Roheline mõtteviis
3 min lugemine
Jaanuarist hakkas Eestis kehtima uus küberturvalisuse seadus, mis kohustab turbeküsimustega tegelema senisest märkimisväärselt rohkemaid ettevõtteid. Kes ja mida tegema peaks on aga jätkuvalt ähmane ning liigagi sageli arvatakse, et piisab vaid paberil tõendist, mis kinnitab, et kõik on turvaline, kirjutab Telia küberturbe lahenduste arhitekt Kristjan Aljas.
Et Eestis tuleb hakata rakendama Euroopa Liidu võrguturvamise direktiivi NIS2, räägiti juba tunamullu ning tegelikult oleks pidanud direktiivis toodud nõuded hakkama kehtima juba 2024. aasta 18. oktoobrist. Reaalsuses võeti Eesti õigusesse NIS2 üle alles tänavu 1. jaanuarist. Lühidalt kokku võttes ütleb värske küberturvalisuse seadus (KüTS), et ühiskonnale olulised ja üliolulised teenused peavad olema kaitstud ning kokku puudutab see hinnanguliselt 6500 ettevõtet.
Arvestades, et oleme digitaalselt võimekas riik ning nii avalikus kui ka erasektoris on suurem osa teenustest tänaseks üles ehitatud digilahendustele, on riiklik nõue tagada süsteemide turvalisus igati teretulnud. Eriti kui arvestada, et RIA andmeil registreeriti mullu 10 185 mõjuga intsidenti, mida on pea poole rohkem kui 2024. aastal.
Kahjuks on aga ettevõtjad seadust lugedes nõutud, sest puudub arusaam, kellele uued nõuded kehtivad. Keerulise olukorra tekkimist on nentinud ka riik, kes siiski lubab, et lähiajal saavad ettevõtted eesti.ee portaalist selge info, kas ka nemad on arvatud 6500 olulise ettevõtte hulka. Lisaks plaanitakse välja tulla toetusmeetmetega, mille abil on võimalik ettevõttel luua küberturvalisuse teekaart ning selle abil panna kokku korralik küberturbearhitektuur.
Kuigi on kahetsusväärne, et kaua menetletud seadusega on probleeme, peitub tegelik mure hoopis mujal. Juba praegu on turul olukord, kus ettevõtted otsivad kiirkorras ISO sertifikaati, sest ettevõtete koostööpartnerid nõuavad tõestust, et partner tegeleb küberturvalisusega, mis omakorda annaks nagu kindluse, et tarneahel on turvaline. Seejuures väärib märkimist, et just tarneahela tõttu on neid ettevõtteid, kes peavad küberturvalisuse seadust tõsiselt võtma, oluliselt rohkem kui ülalnimetatud 6500. Paber aga ettevõtet üksi ei kaitse ja üleöö küberturvaliseks ei muuda. Eelmise aasta lõpus Turu-uuringute AS-i poolt läbiviidud Infosüsteemide turvalisuse uuringust selgub, et lausa 44% ettevõtetest on IT-turvalisusega halvad lood. Paljud juhid ei mõista siiani, et küberturvalisust ei saagi hetkega sisse lülitada, vaid see on pidev protsess, millega peab tegelema süsteemselt. Alates täpselt paika panemisest, millised on äririskid, mida on nende kaitsmiseks vaja, milline on olukord praegu, kuhu ja kuidas peame jõudma ja kes selle kõige eest vastutab.
Järgmine probleem ongi seotud vastutamisega. Jätkuvalt levib arusaam, nagu peaks vastutus langema IT juhile, kuid tegelikult vastutab küberturbe eest tervikuna ettevõtte juht. Kui vaadata taas RIA statistikat, siis selgub, et 2/3 mõjuga intsidentidest olid õngitsused või pettused, mis näitab, et inimeste teadlikkusega tuleb tegeleda. Tegelikult võib isegi öelda, et inimeste koolitamine annab poole ettevõtte küberturvalisusest. Tasub mõelda, kas ca 15 eurot ühe inimese koolitamise eest on selline raha, mida eelarvest ei leia või mille pealt kokku hoida, kui ohtu mitte näha oskava töötaja tekitatud kahju võib ulatuda miljonitesse.
Seega, selle asemel, et jääda ootama, kas KüTS-is olevad nõudeid tuleb täitma hakata või mitte, tuleks keskenduda ikkagi sellele, et küberturvalisust on vaja turvaliseks äritegevuseks, mis kaitseb kliente ja partnereid ja mille puudumine võib halvemal juhul tuua kaasa ettevõtte pankroti. Alustada tuleks teekaardist, mis annab selguse, milline on ettevõtte küberturbe hetkeseis, milline on vajalik küberturbe tase ja milliste sammudega nii rahas kui ajas jõututakse olemasolevast olukorrast soovitud tulemuseni.
