• 29.05.19, 10:00
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine

Kindlusta oma ettevõtte digitaalsed kroonijuveelid

Järjest rohkemate tegevuste ja andmete liikumine küberruumi, sh arveldamine ja klientide andmebaasid on tekitanud terve küberkurjategijate tööstusharu, mis küberruumis olevatelt väärtuselt üritab matti võtta. Kõige haavatavamad on ettevõtted, kelle käsutuses on enim andmeid, enim väärtuslikke andmeid ja need, kellel on puudulik küberhügieen, kirjutab Grant Thornton Balticu andmekaitsespetsialist Maili Torma.
Grant Thornton Balticu andmekaitsespetsialist Maili Torma
  • Grant Thornton Balticu andmekaitsespetsialist Maili Torma
Küberkuritegevuse põhjustatud kahju küündib maailmas paari aasta pärast umbes kuue triljoni USA dollarini[1], mida on võrreldes 2015. aastaga kaks korda rohkem. Kõige enam on sellest mõjutatud ettevõtted, kelle käsutuses on kõige rohkem andmeid – pilveteenust ja serveri majutusteenust pakkuvad ettevõtted, pangad, laenuandjad, kindlustused, veebis kaubitsejad, samuti jaemüüjad ja hotelliketid, kellel on suured püsiklientide andmebaasid jne.
Suuri kahjusid tekitanud juhtumeid leiab nii kaugelt kui ka lähedalt: Marriotti hotelliketis lekkisid 383 miljoni külastaja andmed, Yahoos häkiti 3 miljardi e-posti kasutaja kontodele. Eestis langesid lunavararünnaku ohvriks näiteks sanitaartehnika müüja FEB ning Kivimäe Perearstikeskus.

Kuidas oma ettevõtet kaitsta?

Ettevõtte küberturvalisuse taseme tõstmiseks tuleb esmalt mõelda kahele asjale:
- millised on kõige väärtuslikumad kaitset vajavad varad, nii riistvara kui andmed, ja millist väärtust nad ettevõtte jaoks omavad;
- mil moel neid varasid kõige tõenäolisemalt rünnata püütakse.
Kui neile küsimustele on vastus käes, saab luua riskipõhise küberkaitsestrateegia ja tegevuskava. Loomulikult tuleb eriti hoolikalt kaitsta ettevõtte digitaalseid „kroonijuveele“ – andmeid, mis on ettevõtte ja tema klientide jaoks kõige olulisemad.
Isikuandmete kaitse üldmäärusega karmistunud andmekaitse nõuded ja inimeste endi suurem teadlikkus oma privaatsusõigustest tekitavad ettevõtetele vajaduse teada, mis on privaatsusriskid ja millised on nende maandamise meetmed. Samuti tuleb kõik privaatsusõigustega seonduv regulaarselt üle vaadata. Andmete kategoriseerimine ehk infovarade audit on ka siin oluline, kuna riskide nimekiri koos riski tõenäosuse ja mõju hindamisega ning võimalike maandamise meetmetega annab ettevõttele tegevuskava, mille alusel oma küberturvalisuse taset tõsta.

Mitte ainult IT-juhi ülesanne

Küberriskide strateegia loomist ei saa jätta ainult ettevõtte IT-juhi või andmekaitsespetsialisti hooleks, sest tegemist on olulise äriotsusega, mis peab arvestama ettevõtet kui tervikut. Seetõttu peab kaasa lööma kogu juhtkond ning küberturvalisuse strateegia peaks olema osa ettevõtte äristrateegiast. Kui strateegia valmis, ei maksa seda sahtlisse unustada, vaid regulaarselt üle vaadata – riskid muutuvad, samuti ettevõtte eesmärgid ja sel juhul tuleb ka küberriskide strateegiat uuendada.

