Küberkuritegude arv kasvab iga aastaga ja seda ka väikeses Eestis. Nõrk küberturvalisus on aga suur äririsk, mida ei tohi jätta tähelepanuta. Rünnakud toimuvad automatiseeritult ja valimatult, mis näitab, et küberründe oht ei sõltu ettevõtte ega inimese tuntusest ja finantsseisust.

Küberrünnakutega kaasnevatest kahjudest räägib lähemalt IT-teenuseid ja lahendusi pakkuva OIXIO AS-i küberturbejuht Andres Vallistu.

Kahju mõnest tuhandest mitmesaja tuhande euroni

Infoühiskonna areng ja digitaliseerumise kasvu üheks eesmärgiks on lihtsustada meie igapäevaelu ja suurendada produktiivsust tööl, kuid samal ajal toob selline kiire areng kaasa omad tagajärjed. OIXIO ekspertideni jõuab palju teateid arvepettustest, õngitsuskirjadest ja lunavararünnakutest, millega kaasneb nii rahaline kui ka moraalne mainekahju.

Kahjude rahaline suurus ulatub mõnest tuhandest eurost kuni mitmesaja tuhande euroni. Sama tendentsi kinnitab ka Riigi Infosüsteemide Amet.

Nõrk küberturvalisus on suur äririsk, mida ei tohi jätta tähelepanuta. Kui veel mõni aasta tagasi arvati, et IT ja küberohud peaksid kuuluma IT-osakonna ülesannete hulka, siis see arusaam on hakanud muutuma ja küberturvalisuse teema on liikumas ettevõtete juhtkondade arutluse alla.

See on väga õige, sest nii olulistes küsimustes tuleb näha suuremat pilti ja tegelik vastutus küberturbe teemadel lasub ettevõtte juhatusel. Kahjuks sageli ei mõelda riskidele enne, kui endal midagi ootamatut juhtub. Hiljaks jäämisel on aga üldjuhul kõrge hind!

Mis juhtub, kui küberturvalisuse tagamisega jäädakse hiljaks?

Kõige sagedamini seisab rünnaku alla langenud ettevõtja silmitsi äriseisakuga, kui seiskuvad tootmis-, tööstus- ja müügiprotsessid. Lunavararünnaku korral mitte ainult ei krüpteerita andmeid seadmetes, vaid üha rohkem ka varastatakse ja avalikustatakse ning ähvardatakse veel ka teavitada ettevõtte koostööpartnereid või koguni kohalikku meediat (seda siis juhul, kui ei nõustuta lunaraha maksega). Seetõttu ei piisa lunavararünnakute vastu võitlemisel ainult andmete varundamisest!

Otsene rahaline kahju ootab ees neid, kelle ettevõte satub arvetega manipuleerimise ohvriks. Kõige sagedasemini põhjustab otsest rahalist kahju nn tegevjuhi petuskeem, kus tegevjuhi nime alt saadetakse ettevõtte finantsjuhile või raamatupidajale palve raha ülekandeks. OIXIO viimase kliendikaasuse tagajärjel kanti ühe krüptorahadega tegeleva ettevõtte krüptokontolt miljoni euro väärtuses krüptoraha võõrale pangakontole.

Keerulisem on arvestada rahasse ümber mainekahju. Samas võib tuua näitena, et kui ettevõttest lekivad isikuandmed ja 1–2% suurtest klientidest läheb usalduse kaotamise tõttu konkurentide juurde, saab saamata jäänud summa välja arvutada. Lisaks aja- ja rahakulule ning mainekahjule võivad ettevõtet ähvardada ka trahvid isikuandmete lekitamise tõttu.

Ettevõtja mõtleb sageli, kes peaks tahtma just tema andmeid ja näha selleks häkkimisega vaeva. Ent küberründe korral ei valita otseseid ohvreid, vaid pommitatakse automatiseeritult ja valimatult kõiki kaitsmata infosüsteeme, teenuseid, seadmeid, kasutajakontosid ja ettevõtteid, lootes leida kellegi nõrka kohta. Küberründe oht ei sõltu sellest, kas ohvri andmed on väärtuslikud kurjategijatele, vaid sellest, kas need on väärtuslikud ohvrile endale. Keskmiselt saab iga server ühe ründekatse sekundis ja rünnete all on iga välismaailmaga ühendatud seade: serverid, sülearvutid, nutitelefonid jne.

Tasub meeles pidada, et heal tasemel küberturvalisusega ei kaitse te ainult ennast ja oma ettevõtte (digi)vara, vaid hea küberturbe tase tagab ka selle, et te ei tekita kahju teistele osapooltele (oma klientidele või äripartneritele).

Kuidas ennast küberohtude eest edukalt kaitsta?

Esimesena tuleb anda kellelegi vastutus, olgu selleks ettevõtte spetsialist, juhatuse esimees, palgaline infoturbejuht või väline partner nagu OIXIO, kes pakub infoturvet täisteenusena.

Teise sammuna tuleb hinnata ettevõtte küberturbe hetkeolukorda ehk küpsustaset, mida saab teha küberturbeauditi ja infovarade riskianalüüsiga. Pole olemas maagilist standardpaketti – auditi ja analüüsi tulemusena sünnib rätsepalahendus, mis on loodud iga ettevõtte jaoks eraldi.

Seejärel tuleb koostada tegevusplaan ja planeerida täiendavaid vastumeetmeid, et vähendada jääkriske ja võimaldada ettevõtte äritegevuse jätkusuutlik toimimine.

Kuna küberturvalisus ei ole asi, mida saab ühe korraga osta või tagada, tuleb rakendada meetmeid ja tagada pidev haldus. Küberturvalisus puudutab kogu ettevõtte tegevust, tehnoloogiat, kultuuri, personali ja protseduure. IT-süsteemid muutuvad pidevalt ja seega tuleb tegeleda nende turvalisusega järjepidevalt. Selle protsessi sisseseadmine organisatsioonis nõuab paradigma muutust juhatuse tasandil.

Tuleb koolitada töötajaid – firmajuhi või töötaja hooletu suhtumine küberohutusse võib muuta hetkega tähtsusetuks senised investeeringud turvalisuse tõstmiseks.

ROSI arvutus näitab, kui kasulik on investeering küberturbesse

Selleks et küberturbe investeeringute tasuvust paremini näitlikustada, on kasutusel ROSI (Return of Security Investment) arvutus, mis tõestab arvutuslikult, et küberturbesse investeerimine loob reaalset väärtust.

Oletame, et madala küberturbe küpsustasemega ettevõtte vastu korraldatakse edukas lunavararünnak. Äriteenused seiskuvad terveks tööpäevaks, kliendid jäävad teenindamata, töötajatel ei ole võimalik tööd teha ja osaliselt lekivad ka klientide isikuandmed.

Oletame, et ärisüsteemid on võimalik taastada varundusest järgmiseks tööpäevaks ja suures plaanis saabki töö siis jätkuda, kuid äri seiskumine ja klientide teenindamata jätmine tõi kaasa kahju summas 18 000 eurot. Lisaks on mainekahju (näiteks 1% kliente lahkus usaldusväärsuse langemise tõttu) ja andmekaitse inspektsiooni rahaline trahv, mille suuruseid me selles arvutuses ei kasuta.

Oletame, et selle hüpoteesi järgi oleks ettevõtet kaitsnud OIXIO küberturbe täisteenus, mille kuutasu on 550 eurot ja mille puhul oleks küberrünnak jäänud olemata.

Oma ettevõtte küberturbega tasub tegeleda enne, kui on hilja. OIXIO pakub aprillis küberturbe küpsustaseme hindamist täiesti tasuta. Vaata lähemalt siit.