ja küberturvalisust üles ehitanud. Uuringu ajendiks on kaasaja poliitilise, tervishoiualase ning majandusliku olukorra ebastabiilsus maailmas, mis on vaieldamatult mõjutanud ka infotehnoloogia ning kitsamalt ka küberturvalisuse valdkonda. Uuringu abil soovime juhtida tähelepanu infoturbe valdkonna olulisusele ning spetsiifilistele kitsaskohtadele, mille abil saavad paljud ettevõtted teadvustada võimalikke ohte ja valmistada end paremini ette ohtudele reageerimiseks.

Uuring teostati kahes etapis – 1. etapis küsitleti ettevõtete juhte 300 suurima Eesti tööandja hulgast. Uuringu 2. etapp keskendus eraldiseisvalt tervishoiusektorile, mille raames küsitleti tervishoiuasutuste ja -organisatsioonide juhte. Tervishoiusektorit käsitleti uuringus eraldiseisvalt seetõttu, et sektoris on kehtestatud kõrgemad nõuded andmete kaitsele delikaatsete isikuandmete töötlemise tõttu.

Uuringu tulemused kinnitavad, et valdav osa Eesti ettevõtete juhte peavad infoturvet ja küberturvalisust oluliseks ning ettevõtete juhid on seisukohal, et küberintsidentide realiseerumise oht on täna pigem tõenäoline. Täiendavalt näitavad andmed, et suurt osa ettevõtteid on küberintsidendid ka vahetult mõjutanud. Ettevõtete juhid kinnitavad, et viimase aasta jooksul on sagenenud infoturbe intsidentide arvukus arvestatavas mahus. Samas on vaid alla poole vastanutest hinnanud enda võimekust infoturbe ja küberturvalisuse tagamisel piisavaks.

Antud fakte iseloomustab uuringu statistika küsitletud 300 suurima Eesti tööandja hulgas: 90% vastanutest tunneb muret võimalike intsidentide pärast, mis võivad juhtuda tulevikus, 54% vastanutest on kannatanud küberintsidentide tõttu ajalist kahju ning 41% vastanutest on kannatanud küberintsidentide tõttu rahalist kahju.

Tervishoiu ettevõtete ning organisatsioonide puhul on aga statistika selgelt erinev: võimalike intsidentide pärast tunneb muret 85% küsitletud tervishoiu ettevõtetest, aga kõigest 10% vastanutest on kannatanud küberintsidentide tõttu ajalist kahju ning ükski Eesti tervishoiu ettevõte pole kannatanud küberintsidentide tõttu rahalist kahju. Tervishoiu ettevõtete statistikaerinevus võib omada tõenäoliselt kolme võimalikku põhjust:  

  • võimalikud kurjategijad ei tunne eetilistel põhjustel huvi tervishoiu ettevõtete ründamise vastu;
  • tervishoiu ettevõtete kaitsemeetmed on tõhusamad, kui teiste ettevõtete omad;
  • tegelikult on rünnakud juba toimunud, kuid tervishoiu ettevõtted pole neid lihtsalt suutnud tuvastada.

Märgiline on asjaolu, et enam kui pooled kõikidest vastanutest nentisid, et nende ettevõttes vastutab infoturbe eest teenuspartner. See võib tõesti nii olla, kuid ei saa mainimata jätta, et KPMG kogemuse kohaselt arvatakse sageli ekslikult, et IT-teenuseid tagavale teenuspartnerile peaks automaatselt kohalduma ka ettevõtte küberturvalisuse tagamise kohustus. See tähendab praktikas seda, et ostes sisse IT-süsteemide haldamise teenust, eeldab ettevõtte juhtkond, et sellega kaasneb ka IT-süsteemide turvalisuse tagamine (nt seadmete ja rakenduste turvaline konfigureerimine, vaikeparoolide muutmine, perioodiline paroolide muutmine, võrkude turvaline segmenteerimine, seadmete ja rakenduste järjepidev turvapaikade paigaldamine, kahjurpääsupunktide (ingl k Rogue Access Point) avastamine, turvanõrkuste skaneerimine jpm) ning seega kanduks justkui vastutus infoturbe tagamisel ettevõttelt teenuspartnerile. Praktikas teeb IT-teenuste partner vaid neid tegevusi, mis on ette nähtud lepingus – reeglina haldamise teenuste osutamise puhul puudub vastavas lepingus turvalisuse tagamise kohustus. Tihti avastavad ettevõtted alles küberintsidendi toimumise hetkel, et tegelikult ei vasta nende poolt sisse ostetud teenus turvalisuse seiskohast nende ootustele. Lisaks on oluline ettevõtete juhtidel mõista, et lõplik vastutus infosüsteemide turvalisuse üle jääb alatiseks nende kanda, isegi, kui IT-teenuspartneriga sõlmitud lepingus on kõikvõimalikud turvalisuse kohustused sätestatud.

