TV ja meelelahutus
3 min lugemine
Mullu kehtima hakanud Eesti infoturbestandard (E-ITS) üksi ei taga küberturvalisust ning mahuka ettevalmistustöö tõttu tekitab ettevõtetes hoopis vastakaid tundeid, väidab Eesti suurim IT- ja telekommunikatsiooniettevõte Telia.
Kui aastatel 2003-2022 kehtis Eestis riigi ja kohaliku omavalitsuse andmekogude infoturbe tagamiseks infosüsteemide kolmeastmeline etalonturbe süsteem (ISKE), siis mullu võeti kasutusele E-ITS, et arendada ja edendada nii avaliku kui ka erasektori infoturbe taset. Erinevalt oma eelkäijast oli E-ITS eesmärk muuta haldussüsteemi rakendamise lihtsamaks, tagades laiema ulatuse, selgemad nõuded ning parema kaitse nii asutusele kui ka teabele. Lisaks loodeti muuta infoturbega tegelemine jõukohasemaks ka väiksematele organisatsioonidele.
„Mõnevõrra üldistades võib öelda, et ei ole õigeid ega valesid standardeid ja raamistikke, oluline on standardi mõistmine ning selle järjepidev rakendamine. Standard üksi ei taga kitsamalt küberturvalisust või laiemalt infoturvet, vaid vajalik on järjepidevus. Järjepidevus teatavasti eeldab aega ja raha. See on paraku koht, mis kipub osutuma probleemiks,“ räägib Telia küberturbe ja uute äride valdkonna tiimijuht Martin Paas. Ta lisas, et ka neil, kes varem rakendasid ISKE süsteemi, on tegemist E-ITS meetmete hindamise ja rakendamisega ning töö maht on suur.
Enim ollakse hädas infoturbe juhtimissüsteemi loomisega
Kui printsiibis on asutuse küberturbe tagamine eesmärgina lihtne, siis keeruliseks teeb selle justnimelt asjaolu, et tehniliste lahenduste kaitsmise kõrval on vaja ka installida turvauuendusi, koolitada kasutajaid, hinnata ja analüüsida logisid, intsidentide esinemisel neile reageerima ning loetelu ei ole kindlasti ammendav. „Kuna E-ITS on olemuslikult riskipõhine standard, tähendab see seda, et teenuse omanik peab olema suuteline hindama teenusega seotud riske. Kuna kõik riskid ei ole igavesti sama tõenäosuse ja mõjuga, peabki riskihaldus olema pidev,“ räägib Paas.
Ettevõtetes, kus on infoturbejuht, E-ITS-i rakendamine üldjuhul suuri probleeme ei tekita. Küll aga on raskuses need, kus infoturbestandard on saanud mitte IT-haridusega inimese tööülesandeks või standardit rakendatakse muude põhitööülesannete kõrvalt. „Enamasti jäädakse hätta infoturbe juhtimissüsteemi loomisega, mille puhul teiste ettevõtete pealt nö spikerdamine ei pruugi anda loodetud lisandväärtust, kuna dokument on loodud dokumendi enda pärast,“ selgitab Paas. Tema sõnul jõuab abipalve tihti IT-teenuse pakkuja poole, kuid need ei saa aidata, kui ettevõttes ei ole tehniliste meetmete nimekirja, millele IT-teenus vastama peab. Ise ei oska firma seda aga jällegi koostada.
Lahenduseks oleks infoturbe tagamise teenus sisse osta, kuid enamasti peljatakse sellega kaasnevaid kulusid. „Intsidentide ennetus on üldjuhul alati odavam kui neile reageerimine,“ selgitab Paas. „Kui meetmete sihipärane rakendamine toob kaasa kulusid, siis riskipõhine lähenemine võimaldab neid suures ulatuses mõistlikult hallata.“
