10.08 2023

IT-riskid on liiga paljudes ettevõtetes alahinnatud

Kuigi konkurentsitihedates sektorites, nagu finants ja telekomid, omistatakse küberturbele suurt tähendust ning seda mõistetakse ka riigikaitse tasandil, jäävad IT-riskid sageli teenimatult tahaplaanile, kirjutab KPMG küberturvalisuse teenuste juht Mihkel Kukk.
Organisatsioonide küberturvalisuses esineb üksjagu enesepettust. Sageli leitakse, et viirusetõrjeprogrammid pakuvad piisavalt kaitset. Ja kui ettevõttes on ametis IT-administraator ning IT-teenus on hallatud, siis on justkui kõik korras. Tegelikult on asi korrasolekust kaugel ning küberturvalisus hõlmab endas oluliselt rohkemat kui lihtsalt viirusetõrje.
Viirusetõrjeprogrammist ja muudest tehnilistelt lahendustes ainuüksi on vähe tolku, kui organisatsioonis puuduvad infoturbe eest vastutaja ja vajalik pädevus, et neid vahendeid rakendada ja kasutada. Kõige parem lahendus on vastava valdkonna juht, kel on kõik küberturbe arendamise volitused ja sellega kaasnev vastutus.

Väikesed ettevõtted, suur risk

Küberturbe planeerimisel tuleb esmalt vaadata, kui suur oleks küberrünnete mõju ettevõttele. Tuleb märkida, et valdav osa Eesti firmasid on väikesed või keskmise suurusega ja neist paljudes on IT-risk üllatuslikult kõrge. Kahjuks aktsepteeritakse seda, kas teadlikult või infopuuduse tõttu.
Suured investeeringud küberturbesse ei ole alustava start-up'i prioriteet, kuna peamine panus on ärimudeli testimisel. Tihti alles otsitakse mudelit, kuidas äri toimiks, ning sellest tulenevalt on ka IT lahenduste pool kiirelt muutuv. Turvalisus tuleb tavaliselt teemaks siis, kui ettevõte on jõudnud raha kaasamise faasi ning on vaja investoritele anda kindlust, et tegu on tõsiseltvõetava äriga.
Kuid suurettevõtetes ning elutähtsates valdkondades, nagu tervishoid, kohalik omavalitsus, energiaettevõtted, finantssektor jt ei ole IT-risk sugugi vastuvõetav. Eriti problemaatiline on olukord tervishoius, kus küll mõistetakse küberturvalisuse tähtsust, kuid napp eelarve ei jäta sageli häid valikuid, kuna tervishoid on tõsiselt alarahastatud.
Olukorra tähtsust on mõistnud finantssektor. Kuna pangandus on muutunud peaaegu täielikult digitaalseks, siis finantssektor investeerib aktiivselt ka küberturbesse. Lisaks on karmistunud regulatsioonid, mis peegeldub ka andmete ja süsteemide suuremas kaitsmises. Kokkuvõttes aitab see kõik luua küberturvalisust, kuna sunnib ettevõtteid sellele rohkem mõtlema ning suunama sinna ka vajalike vahendeid.

IT-eelarve kulub suures osas endiselt rauale

Rahvusvaheliste suurfirmade kohalikes esindustes on IT-kultuurikihti rohkem, nii nagu ka traditsioonidega Eesti organisatsioonides (pangad, telekomid, aga ka riigisektor). Neil on rünnete või teiste intsidentide kogemus varasemast ajast olemas ja tihti on IT valdkonnaga tegelenud mitmed inimesed, kellest see kultuurikiht on tekkinud.

Kultuurikiht on samas ka risk, kuna tehnoloogia vananeb tohutu kiirusega. Näiteks kui pangas kasutatakse mainframe-arvutit, mis teatud operatsioonides on küll vajalik, siis selle turvanõuded on jäänud minevikku.
Ka erafirmade eelarvetesse küberturvalisus tihtipeale ei mahu. Ettevõtetes on tavaline, et iga 3–5 aasta tagant vahetatakse välja sülearvutid, samuti teised kontoriseadmed. Sama intervalliga peaks värske pilguga üle vaatama ka turbelahendused, sest nende elutsükkel on erinev ning mõned neist võivad lootusetult ajale jalgu jääda.

