14.05.2019 Teisipäev

Mida saab IT-turvalisuse alal õppida ühelt keskaegselt kindluselt?

Kõrgel Austria mägedes asub keskaegne Hochosterwitzi kindlus. Imposantne mäetipus trooniv hiiglaslik loss on tuntud ka ühe huvitava fakti poolest: see on üks väheseid kindluseid kogu maailmas, mida pole kunagi suudetud vallutada.Sissetungijate ees suletuks jäämise eest tuleb Hochosterwitzis tänada ühte meest, parun George Khevenhüllerit. Parun mõistis, et kindlus on piirkonna elanikele strateegiliselt oluline ning tellis mäe laugemale ehk kergemini ligipääsetavale küljele võimalike vallutajate eest kaitseks 14 tugevalt kindlustatud väravat. Igal väraval oli erinev kaitsesüsteem, mis ajas sissetungijad segadusse ja viitis aega. Väravate süsteem on aastasadade jooksul end õigustanud: kõige edukamal vallutajal õnnestus sisse pääseda neljast väravast. Kuid jäi veel kümme...
Mida saab IT-turvalisuse alal õppida ühelt keskaegselt kindluselt?
Mida saab IT-turvalisuse alal õppida ühelt keskaegselt kindluselt? Foto: pixabay

Tänapäeva ettevõtetel, eriti neil, kes tegutsevad tehnoloogia valdkonnas, on parun Khevenhüllerilt üht-teist õppida. Praegusel ajal pole enam ohtu füüsilisele (kontori)hoonele, vaid tuleb karta rünnakuid IT-süsteemide vastu, sest katsed õngitseda andmeid või kasutada võõrast IP-aadressi on muutunud igapäevasteks. Nii nagu Khevenhüller analüüsis, kust suunast võib kõige tõenäolisemalt rünnak tulla ja valmistus selleks, tuleb ka tänapäeval esmalt mõelda kahele asjale: millised on kõige väärtuslikumad kaitset vajavad varad, sh andmed ja mil moel neid tõenäoliselt rünnata püütakse. Vastavalt sellele saab luua kaitsestrateegia.

Loomulikult peab terviklik küber- ja andmekaitseriskide strateegia sisaldama rohkemat kui kaitset küberrünnete vastu. Näiteks karmistunud andmekaitse nõuded ja inimeste suurem teadlikkus oma privaatsusõigustest tekitavad ettevõtetele vajaduse regulaarselt üle vaadata privaatsusriskide maandamise meetmed. Andmete kategoriseerimine on ka selle protsessi jaoks oluline.

Tehnoloogiaettevõtted on kõige haavatavamad

Küberkuritegevuse põhjustatud kahju küündib maailmas paari aasta pärast umbes kuue triljoni USA dollarini[1], mida on võrreldes 2015. aastaga kaks korda rohkem. Kõige enam on sellest mõjutatud just tehnoloogiaettevõtted, kelle käsutuses on tavaliselt rohkem andmeid kui mitte-tehnoloogiafirmadel. Samuti võtavad tehnoloogiaettevõtted kasutusele innovaatilisi rakendusi, mille kõik turvalahendused ei pruugi kohe sajaprotsendiliselt töötada. Seetõttu on tehnoloogiaettevõtete jaoks eriti oluline määratleda enda jaoks strateegiliselt olulised andmed ning luua selle põhjal küberriskide haldamise strateegia.

Ka B2C ehk otse tarbijatele tooteid-teenuseid müüvad ettevõtted säilitavad ja töötlevad suurt hulka tundlikku personaalset infot. Samuti on inimesed muutunud oma isikuandmete turvalisuse suhtes järjest nõudlikumaks. Kokkuvõttes tähendab see, et ettevõtted on praegu küberrünnete ja kliendiandmete lekkimise suhtes haavatavamad kui kunagi varem. Ja paraku toob õnnestunud küberrünnak lisaks rahalisele kahjule kaasa ka mainekahju.

Kuidas oma ettevõtet kaitsta?

Nagu öeldud, tuleb esiteks liigitada ja kategoriseerida ettevõtte käsutuses olevad andmed, et mõista, millist väärtust nad ettevõtte jaoks omavad ja millised on nendega seotud spetsiifilised riskid. Kui see on selge, tuleb luua riskipõhine küberriskide strateegia, mis kindlustab ettevõtte digitaalsed kroonijuveelid – andmed, mis on ettevõtte ja tema klientide jaoks kõige olulisemad. Seejuures ei saa küberriskide strateegia loomist jätta ainult ettevõtte IT-juhi või andmekaitsespetsialisti hooleks, sest tegemist on olulise äriotsusega, mis peab arvestama ettevõtet kui tervikut. Seetõttu peab kaasa lööma kogu juhtkond. Kui strateegia valmis, ei maksa seda sahtlisse unustada, vaid regulaarselt üle vaadata – riskid võivad muutuda, ettevõtte eesmärgid samuti ja sel juhul tuleb ka küberriskide strateegiat uuendada.

Kas selline lähenemine tundub mõistlik? Minu meelest küll. Kuid väga paljud ettevõtted, nende seas ka tehnoloogiaettevõtted, ei järgi sellist tegutsemiskava ning loodavad turul pakutavatele ajast ja arust „üks lahendus sobib kõigile“ andmeturvalahendustele.  Grant Thornton Balticu kogemus ettevõtteid nõustades näitab, et ettevõtteis kasutatavate andmete liigid, laadid ja mahud on väga erinevad. On ettevõtteid, kelle tulust tuleb 100% teabest, mis nad on kogunud, ja on ettevõtteid, kus tegeletakse füüsiliste asjade tootmisega. Kuid loomulikult on tootmise juhtimiseks soovitatav kasutada kaasaegseid digitaalseid lahendusi. Üks on selge: nii küberriskid kui ka nende maandamise meetmed on eelmainitud ettevõtetes erinevad.

Viis tähtsaimat soovitust küberturvalisuse tagamiseks

  1. Kategoriseeri andmed vastavalt nende strateegilisele olulisusele. Need andmed, mille lekkimine või väärkasutamine põhjustavad ettevõtte tegevuse katkemise või halvendavad kliendikogemust, peavad olema väga tugevalt kaitstud.
  2. Koos juhtkonnaga tuleb regulaarselt üle vaadata andmete kategooriad. Kui ettevõtte ärieesmärgid muutuvad, peab muutma ka andmete kategooriaid.
  3. Taga andmete terviklikkus, käideldavus ja konfidentsiaalsus, et oleks alati teada, kust andmed pärinevad ja kes on need loonud. Samuti on vaja kindlust, et andmeid ei oleks muudetud ja need jõuaksid õigete inimesteni.
  4. Legitiimsete andme- ja infopäringute korral tee koostööd päringu esitajaga ning tea täpselt, milliseid andmeid ja kui palju peab päringu esitajale edastama.
  5. Lase oma küberriskide maandamise meetmeid kolmandal osapoolel regulaarselt testida. Nii saad teada, kas kõik toimib nagu vaja.

Autor: Grant Thornton Balticu IT-juht Arko Kurg
Allikas: Grant Thornton Baltic

Küsi nõu!

  Esita küsimus

Saada vihje

Hea lugeja, meie eesmärk on teha just sellist ajakirja, nagu sulle meeldib. Pane kirja soovitud teemad ning dokumendivormid, mida tahaksid siit leida. Tehkem koostööd!
430824810 430800019636154 7356040320163199917 n255