Kindlusta oma ettevõtte digitaalsed kroonijuveelid

Küberkuritegevuse põhjustatud kahju küündib maailmas paari aasta pärast umbes kuue triljoni USA dollarini[1], mida on võrreldes 2015. aastaga kaks korda rohkem. Kõige enam on sellest mõjutatud ettevõtted, kelle käsutuses on kõige rohkem andmeid – pilveteenust ja serveri majutusteenust pakkuvad ettevõtted, pangad, laenuandjad, kindlustused, veebis kaubitsejad, samuti jaemüüjad ja hotelliketid, kellel on suured püsiklientide andmebaasid jne.

Suuri kahjusid tekitanud juhtumeid leiab nii kaugelt kui ka lähedalt: Marriotti hotelliketis lekkisid 383 miljoni külastaja andmed, Yahoos häkiti 3 miljardi e-posti kasutaja kontodele. Eestis langesid lunavararünnaku ohvriks näiteks sanitaartehnika müüja FEB ning Kivimäe Perearstikeskus.

Ettevõtte küberturvalisuse taseme tõstmiseks tuleb esmalt mõelda kahele asjale:

- millised on kõige väärtuslikumad kaitset vajavad varad, nii riistvara kui andmed, ja millist väärtust nad ettevõtte jaoks omavad;

- mil moel neid varasid kõige tõenäolisemalt rünnata püütakse.

Kui neile küsimustele on vastus käes, saab luua riskipõhise küberkaitsestrateegia ja tegevuskava. Loomulikult tuleb eriti hoolikalt kaitsta ettevõtte digitaalseid „kroonijuveele“ – andmeid, mis on ettevõtte ja tema klientide jaoks kõige olulisemad.

Isikuandmete kaitse üldmäärusega karmistunud andmekaitse nõuded ja inimeste endi suurem teadlikkus oma privaatsusõigustest tekitavad ettevõtetele vajaduse teada, mis on privaatsusriskid ja millised on nende maandamise meetmed. Samuti tuleb kõik privaatsusõigustega seonduv regulaarselt üle vaadata. Andmete kategoriseerimine ehk infovarade audit on ka siin oluline, kuna riskide nimekiri koos riski tõenäosuse ja mõju hindamisega ning võimalike maandamise meetmetega annab ettevõttele tegevuskava, mille alusel oma küberturvalisuse taset tõsta.

Küberriskide strateegia loomist ei saa jätta ainult ettevõtte IT-juhi või andmekaitsespetsialisti hooleks, sest tegemist on olulise äriotsusega, mis peab arvestama ettevõtet kui tervikut. Seetõttu peab kaasa lööma kogu juhtkond ning küberturvalisuse strateegia peaks olema osa ettevõtte äristrateegiast. Kui strateegia valmis, ei maksa seda sahtlisse unustada, vaid regulaarselt üle vaadata – riskid muutuvad, samuti ettevõtte eesmärgid ja sel juhul tuleb ka küberriskide strateegiat uuendada.

Hoolimata sellest, et selline riskipõhine lähenemine küberriskide maandamisele on mõistlik, ei järgi väga paljud ettevõtted sellist tegutsemiskava ning loodavad turul pakutavatele ajast ja arust „üks lahendus sobib kõigile“ andmeturvalahendustele.

Grant Thornton Balticu kogemus ettevõtteid nõustades näitab, et ettevõtete infovarad ja andmed on väga erinevad ning erineva riskitasemega. On ettevõtteid, kelle tulust tuleb 100% teabest ja on ettevõtteid, kus tegeletakse füüsiliste asjade tootmisega, kuid tootmise ja töötajate juhtimine on digitaalne. Mõlemal ettevõttel on kaitset vajavaid olulisi digivarasid. Samuti on kõikidel ettevõtetel kliendiandmebaasid digitaalsel kujul, mis on magus sihtmärk nii konkurentidele kui ka õngitsejatele. Riskitaseme mõttes on eraisikutest klientide andmebaasi, sh pangakaardi numbrite hoidmine ettevõtte serverites märksa riskantsem, kui hallata seda näiteks infoturbe sertifikaadiga kliendihaldusrakenduses. Üks on selge: nii küberriskid kui ka nende maandamise meetmed on ettevõtetes erinevad, kuid strateegia ning meetodid maandamise meetmete väljaselgitamiseks on sarnased.

1. Kategoriseeri andmed vastavalt nende strateegilisele olulisusele. Need andmed, mille lekkimine või väärkasutamine põhjustavad ettevõtte tegevuse katkemise või halvendavad kliendikogemust, peavad olema väga tugevalt kaitstud.

2. Koos juhtkonnaga tuleb regulaarselt üle vaadata andmete kategooriad. Kui ettevõtte ärieesmärgid muutuvad, peab muutma ka andmete kategooriaid.

3. Taga andmete terviklikkus, käideldavus ja konfidentsiaalsus, et oleks alati teada, kust andmed pärinevad ja kes on need loonud. Samuti on vaja kindlust, et andmeid ei oleks muudetud ja need jõuaksid õigete inimesteni.

4. Legitiimsete andme- ja infopäringute korral tee koostööd päringu esitajaga ning tea täpselt, milliseid andmeid ja kui palju peab päringu esitajale edastama.

5. Lase oma küberriskide maandamise meetmeid kolmandal osapoolel regulaarselt testida. Nii saad teada, kas kõik toimib nagu vaja.

Allikas: Grant Thornton Baltic