Pikema aja jooksul on ka tavaline, et töös kasutatavad üldised IT-lahendused on muutunud. Näiteks on lisandunud pilve kasutamine ning siis peab ka turvalisuse pool ajaga kaasas käima ja uuenema. Nii välimised kui ka sisemised auditid aitavad üle vaadata, kas riskid on hallatud ning riskitase vastab ettevõttele aktsepteeritavale riskitasemele.

Mainekahjust taastumine võib olla aastatepikkune

Lisaks andmete kaotamisele või manipuleerimisele tuleb tegeleda ettevõtte mainekahjuga, mis automaatselt tekib rünnaku alla sattunule. Mida suurema haardega ettevõttega on tegemist, seda rohkem on maine ka löögi all. Piisab näiteks pangateenuste peatumisest tunniks-paariks, kui see võib mõjutada Eestis sadu tuhandeid kliente ning meediasse ilmuvad suured pealkirjad. Konkurentsitihedates sektorites osutub küberkaitse võimekus kaalukeeleks, kui kliendid teenuseid valivad.
Ettevõtte valmisolekus mängib tähtsat rolli töötajate teadlikkus, et nad oleksid informeeritud ja oskaksid küberintsidentide puhul käituda. IT-turbel peab olema kriisijuhtumiteks oma „112“ ehk kuum liin, kuhu personal saab oma kahtlustest teateid jätta. Oluline on töötajatele südamele panna, et ohust peab teatama kohe, sest viivitatud päevade või nädalate hind võib olla väga kõrge.
Nii nagu riigikaitses on üha kriitilisem küberüksuste võimekus, tuleb sama põhimõtet järgida ka eraettevõtluses ja teistes asutustes.


Mihkel Kukk

KPMG küberturvalisuse teenuste juht

Üle tuhande Eesti organisatsiooni peab 2025. aasta lõpuks läbi viima infoturbe auditi

Eestis kehtib avalikke teenuseid osutavatele organisatsioonidele infoturbestandard ehk E-ITS (alte..

infoturve

KPMG ekspert: kõige kiiremini tasub ära rutiine automatiseeriv AI-rakendus

Tehisintellekti rakendades toovad kõige kiiremini kulutused tagasi rahaliselt suure mõjuga lahendu..

KPMG ekspert: paljudel puudub arusaam küberturbest, riigi toetust on mõistlik ära kasutada

Kiirelt tegutsedes võivad Eesti ettevõtted tõsta oma küberturvalisuse taset, kasutades EASi kaudu ..

KPMG IT-ekspert: praktikust koolitaja teeb koolituse põnevaks ja kasulikuks

IT- või küberturbe koolituse muudab põnevaks praktikust koolitaja, kes saab jagada oma elulisi n..

Ettevõtetel on viimane võimalus taotleda küberturvalisuse toetust

Riigi Infosüsteemi Amet ja EAS/Kredex jagavad jätkuvalt küberturvalisuse taseme kaardistamise ja t..

küberturvalisus

Partnerite nõrkus mõjutab ka teie kaitstust

Küberkaitset planeerides tuleb arvestada, et koostööpartnerite nõrkus võib otseselt mõjutada ka te..

küberturvalisus

Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond! 
Aitame luua vastupidava ja usaldusväärse digitaalse maailma, 
isegi muutuvate ohtude korral.

KPMG Baltics OÜ

+372 626 8700
itaudit@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
${item.title}
KPMG Baltics KPMG Cyber KPMG Global Privaatsuspoliitika
Oma veebilehel kasutame küpsiseid. Küpsised aitavad analüüsida veebiliiklust ning annavad meile statistilist teavet.
Email again:

HR analüüs

HR analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.

Email again:

Ohuanalüüs

Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.

Email again:

Küpsusanalüüs

Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.

Email again: