küberrünnak
27.09 2021

Järgmine rünnak võib tabada just sind

Küberrünnakud ohustavad enim energia-, tervishoiu- ja jaekaubanduse sektoreid; andmekaitsega peavad praegusajal tegelema ka päris väikesed ettevõtted.

IBM Security hinnangul võtab keskmise andmelekke avastamine ning ohjeldamine aega 280 päeva. Kahjuks on see veel hea stsenaarium, sest uuringust selgub trend, et ettevõtetes, kes panustavad vähem küberturvalisusele, võib andmelekke kontrolli alla saamine veel oluliselt kauemgi võtta.

Lisaks on küberrünnakutes oluliselt haavatavamad energia-, tervishoiu- ja jaekaubanduse sektor. Sarnast kasvavat trendi on KPMG viimastel aastatel märganud ka Eestis ning Skandinaavias, kus IT-le mitte orienteeritud valdkondades on küberturvalisuses pahatihti väga oluline mahajäämus.

Sellist mahajäämust ei saa paraku praegusajal keegi endale lubada, kuna enamik rünnakuid on rahaliselt motiveeritud. Lunavaraga ründajatele on ettevõtte tootmisseadmed, intellektuaalne omand või näiteks meditsiiniseadmed sama tulus sihtmärk kui mõne veebikeskkonna halvamine või andmevara krüpteerimine.

Sealjuures on energia- ja tervishoiusektori vastu tõusev ja kõrgendatud huvi ka riiklikult sponsoreeritud ründajatel. Näitena saab välja tuua USA Universal Health Services'i (suurima USA haiglaketi) vastu suunatud lunavararünnakud ning sarnaseid juhtumeid on siin Eestis avalikkuse ette jõudnud nii riigi infosüsteemide ameti kaudu kui ka muudest allikatest, mis viitavad arvukatele rünnakutele nii meie energia- kui ka tervishoiusektori vastu.

Jahitakse andmeid

Lisaks on kõigis ettevõtetes ka andmeid, millest ettevõte ise ei pruugi teadlik olla, kuid mille vastu ründajad suurt huvi tunnevad. Andmete puhul on ründajate peamisteks sihtmärkideks klientide ja töötajate isikustatud andmed, intellektuaalne omand ja anonüümsed kliendiandmed.

Andmete hõivamise eesmärk on üldjuhul nende müük mustal turul või ristkorrelatsioon muude andmetega, mis annab andmestikule lisaväärtust. Ettevõtte jaoks kujutavad aga andmelekked riski väga mitmest küljest. Ühelt poolt on tegu mainekahju ning usaldusprobleemiga ning teiselt poolt arvestatavad rahalised trahvid, mis tulenevad nii siseriiklikest regulatsioonidest, aga ka näiteks GDPRist.

Kindlasti tasub ettevõtetel tähelepanu pöörata pilveteenustele ja turvalisussüsteemide keerukusele. Uute lahenduste rakendamine või liigselt keerukad süsteemid võivad soovitud lisaturvalisuse asemel endast hoopis riski kujutada. Eriti suur on risk sellisel juhul, kui neid tegevusi ei toeta piisavad küberturvalisuse teadmised ning oskused.

Enamiku ettevõtete jaoks on kogu vajaliku võimekuse omamine majasiseselt üsna keeruline ning ebamõistlikult kulukas. Eriti kui on tegu peamiselt näiteks toomise, energia, tervishoiu või mõne mitte nii tihedalt IT-valdkonnaga seotud ettevõttega, mis pealegi ei tegutse globaalselt. Siinkohal oleks praktiline lahendus otsida usaldusväärne teenusepakkuja, kes suudaks pakkuda maailmatasemel teenust.

Kindla koostööpartneri olemasolul on võimalik kiirelt reageerida nii toiminud intsidentidele kui ka tõsta küberturvalisust red-team-testimisega, mis reaalseid rünnakuid simuleerides aitab tuvastada ettevõtte või organisatsiooni IT-nõrkusi.


Viis tähtsaimat meedet, mis aitavad ettevõtjal vähendada andmeleket ning selle mõju:

  • Intsidendile reageerimise testimine
  • Toimepidevuse plaanide olemasolu ja testimine
  • Intsidentide lahendamise meeskonna olemasolu
  • Red-team-testimine (reaalsete rünnakute simuleerimine)
  • Töötajate koolitamine

Koroonaviiruse mõju

Kuigi COVID-19 küberruumis ei levi, omab ta siiski väga olulist mõju sellele, milline on ettevõtete IT-olukord täna ning tulevikus. Enamik ettevõtteid nõustub, et kaugtöö võimekuse loomine on neile risk. Kaugtöövormist tulenevalt pikeneb tõenäoliselt lähiaastatel periood, mis kulub andmelekke avastamisele, ja kasvavad kahjud seoses andmeleketega.

Ettevõtted, kes praegu suudavad vajalikud lahendused ja tööstruktuuri paika saada, saavad tulevikus olulise konkurentsieelise. Kindlasti on COVID-19 tõstnud ka paljude väiksemate jaekaupmeeste haavatavust, sest eriolukorras ellujäämiseks käivitati kiiruga arvukalt e-poode.

E-poe kaudu kogutud kliendiandmete eest vastutab aga ikkagi kaupmees – vahet pole, kas tegu on suure regionaalse kauplusketiga või üksikbutiigiga.


Mihkel Kukk

Küberturvalisuse teenuste juht

Üle tuhande Eesti organisatsiooni peab 2025. aasta lõpuks läbi viima infoturbe auditi

Eestis kehtib avalikke teenuseid osutavatele organisatsioonidele infoturbestandard ehk E-ITS (alte..

infoturve

KPMG ekspert: kõige kiiremini tasub ära rutiine automatiseeriv AI-rakendus

Tehisintellekti rakendades toovad kõige kiiremini kulutused tagasi rahaliselt suure mõjuga lahendu..

KPMG ekspert: paljudel puudub arusaam küberturbest, riigi toetust on mõistlik ära kasutada

Kiirelt tegutsedes võivad Eesti ettevõtted tõsta oma küberturvalisuse taset, kasutades EASi kaudu ..

KPMG IT-ekspert: praktikust koolitaja teeb koolituse põnevaks ja kasulikuks

IT- või küberturbe koolituse muudab põnevaks praktikust koolitaja, kes saab jagada oma elulisi n..

Ettevõtetel on viimane võimalus taotleda küberturvalisuse toetust

Riigi Infosüsteemi Amet ja EAS/Kredex jagavad jätkuvalt küberturvalisuse taseme kaardistamise ja t..

küberturvalisus

Partnerite nõrkus mõjutab ka teie kaitstust

Küberkaitset planeerides tuleb arvestada, et koostööpartnerite nõrkus võib otseselt mõjutada ka te..

küberturvalisus

Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond! 
Aitame luua vastupidava ja usaldusväärse digitaalse maailma, 
isegi muutuvate ohtude korral.

KPMG Baltics OÜ

+372 626 8700
itaudit@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
${item.title}
KPMG Baltics KPMG Cyber KPMG Global Privaatsuspoliitika
Oma veebilehel kasutame küpsiseid. Küpsised aitavad analüüsida veebiliiklust ning annavad meile statistilist teavet.
Email again:

HR analüüs

HR analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.

Email again:

Ohuanalüüs

Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.

Email again:

Küpsusanalüüs

Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.

Email again: