Küberturvalisus ei saa olla enam valikuline investeering

Möödunud aasta aprillis toimus Eestis suurettevõtte Allium UPI andmeleke, kus tundlikud kliendiandmed sattusid avalikkuse ette. Probleem polnud ainult tehniline, vaid see raputas ka ettevõtte mainet ning tekitas juhtkonnas arusaama, et küberturvalisus pole enam ainult IT-osakonna mure. Sarnaseid juhtumeid on Eestis olnud mitmeid ning NIS2 direktiivi jõustumisega muutuvad ka regulatsioonid aina rangemaks.

„Seega ei saa tänasel päeval küberturvalisus olla enam valikuline investeering,“ lausus KPMG küberturvalisuse valdkonna juht Mihkel Kukk ning lisas, et tippjuhtidel on kohustus tagada oma organisatsiooni küberturvalisus, et see vastaks nii ärilistele vajadustele kui ka uutele regulatiivsetele nõuetele.

Järgnevalt toome välja peamised küberturvalisuse trendid ja strateegilised prioriteedid 2025. aastal, millele on oluline tähelepanu pöörata, et muuta küberturvalisus konkurentsieeliseks.

AI-põhised rünnakud ja lunavara

2024. aastal nähti Eestis esimest AI-põhist sotsiaalmanipulatsiooni rünnakut, kus suurfirma finantsjuht sai e-kirja, mis tundus pärinevat tegevjuhilt. Deepfake-tehnoloogia abil loodud kõne kinnitas ülekande vajadust, mis viis sadu tuhandeid eurosid petturitele. Sellised rünnakud näitavad, et traditsioonilised turvameetmed ei ole enam piisavad. Ettevõtete ja organisatsioonide juhid peavad investeerima nii tehnoloogilistesse lahendustesse kui ka kõrgtasemel koolitustesse.

NIS2 ja teised regulatsioonid

NIS2 direktiiv jõustub 2025. aastal ning seab küberturvalisuse nõuded kõrgema riskiga ettevõtetele ja avalikule sektorile. Ettevõtted peavad valmistuma selleks, et nad suudaksid tagada pideva monitooringu, reageerimisvõime ja riskijuhtimise. Paljud kohalikud ettevõtted, sealhulgas pangandussektor, on juba alustanud ettevalmistusi, kuid väiksemad ettevõtted jäävad tihti maha.

Nullusaldus ja identiteedipõhine turvalisus

Kui varem oli peamine fookus tulemüüridel ja perimeetrikaitsel, siis täna liigume nullusaldusmudeli poole, kus kõik kasutajad ja seadmed peavad end pidevalt autentima. Eestis on mitmed ettevõtted juba võtnud kasutusele tugevdatud MFA (Multi-Factor Authentication) lahendused, kuid selle rakendamine on veel lõpetamata paljudes asutustes.

Strateegilised prioriteedid:

• Kübervastupidavus ja intsidendivalmidus
  Üheks suureks õppetunniks möödunud aastast oli see, et paljud Eesti ettevõtted ei ole valmis lunavara- ja andmelekkega seotud intsidentideks. Intsidendiplaanide testimine ja simuleeritud harjutused peavad saama regulaarseks osaks juhtkonna tegevusest.
• Riskipõhine investeerimisstrateegia
  Küberturvalisusesse investeerimisel ei ole mõistlik lihtsalt osta kalleid tehnoloogiaid ilma riskianalüüsi tegemata. Tippjuhid peaksid kaasama teenusepakkujaid nagu KPMG, kes aitavad määratleda prioriteete ja kasutada ressursse efektiivselt.
• Kolmandate osapoolte riskihaldus
  Paljud küberintsidendid ei tulene organisatsiooni enda haavatavusest, vaid hoopis partnerite ja tarnijate kaudu. Eestis on juba olnud juhtumeid, kus IT-teenusepakkuja kaudu on langenud rünnaku ohvriks mitmed kliendid. Ettevõtte juhid peavad tagama, et ka nende partnerid on vastavuses küberturvalisuse nõuetega.
• Pilve- ja hübriidturbestrateegia
  Eestis on suur hulk ettevõtteid, kes liiguvad või on liikunud pilvekeskkondadesse, kuid turvameetmed jäävad tihti puudulikuks. Turbestrateegia peab olema tõhus nii pilvepõhistes kui ka kohapealsetes infrastruktuurides.
• AI ja automaatika roll küberturvalisuses
  Investeerida tuleks AI-põhistesse turbelahendustesse, mis võivad pakkuda reaalajas anomaaliatuvastust ning kiirendada intsidentidele reageerimist.
• Regulatiivne vastavus ja küberkindlustus
  Lisaks uutele regulatsioonidele on aina olulisem ka küberkindlustuse roll. Paljud Eesti ettevõtted pole kindlad, mida nende küberkindlustus katab, mistõttu tasub see teema juba varakult ära kaardistada.
• Küberturvalisus kui äriline konkurentsieelis
  Paljud ettevõtted näevad küberturvalisust kuluallikana, kuid tegelikult loob tugev turvastrateegia aluse klientide usaldusele ning aitab konkureerida rahvusvahelistel turgudel. Eestis on pangandussektor selles osas hea näide – tugevad turvameetmed on toonud juurde rahvusvahelisi kliente ja investeeringuid.

Tegevuskava ja järgmised sammud:

• Kaardistada organisatsiooni küberturvalisuse seis ja kõige suuremad riskid.
• Korraldada küberturvalisus audit, kaasates vajadusel välised teenusepakkujaid.
• Viia läbi intsidendisimulatsioon, et testida kriisiks valmisolekut.
• Investeerida koolitusse ja teadlikkusesse, et ettevõtte juhtkond ja töötajad mõistaksid küberturvalisuse põhimõtteid.
• Rakendada nullusaldusmudelit ja tugevdada tarneahela turvalisust.

Kokkuvõtvalt saab öelda, et 2025.aastal saavad rahulikumalt hingata need ettevõtted, kes suudavad küberturvalisuse strateegiliselt läbi mõelda ja seda ärieelisena kasutada. Juhid ei saa enam küberturvalisust vaadata pelgalt kui IT-teemat, vaid kui kriitilist äristrateegia osa.