Universaalset turvalahendust pole olemas

Hoolimata sellest, et selline riskipõhine lähenemine küberriskide maandamisele on mõistlik, ei järgi väga paljud ettevõtted sellist tegutsemiskava ning loodavad turul pakutavatele ajast ja arust „üks lahendus sobib kõigile“ andmeturvalahendustele.
Grant Thornton Balticu kogemus ettevõtteid nõustades näitab, et ettevõtete infovarad ja andmed on väga erinevad ning erineva riskitasemega. On ettevõtteid, kelle tulust tuleb 100% teabest ja on ettevõtteid, kus tegeletakse füüsiliste asjade tootmisega, kuid tootmise ja töötajate juhtimine on digitaalne. Mõlemal ettevõttel on kaitset vajavaid olulisi digivarasid. Samuti on kõikidel ettevõtetel kliendiandmebaasid digitaalsel kujul, mis on magus sihtmärk nii konkurentidele kui ka õngitsejatele. Riskitaseme mõttes on eraisikutest klientide andmebaasi, sh pangakaardi numbrite hoidmine ettevõtte serverites märksa riskantsem, kui hallata seda näiteks infoturbe sertifikaadiga kliendihaldusrakenduses. Üks on selge: nii küberriskid kui ka nende maandamise meetmed on ettevõtetes erinevad, kuid strateegia ning meetodid maandamise meetmete väljaselgitamiseks on sarnased.

Viis tähtsaimat soovitust küberturvalisuse tagamiseks

1. Kategoriseeri andmed vastavalt nende strateegilisele olulisusele. Need andmed, mille lekkimine või väärkasutamine põhjustavad ettevõtte tegevuse katkemise või halvendavad kliendikogemust, peavad olema väga tugevalt kaitstud.
2. Koos juhtkonnaga tuleb regulaarselt üle vaadata andmete kategooriad. Kui ettevõtte ärieesmärgid muutuvad, peab muutma ka andmete kategooriaid.
3. Taga andmete terviklikkus, käideldavus ja konfidentsiaalsus, et oleks alati teada, kust andmed pärinevad ja kes on need loonud. Samuti on vaja kindlust, et andmeid ei oleks muudetud ja need jõuaksid õigete inimesteni.
4. Legitiimsete andme- ja infopäringute korral tee koostööd päringu esitajaga ning tea täpselt, milliseid andmeid ja kui palju peab päringu esitajale edastama.
5. Lase oma küberriskide maandamise meetmeid kolmandal osapoolel regulaarselt testida. Nii saad teada, kas kõik toimib nagu vaja.
[1] https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021.
Allikas: Grant Thornton Baltic

Seotud lood

Uudised
  • 17.05.19, 08:15
Mida saab IT-turvalisuse alal õppida ühelt keskaegselt kindluselt?
Kõrgel Austria mägedes asub keskaegne Hochosterwitzi kindlus. Imposantne mäetipus trooniv hiiglaslik loss on tuntud ka ühe huvitava fakti poolest: see on üks väheseid kindluseid kogu maailmas, mida pole kunagi suudetud vallutada.
Uudised
  • 15.05.19, 08:15
Kurjategijad lõid inimeste teadmata Smart-ID kontod
Riigi Infosüsteemi Amet (RIA) registreeris aprillis pea 300 intsidenti. Möödunud kuul kasvas lunavararünnakute arv ning õngitsuslehtede kaudu said rahalist kahju inimesed, kelle teadmata tegid kurjategijad Smart-ID kontod ja kasutasid neid e-teenustes.
Uudised
  • 26.04.19, 13:36
Riigi tarkvaralahenduste lähtekood nüüd vabalt kättesaadav
Majandus- ja Kommunikatsiooniministeerium ja Riigi Infosüsteemi Amet said valmis esmase versiooni e-riigi koodivaramust, mis muudab riigile loodud koodi ja tarkvaralahendused vabalt kättesaadavaks ja taaskasutatavaks.
Uudised
  • 17.04.19, 11:00
Ülevaade küberruumis toimuvast
Eesti arvutikasutajad puutusid möödunud kuul kokku meiliteeskluse ja finantspettusega ning kaotasid ligi 80 000 eurot. Lunavararünnak tõi ühele maailma suurimale alumiiniumtoodete tootjale Norsk Hydrole 30-35 miljonit eurot kahju.
  • ST
Sisuturundus
  • 03.09.24, 17:13
Kui klient jääb võlgu: efektiivseim nipp raha koju toomiseks
Viimaste aastate majandusolukord on olnud keeruline ja muutusterohke. Laomajandustehnikaga tegeleva Agrovaru AS jaoks on hetkel suurimaks väljakutseks käibe hoidmine samal tasemel ning kulude vähendamine müügi- ja tööprotsesside efektiivistamise kaudu. "Kuna klientide nõudlus on vähenenud, peame tegema rohkem tööd, et leida üles need vähesed kliendid," selgitab tegevjuht Jarno Mänd.

Hetkel kuum

Liitu uudiskirjaga

Telli uudiskiri ning saad oma postkasti päeva olulisemad uudised.

Tagasi Raamatupidaja esilehele