Ettevõtlus
3 min lugemine
Keskmise Eesti firma küberturvalisuse tase saaks olla palju parem, tõdeb Telia Eesti ärikliendiüksuse juht Kristjan Kukk. Vahest on õige aeg kehtestada ettevõtetele küberturbe miinimumnõuded?
Mis on turvalisus? 1990 aastate alguses tekkis selge arusaam: turvalisus, see on korteri ette pandud rauduks turvalukuga, palju turvalisem kui varasemast tuttav Vasara lukk puust ukse ees. Maailm muutus uskumatu hooga ja uksed pidid ajaga sammu pidama, ka vastloodud ettevõtted järgisid hoolega uue aja nõudeid: kontori fuajees seisis mustas ülikonnas turvamees, kabuur vööl, firma juhatusse kuulus turvajuht sama enesestmõistetavalt nagu praegu näiteks finantsjuht.
1990. aastate muutused ühiskonnas olid hoomamatult kiired, aga liiga palju ei jää maha ka praegune ajastu. Sedasama küsimust – mis on turvalisus – peab endale esitama ka täna, ent vastus pole kahjuks nii ilmselge kui möödunud kümnendeil.
Tänapäeva firmade juhatustes pole enam turvajuhte, aga pole veel ka küberturvalisuse eest vastutavat ametikohta. Füüsiline turvalisus on endiselt esmatähtis, sest lõpuks ei saa eksisteerida ka küberturvalisust, kui ükskõik kes võib lihtsalt kontorisse jalutada ja mõne IT-vahendi kallale pääseda. Siiski on ilmne, et küberturvalisusele tuleks senisest kaugelt rohkem tähelepanu pöörata.
Oht ei paista enne, kui juba liiga hilja
Praegune olukord ei ole üldjoontes kiita. Küberturva-küsimused on eeskujulikus korras vahest paarikümnes Eesti suurettevõttes – näiteks pangad ja jaeketid, üldse firmad, mille jaoks on mainekahju oluline oht, võtavad küberturvalisuse reegleid väga tõsiselt. Neist natuke leebemalt suhtuvad küberohtudesse teised suurettevõtted, veel enam teadmatust esineb väiksemate äride hulgas.
Ükski ettevõte ei toimeta nüüdisajal uhkes üksinduses. Vastupidi, erinevad firmad ja äriprojektid on üksteisega tihedalt seotud, mis tähendab, et ühe ettevõtte nõrkusest võib saada uks hoopis teise firma ründamiseks.
Keskmise Eesti ettevõtte protsesse saaks küberturvalisuse seisukohalt kõvasti parandada. Firma, mis suhtub ükskõikselt oma (klientide) andmetesse või IT-vahenditesse, ei saa olla murevabaks partneriks ka teistele ettevõtetele. Mida see tähendab? Teame, et mõnedki Eesti ettevõtted toimetavad rahumeeli tarkvaraga, millele pole installeeritud kõiki saadaolevaid turvapaiku, harvad pole ka firmad, mis kasutavad igapäevatoimingutes operatsioonisüsteeme, millele enam uuendusi ei väljastatagi – näiteks Windows 7-t. See on küll hea ja käepärane süsteem, ja ega tema halvad küljed enne välja ei paistagi, kui juba kuri karjas on. Tähelepanuväärne hulk firmasid laseb töötajaid sisevõrku, rakendamata kaheastmelist autentimist – see tähendab, et piisab ühest salasõnast ühes seadmes. Nüüdisaegsele ohuhinnangule selline hoiak enam ei vasta. Tihti ei kasuta ettevõtted võmalusi enda serverite turvamiseks, näiteks võrguliikluse jälgimist, mis võiks olla suureks abiks pahalaste avastamisel.” Mis kõige tähtsam – töötajaid ei koolitata kaugeltki sel määral, nagu võiks ja peaks. Küberturvalisuse alal teadmatu töötaja, kes klikib linkidel, millel poleks vaja sugugi klikkida, on kõikvõimalike ohtude allikas. Venemaa vallutussõda Ukraina vastu lisab olukorrale veelgi pinget. Küberrünnakud elutähtsate teenuste osutajate vastu on sõja ajal viiekordistunud, sedastas Siseministeeriumi infotehnoloogia- ja arenduskeskus.
