KOMMENTAAR ⟩ Ettevõtetes on küberturvalisuse eest vastutavad need, kelle jaoks see on järjekorras kümnes prioriteet
1. juuli 2023, 15:26
Elisa ärikliendi IT teenuste valdkonna tootejuht Kristjan Kuru märgib arvamusloos, et kuigi küberohte tekib iga päevaga aina juurde, on inimeste ja ettevõtete võimekus reaalset pilti hoomata tänaseni madal.
Küberruum on muutumas iga päevaga aina ohtlikumaks. Asja ei muuda paremaks ka tõsiasi, et enamikes ettevõtetes on küberturvalisuse eest lõplikult vastutavad inimesed, kelle jaoks see on järjekorras kümnes prioriteet.
Täna ei ole enam olemas ettevõtet, kes oleks rünnaku ohvriks langemiseks liiga väike. Suur osa küberintsidentidest ei leia aset täpselt sihitud rünnakutest tulenevalt, vaid ette võetakse need, kellele ligi pääsetakse. Nutikad lahendused on suutnud suure osa küberpahalaste tööst ära automatiseerida ja kui kuskil on võimalik tähelepanematusest, hooletusest või teadmatusest tulenevalt kasu teenida, siis seda ka tehakse.
Seetõttu on küberturvalisuse tagamisel eesliinile liikunud iga töötaja, kuna piisab vaid ühest eksimusest – näiteks meili teel saadetud pahavara sisaldava faili avamisest – et tekitada tõsist kahju. Ideaalses maailmas peaks selliseid olukordasid aitama ennetada piisaval tasemel küberturbepoliitika, kuid reaalsuses on turvalisus midagi, millele ressursside eraldamine on harv. Suuremates ettevõtetes pole ebatavaline, et turvateemadega on tegelema määratud terve osakond, kuid kuni paarisajapealistes majades on see pigem haruldus.
«Sina tegeled nüüd turvateemadega»
Selle asemel on turvalisus midagi, mis on orgaaniliselt poogitud kellegi töö osaks. Näiteks kui terve maja peale on üks IT-mees, kelle põhitegevuseks on arvutipargi haldamine ja printerite tööle meelitamine, otsustatakse suvalisel teisipäevasel koosolekul, et tema võiks tegeleda ka küberturbeteemadega ja vaadata, et seal kõik enam-vähem korras oleks. Veelgi väiksemates firmades pole ka haruldane, et turvateemad on midagi, mis on osa Hunt Kriimsilmast tegevjuhi kohustustest – lisaks müügitööle, kohvi tellimisele, lillede kastmisele ja strateegia vedamisele.
Väike firma ei suuda kanda suuri kulusid, kuid see ei tähenda, et riskid firma väiksusest tulenevalt langeksid. Pigem isegi vastupidi.
See on mõneti ka arusaadav. Väike firma ei suuda kanda suuri kulusid, kuid see ei tähenda, et riskid firma väiksusest tulenevalt langeksid. Pigem isegi vastupidi. Kui suur firma saab rünnakuga pihta, on neil piisavalt ressursse, et sellest taastuda. Väiksema ettevõtte jaoks võib aga näiteks krüpto-lunavara rünnaku ohvriks langemine tähendada äritegevuse lõppu.
See ei ole ka olukord, millele oleks olemas ideaalset lahendust. Kui eelarve küberturbetiimi või vähemalt sel teemal kogenud IT-inimese tööle võtmist ei luba, siis seda ka teha ei saa. Sellest järgmine parim samm on aga üritada mõista, milline on olukord tegelikult. On oluline endale tunnistada, et tänane olukord ei suuda ohte maandada: printeriparandajast IT-mees ei hooma tegelikult küberturvalisusega seotud ohte, multitalendist tegevjuht ammugi mitte.
Meeletu kogus tasuta lahendusi
Kui reaalsusega on lepitud, on ka võimalik hakata tegema väikeseid samme, et tänast olukorda parandada. Asjalikku küberturbepartnerit või selle teemaga aktiivselt tegelevat töötajat ei asenda küll miski, kuid veidi pingutades on vähemalt võimalik jõuda punkti, kus asjad on paremad kui täna. Heaks alguseks on näiteks küberturbekoolituste läbimine ja kübermaailmas reaalselt toimuvaga tutvust tegemine. Kuskilt tuleb küll see aeg leida, kuid kui seda suudetakse, siis sellega ka suuremad kulud piirnevad.
Internet on täis asjalikke juhendmaterjale ning õpetusi, uudiseid ja viimaseid arenguid, mille abil enda harimisega algust teha. Näiteks riigi loodud Ole Valmis äpist leiab üsnagi põhjaliku küberturbekoolituse, mis aitab kõike olulist mõistma hakata. Kui sinna kõrvale sirvida aeg-ajalt küberturvalisusega seotud uudiseid, järgida koolitustel õpitud parimaid praktikaid ja üritada leida viise, kuidas tõsta nii juhtide kui ka töötajate teadlikkust, saab olukord muutuda paremaks.
Ükskõik mis on parem kui null. Kui täna seisab ettevõte küberturvalisus selle peal, et keegi justkui sellega tegeleb, hoomamata samas reaalset seda, mille vastu end kaitsta tuleb, pole paremaks muutumiseks vaja palju pingutada. Alati saaks ja võiks üritada teha rohkem, kuid reaalse olukorra mõistmine ja ohtude hoomamine on juba tugev algus. Iga natuke loeb – ei tasu maailma vaadata läbi roosade prillide ja uskuda, et tänasest piisab.