Täiendavalt näitavad uuringu tulemused, et sõltumatu osapoole poolt teostatavaid infoturbe kontrolle teostatakse Eesti ettevõtete seas pigem vähe (nt läbistustestimine või IT-turvaaudit). Kahetsusväärne on see, et eriti vähe teostatakse selliseid kontrolle tervishoiu ettevõtete seas, kus kõrgemate nõuete kehtivuse tõttu võiks eeldada, et kontrolle tehakse pigem rohkem. Võimalik, et sõltumatute kontrollide puudumise tõttu jäävad paljud küberintsidendid avastamata ning ettevõtte juhtkond jääb ekslikult arvamusele, et neil ei olegi selliseid intsidente toimunud (kui tegelikkuses võivad küberkurjategijad omada ligipääsu ettevõtete infosüsteemidele ning tegeleda juba käesoleval hetkel isikuandmeid või ärisaladust puudutavate elektrooniliste dokumentide müümisega nn „mustal turul“).

Tänapäeval on infoturve ning küberturvalisus olulisemad kui kunagi varem. KPMG soovitab tegeleda küberturvalisusega proaktiivselt ja kvaliteetselt, kaardistada hetkeolukord (ideaalselt koostöös sõltumatu osapoolega) ning olla valmis halvimateks stsenaariumiteks (nt kogu organisatsiooni IT-infrastruktuuri hõlmav lunavara rünnak, mis võib halvata kogu ettevõtte äritegevuse). Teostatud uuring näitab, et ettevõtete küberturvalisuse olukord on kaugel ideaalsest ning eelkõige tuleks saada lahti mõtteviisist, et „meie vastu ei tunne küberkurjategijad huvi, mistõttu on rünnak ebatõenäoline“ ning pöörata tähelepanu olukorra parandamisele juba täna, sest homme võib olla juba hilja.

KPMG Baltics OÜ ning Äripäeva poolt läbiviidud sõltumatu uuringuga saab lähemalt tutvuda SIIN

Küberturbe ekspert: IT-hügieeni ei tohi pühade ja puhkuste ajal unarusse jätta

Töö- ja vaba aja segunemine ning kaugtöö ulatuslik levik tähendavad, et ka pühade ajal võetakse va..

küberturvalisus

PECB sõlmis koostöölepingu KPMG Balticsiga

Rahvusvaheline koolitus- ja sertifitseerimisasutus PECB ja KPMG Baltics sõlmisid koostöölepingu. S..

Ettevõtet ei saa osta eelneva IT-auditita

Majanduses on käes heitlikud ajad, mis toovad alati kaasa ettevõtete oste ja müüke. Ühtedele annav..

Kuidas olla valmis küberintsidendi seljatamiseks

Küberintsidentide puhul pole ammu enam küsimus selles, kas need toimuvad, vaid millal need toimuva..

küberturvalisus

IT-riskid on liiga paljudes ettevõtetes alahinnatud

Kuigi konkurentsitihedates sektorites, nagu finants ja telekomid, omistatakse küberturbele suurt t..

EAS/Kredex laiendas ettevõtete ringi, kes saavad küberpöörde esimese ja teise tegevussuuna toetust taotleda

Nüüdsest saab tunduvalt suurem ring ettevõtteid läbi EAS/Kredexi küberturvalisuse taseme kaardista..

Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond! 
Aitame luua vastupidava ja usaldusväärse digitaalse maailma, 
isegi muutuvate ohtude korral.

KPMG Baltics OÜ

+372 626 8700
itaudit@kpmg.ee
Narva mnt 5, 10117 Tallinn, Estonia
${item.title}
KPMG Baltics KPMG Cyber KPMG Global Privaatsuspoliitika
Oma veebilehel kasutame küpsiseid. Küpsised aitavad analüüsida veebiliiklust ning annavad meile statistilist teavet.
Email again:

HR analüüs

HR analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.

Email again:

Ohuanalüüs

Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.

Email again:

Küpsusanalüüs

Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.

Email again: