16.04 2024

KPMG uuring: tippjuhid seisavad igapäevaselt silmitsi kordades suurenenud küberturvalisuse ohtudega

Kiirenev tehnoloogiline areng, sellega kaasnevad riskid ja kordades kasvanud küberturvalisuse ohud valmistavad tippjuhtidele üha enam muret, näitab KPMG rahvusvaheline uuring. Üha suuremat rolli mängivad küberriskide maandamisel infoturbejuhid (CISO), keda nähakse proaktiivsete partneritena ärivajaduste haldamisel, selle asemel, et olla vaid IT-tulekahjude kustutaja.

KPMG iga-aastane globaalne uuring kehtib väga selgelt ka Eesti kohta. Näiteks küberrünnakute arv on Eestis viimase aastaga kahekordistunud. Paraku endiselt ei tegele ca 90% ettevõtetest tõsiselt küberturvalisusega, mis tähendab, et igapäevaselt seistakse silmitsi küberrünnakute ohuga. Kui jätta IT-turvalisuse teemad piisava tähelepanuta, võib väga suure tõenäosusega tabada ühel hetkel äri ebameeldiv üllatus. Kõige paremini saab küberkurikaelte tegevust ennetada erinevate võrgutestimistega, mis annavad koheselt ülevaate ettevõtte nõrkustest ning turvaaukudest.

KPMG aruanne „Cybersecurity considerations 2024“ toob välja kaheksa peamist valdkonda, mida infoturbejuhid ehk CISO-d peaksid sel aastal prioriteediks seadma.

1. Täitke klientide ootusi ja tegutsege vastutustundlikult

Kõik ettevõtte sidusrühmad – nii tarbijad, töötajad kui ka tarnijad – ootavad ettevõtetelt kasvu ja kasumit, kuid üha enam eeldatakse organisatsioonidelt ka sotsiaalselt vastutustundlikku käitumist. Organisatsioonid peaksid seda üleskutset kuulda võtma ja pöörama sisulist tähelepanu ESG-teemadele.

2. Ühendage küberturvalisus ja privaatsus

Turvalisusel – alates CISO-st kuni iga üksiku meeskonnaliikmeni – on tänapäeval varasema ajaga võrreldes väga erinev roll. Turvalisus on saanud kogu organisatsiooni kõigi funktsioonide lahutamatuks osaks ja seda on mõistnud paljud juhid, integreerides turvalisuse mõtteviisi erinevatesse ärikultuuridesse ning -protsessidesse.

3. Navigeerige osavalt hägustuvates globaalsetes reeglites

Kohanduda tuleb üha keerulisemate globaalsete regulatsioonidega, tagades samas vajalik paindlikkus. Rahvusvahelised ettevõtted tegutsevad järjest keerulisemaks muutuvas küberturvalisuse ja privaatsuse keskkonnas. Rolli mängivad erinevad rahvuslikud ja riiklikud huvid, mis toovad kaasa erinevad regulatiivsed nõuded teabe suveräänsuse, tarneahela turvalisuse, küberkontrollide vastavuse läbipaistvuse, juhtumitest teatamise ja loomulikult privaatsuse osas. Ettevõtte jaoks tähendab see, et oma regulatiivset aruandlust tuleb kohandada piirideta maailmaga, säilitades samas turvakontrolli, mida saab kohandada vastavalt kohalikele nõuetele. Samuti tuleb olla valmis ja võimeline kiiresti reageerima muutuvale geopoliitikale ning erinevatele sanktsiooninõuetele.

4. Kaasajastage tarneahela turvalisust

Paljude organisatsioonide lähenemine kolmandate osapoolte ja tarneahela turvalisusele ei ühti tänapäeva partnerorganisatsioonide keerulise ja üksteisest sõltuva ökosüsteemi tegelikkusega. Traditsioonilised mudelid ehitati üles eeldusel, et kolmandad osapooled pakuvad teenuseid tehingupõhiselt. Ent see vaade ei kajasta tänapäeva keerulist API-de ja protsesside võrgustikku, mis on seotud keeruka tarkvara ja teenusepõhise pakkumisega. Arendamist vajavad strateegilised partnerlused ja andmepõhine riskijuhtimine, et tugevdada tarneahela vastupidavust.

5. Kasutage AI potentsiaali ettevaatlikult

Leidke tasakaal innovatsiooni ja turvalisuse vahel, et tagada AI (artificial intelligence, tehisaru) vastutustundlik ja eetiline kasutamine. Täna räägitakse peamiselt generatiivsest tehisarust, kuid paljud teised AI-harud robootikast masinõppeni muudavad äri jätkuvalt. Nende tehnoloogiate turvalisuse, privaatsuse ja eetiliste mõjude määratlemine on keeruline ning organisatsioonid soovivad luua raamistikke, mis pakuvad tehisintellekti rakendamisel mõlemat – nii riskijuhtimist kui ka juhtimispädevust.

6. Tõhustage turvalisust automatiseerimisega

Kasutage automatiseerimist tehnoloogia turvaprotsesside lihtsustamiseks ja efektiivsuse suurendamiseks. Ettevõtted viivad oma süsteeme üha enam pilve, see tähendab, et kaitset vajavate andmete hulk kasvab hüppeliselt ning rohkem inimesi teeb kaugtööd ja pääseb ettevõtte võrkudesse oma seadmetega. Selle tulemusena laieneb küberrünnakute pind, mis tähendab, et CISO-del on võimalike küberrünnakute tuvastamisega üha enam tööd. Ent selleks ei ole piisavalt ressurssi ja ainus viis olukorda hallata on kasutada automatiseerimist.

7. Muutke identiteet individuaalseks, mitte institutsionaalseks

Iga organisatsioon, kellega tarbijad suhtlevad, määrab neile unikaalse digitaalse identiteedi ning nii nagu kasutajanimed ja paroolid on erinevad, toimivad ka autentimismeetodid. Küberjulgeoleku vaatenurgast identiteedimudel areneb. Enamik identiteedi- ja juurdepääsuhalduse (IAM) mudeleid töötati algselt välja üksikute organisatsioonide digitaalsete identiteetide ja kasutajate juurdepääsu haldamiseks. Ent nüüdseks on paljud kujundanud kontseptsiooni ümber, et hõlmata vastupidavuse taset, mis sobib liit-, privaat-, avalike või mitme pilvega andmetöötluse keskkondade jaoks. See välistab üksikisikute igakordse vajaduse läbida tüütu ja aeganõudev identiteedikontrolli protsess, kui nad suhtlevad uue asutusega, kas kliendi või töötajana.

8. Viige küberturvalisus kooskõlla organisatsiooni vastupanuvõimega

Küberintsidendile peavad organisatsioonid reageerima minutite ja tundide, mitte päevade ja nädalate jooksul. Tänapäeva muutlikus keskkonnas on vastupanuvõime muutunud organisatsioonide ühiseks teemaks kriitilise infrastruktuuri sektorites, nagu energeetikas, sides ja transpordis, kusjuures nende juhtide tähelepanu keskendub tegevuse taastamisele, kui ennetavad kontrollid ebaõnnestuvad. Vastupanuvõime peaks olema sujuvalt kooskõlas küberturvalisusega, rõhutades kaitset, tuvastamist ning kiiret reageerimist ja taastamist. Kübervastupidavus on äritegevuse suutlikkuse säilitamiseks, klientide usalduse kaitsmiseks ja tulevaste rünnakute mõju vähendamiseks ülioluline. Need distsipliinid peavad töötama koos, et aidata organisatsioonidel riske juhtida.

Kõik need eelnevad kaalutlused rõhutavad vajadust strateegilise pragmaatilisuse järele. Küberturvalisus peab olema kooskõlas ärieesmärkidega ja kohanduma tehnoloogiliste uuendustega. Tegevjuhtidel soovitatakse neid küberturvalisuse strateegiaid integreerida, et kaitsta oma organisatsioone, samal ajal edendada kasvu ja innovatsiooni. Samuti tuleb küberturvalisust vaadelda kui pidevalt arenevat ja jätkuvat protsessi. Üha rohkem organisatsioone aktsepteerivad küberintsidente kui vältimatut, kuid samas juhitavat riski, mis tähendab, et seda parem on nende võimalus saavutada tasakaal ettevalmistuse ja organisatsiooni vastupanuvõime vahel.

Kokkuvõttes tasub ettevõtetel hoolikalt läbi mõelda, et kui toimub andmeleke, võrgu rikkumine või muu küberrünnak, siis kuidas saab organisatsioon kiiresti tavapärast tegevust jätkata, nii et see mõjutaks minimaalselt kliente ning äritegevust.

Tutvu uuringuga: Cybersecurity considerations 2024 - KPMG Global



Mihkel Kukk

Küberturvalisuse valdkonna juht
mihkelkukk@kpmg.com
+372 521 4332

Üle tuhande Eesti organisatsiooni peab 2025. aasta lõpuks läbi viima infoturbe auditi

Eestis kehtib avalikke teenuseid osutavatele organisatsioonidele infoturbestandard ehk E-ITS (alte..

infoturve

KPMG ekspert: kõige kiiremini tasub ära rutiine automatiseeriv AI-rakendus

Tehisintellekti rakendades toovad kõige kiiremini kulutused tagasi rahaliselt suure mõjuga lahendu..

KPMG ekspert: paljudel puudub arusaam küberturbest, riigi toetust on mõistlik ära kasutada

Kiirelt tegutsedes võivad Eesti ettevõtted tõsta oma küberturvalisuse taset, kasutades EASi kaudu ..

KPMG IT-ekspert: praktikust koolitaja teeb koolituse põnevaks ja kasulikuks

IT- või küberturbe koolituse muudab põnevaks praktikust koolitaja, kes saab jagada oma elulisi n..

Ettevõtetel on viimane võimalus taotleda küberturvalisuse toetust

Riigi Infosüsteemi Amet ja EAS/Kredex jagavad jätkuvalt küberturvalisuse taseme kaardistamise ja t..

küberturvalisus

Partnerite nõrkus mõjutab ka teie kaitstust

Küberkaitset planeerides tuleb arvestada, et koostööpartnerite nõrkus võib otseselt mõjutada ka te..

küberturvalisus

Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond! 
Aitame luua vastupidava ja usaldusväärse digitaalse maailma, 
isegi muutuvate ohtude korral.

KPMG Baltics OÜ

+372 626 8700
itaudit@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
${item.title}
KPMG Baltics KPMG Cyber KPMG Global Privaatsuspoliitika
Oma veebilehel kasutame küpsiseid. Küpsised aitavad analüüsida veebiliiklust ning annavad meile statistilist teavet.
Email again:

HR analüüs

HR analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.

Email again:

Ohuanalüüs

Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.

Email again:

Küpsusanalüüs

Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.

Email again: