Turvalisus
3 min lugemine
Elame ajastul, kus üks kriis ei jõua veel lõppeda kui juba uus peale tuleb. Ettevõtted peavad arvestama oma tegevuses muuhulgas ka aina enamate riskidega ning järjest tõsisemalt tuleb tegeleda toimepidevusplaanidega ning mõelda erinevate võimalike kriisistsenaariumite peale, kirjutab Telia Eesti ärikliendiüksuse juht Holger Haljand.
Viimase paari aasta jooksul aset leidnud erakorralise loomuga kriisid on selgelt pannud paljusid äri- ja tehnoloogiajuhte oma riske ümber hindama. Kui koroonakriis sundis paljusid hakkama saama olukorraga, kus tavapärane töökorraldus ja füüsilised kanalid enam senisel viisil ei toiminud ja tuli luua võimalused mugava ja turvalise kaugtöö tegemiseks ning vaadata ümber teenindus- ja müügiprotsessid, siis pärast Ukraina sõja puhkemist on paljud ettevõtted pidanud ümber hindama oma võimekust saamaks hakkama ka infrastruktuuri teenuste katkemise, massiliste küberrünnakute ja laiemalt kriitiliste andmete säilitamisega.
Ebastabiilsus on uus olukord
Nii heitlik keskkond nagu praegune on kõigi meie jaoks täiesti uus asi. Eesti ettevõtted on ju tegelikult saanud päris pikalt tegutseda suhteliselt stabiilses keskkonnas, ka viimane tõsisem finantskriis on peagi 15 aasta tagune minevik. Suurem osa meie ettevõtlusest näitas koroonakriisi ajal uskumatult suurt pandlikkust ja kohanemisvõimet, siin aga oli abiks Eesti kõrgel tasemel digitaliseeritus, sest paljud vajalikud lahendused olid tegelikult olemas, vaja oli vaid võtta need laiemalt kasutusele. Muidugi pidime pandeemiaolukorras arvestama ka globaalsemate riskidega nagu rahvusvaheliste tarneahelate katkemine ja kontrollimatu hindade tõusu risk, kuid praeguses olukorras on need saanud uue tähenduse.
Nendel heitlikel aegadel on eriti tähtis põhjalik riskide kaardistus ja ettevõttesisene kokkulepe toimepidevuse tagamiseks tehtavate sammude osas. Tihti on aga küsimusi rohkem kui vastuseid. Milliseid ennetavaid meetmeid kasutada ja mis hakkab juhtuma siis kui soovimatu siiski juhtub? Riske kaardistades tuleb läbi mõelda näiteks ka see, millised tegurid võivad äritegevuse pikemaks ajaks halvata, mida toovad endaga kaasa katkestused nii tehnoloogilistel põhjustel kui inimfaktori tõttu. Mida tähendab ettevõttele kriitilistele andmete või kliendiandmete leke või – mis veelgi hullem – kadumine? Kus ja kuidas hoida kriitiliste andmete varukoopiaid? Kas kogu kriitiline teadmine on ühe inimese käes? Milline on ettevõtte tehniline valmisolek kriisidega hakkama saamiseks?
Toimepidevuse plaaniga tuleb järjekindlalt tegeleda
Toimepidevusest räägitakse tihti vaid IT ja tehnoloogia kontekstis, samas just ettevõtete juhtide roll on defineerida, millised on äri jaoks kõige kriitilisemad riskid ning just sellest peaks algama kriisiplaani koostamine. Tuleb aru saada, millised on erinevate stsenaariumite realiseerumisel äri ja teenuse toimise vaates kõige suuremad riskid ning juba seejärel mõelda konkreetsete meetmete peale. Üle tasub vaadata ka kokkulepped kriisiolukorras toimetamiseks ja käsuahelad. Kindlasti tuleb kokku leppida, kes kriisi juhib ja panna paika rollid, et oleks selge, kes ja milliseid samme kriisiolukorras astub. Samuti tuleb arvestada sellega, et toimepidevuse plaani koostamine ei ole ühekordne aktsioon, seda tuleb regulaarselt täiendada ning riskistsenaariume läbi mängida, veendumaks, et valitud meetmed on piisavad ja need reaalselt toimivad.