Mida siis teha? Ega kõiki asju korraga korda ei saa, aga kusagilt peab alustama. Esimene samm võiks olla rahulikult mõelda – mis õigupoolest on see minimaalne küberturvalisuse tase, mida täitvat ettevõtet võiks pidada klientidele ja partneritele vähemalt laias laastus „ohutuks“ vastaspooleks?
Kuidas üldse aimu saada, kas partneriks pürgiv firma on ikka turvaline? Finantsalal on asi mõneti lihtsam: kui ettevõte ikka süsteemselt majandusaasta aruandeid ei esita, siis mingi signaali see annab, olgu kasvõi firmasisese töökultuuri ja üldise haldussuutlikkuse kohta. Kogenud finantsist võib aga aruandest juba nii mõndagi välja lugeda, mille abiga firma saab oma järgmisi samme seada. Küberturvalisus on aga praeguse seisuga täiesti läbipaistmatu.
Head eeskuju näitab hetkel riik ja seda seeläbi, et peagi hakkab kehtima Eesti infoturbestandard (E-ITS), mis tagab avalike ülesannete täitmiseks kasutatavate äriprotsesside ja infosüsteemide kõikehõlmava kaitse. E-ITS vahetab välja seni – juba oma 20 aastat – jõus olnud samalaadse standardi ISKE.
Minimaalne tase olgu tunnustatud
Kas nüüd oleks aeg küps, et see minimaalne tase lõpuks üheselt paika panna, täpselt nagu majandusaasta aruande puhul? Paralleeliks – nii nagu vajab tähelepanu negatiivseks pööranud omakapital, tahab tegelemist ka küberturvalisuse auditist vastu vaatav töötajate koolituspuudus. Küberturvalisus pole ju lõpuks ainult ühe ettevõtte küsimus, vaid hoopis suurem mure: ilma küberhügieenita ei saa eksisteerida kestlikku ärikeskkonda, selleta aga pole võimalik ka ühiskondlik turvalisus laiemas mõttes.
Kes peaks hindama, kes peaks otsustama, kes peaks kontrollima? Telia on valmis oma kompententsiga osalema nii miinimumnõuete väljatöötamises kui ka selgitustöös, miks neid üldse vaja on. Üks võimalus oleks, et iga miinimumnõudeid täitev Eesti ettevõte saaks vastava sertifikaadi – see on küberturvaline firma, nende käes on sinu andmed kaitstud, nende serverist ei lähtu pahavararünnakuid, nemad teavad, kes võrku sisse logivad.
See ei tähenda, et teised, sertifikaadita ettevõtted oleksid kohe kindla peale halvemad, võib-olla on nad tublimadki, kuid pole veel sertifikaadini jõudnud. Nende ettevõtetega suheldes ja andmeid vahetades tuleks olla lihtsalt ettevaatlikum, riski suurus ja olemus oleks arusaadav.
Kas selle miinimumstandardi peaks rakendama just riiklikult, mida see peaks sisaldama, kes ja kuidas peaks seda jõustama, vahest peaks see hoopis vabatahtlik olema? See kõik vajab läbi mõtlemist ja otsustamist.
Meie Telias usume, et aeg on küps, oleme valmis alustama. Loodame, et mõte leiab tuge meie headelt partneritelt IT-ettevõtete koostöövõrgustikust ITL, oma huvi peaks selliste nõuete rakendamise vastu olema ka Riigi Infosüsteemi Ametil. Kes tuleb punti?
Kristjan Kukk, Telia Eesti ärikliendiüksuse juht