Praegusel muutlikul ajal on eriti oluline IT-süsteemide paindlikkuse tagamine ja kriitiliste kompetentside olemasolu. Alati ei ole aga mõistlik kõike seda oma ettevõttesse ehitada, kuna IT ei ole enamuse ettevõtete põhiäri ega kriitiline konkurentsieelis. Asjatundliku partneri kaasamine, kes selles valdkonnas igapäevaselt tegutseb ja vajalikke kompetentse arendab, võib olla igati mõistlik samm. See tagab paindlikkuse IT-süsteemide ehitamisel, haldamisel ja uuendamisel ning ka operatiivse reageerimise ootamatuste korral.
Otsustajad on küberturvalisuse osas liialt muretud
Digitaliseeritus viib meid edasi ja see on arengu eelduseks, kuid selle kõrval areneb ka küberkuritegevus ning see on ettevõtete riskide vaates tänapäeval üks olulisemaid teemasid. Meile võib tunduda, et küberkuritegevusest räägitakse pidevalt, samas aga suhtuvad paljud otsustajad sellesse veel endiselt üsna muretult. Seda temaatikat on Harward Business Reviews hästi lahti kirjutanud küberturbeekspert Alex Blau, kes tõi välja, et siiski üsna paljud ettevõtete juhid näevad küberturvalisusega tegelemist kui ühekordset aktsiooni, näiteks tulemüüri soetamise näol, mitte aga kui protsessi, mis vajab pidevat tähelepanu ja täiustamist. Samuti toidab osade ettevõtete muretust asjaolu, et nad pole seni ühegi tõsiseltvõetava rünnaku ohvriks langenud ja nii tundub, et see läheb neist mööda. Samas ei teadvustata, et kui rünnakuhetk saabub, võib kahju olla üüratu. Vastutustundetu on elada lootuses, et ehk midagi ei juhtu. Mõistlikum on teadvustada, mis võib juhtuda ja millega sel juhul riskitakse. Investeeringud kaitsesse peavad olema tasakaalus võimalike kahjudega.
Kuigi viimase aastaga on Eestis toimunud küberturvalisuse arengus suur hüpe, näeme siiski ka sellist suhtumist vahel ka enda praktikas – kuni piltlikult öeldes maja veel ei põle, ei võeta küberturvalisuse küsimusi üleliia tõsiselt. Järjest rohkem puudutavad need teemad mitte ainult suurettevõtteid, vaid ka keskmise suurusega ja isegi väikefirmasid. Veel paar aastat tagasi paljud väiksemad ettevõtted küberturvalisuse teemal eriti pead ei valutanud, sest rahalist kasu otsivad küberpätid pisikesi tegijaid väga palju ei tülitanud. Nüüd aga, kui küberrünnakud muutuvad järjest massilisemaks ja automatiseeritumaks, on sihikul ka väikeettevõtted. Lisaks tuleb arvestada potentsiaalse riskiga, et küberrünnakuid võidakse kasutada ka poliitilistel kaalutlustel laiema ebastabiilsuse tekitamiseks. Sellisel juhul satuvad ründe alla kõigepealt küll riigisüsteemid ja elutähtsat teenust pakkuvad ettevõtted, kuid nende süsteemid on kindlasti paremini kaitstud.
Keti nõrgim lüli võib kahjustada paljusid
Küberründe ohvriks langemist ei ole võimalik 100% välistada, küll aga saab tõenäosust vähendada ja valmistuda küberrünnakule edukaks vastuastumiseks. Loomulikult konkreetsed meetmed sõltuvalt ettevõtte tegevusalast, suurusest ja muudest teguritest erinevad, kuid baasturvalisuse hindamisel tuleb lähtuda samadest põhimõtetest ning see koosneb neljast põhikomponendist: töötajate teadlikkus, tegevusplaani olemasolu kriisiolukorra realiseerumisel, seadmete haldamine ja kaitselahendused, ülevaate omamine toimuvast.
Kindlasti tasub panustada küberruumist lähtuvaid ohte ennetavatesse kriisikoolitustesse ja -simulatsioonidesse, teha kokkuleppeid väliste partneritega kriisiolukordades reageerimiseks ning muidugi regulaarselt testida oma valmisolekut. Lõpuks pole küsimus ju ainult ühe ettevõtte või organisatsiooni haavatavuses, vaid pahatihti võidakse liigse muretusega löögi alla panna ka oma koostööpartnerid, kui näiteks lekivad partnerite andmeid sisaldavad tundliku sisuga dokumendid.
