Ettevõtte juhi roll küberturbe tagamisel | OIXIO

Sa oled IT-juht või IT eest vastutav isik ettevõttes ja sa tunned, et ettevõtte juht (juhtkond) ei pööra küberturbe teemadele piisavalt tähelepanu, ei eralda vajalike turbemeetmete rakendamiseks piisavalt ressursse (raha, inimesed, aeg) või näeb, et küberturbe tagamine on kulukoht ja on seisukohal, et ettevõttes vastutab turbe tagamise eest IT?

Kui tekkis mingis kohas äratundmine, siis on see artikkel suunatud sinu juhile (juhtkonnale). Sa saad kasutada ja täiendada artiklis väljatoodud mõtteid, mis aitavad Sul juhtidele paremini küberturbe olemuse ja olulisuse mõtet edasi kanda.

Vaata ka salvestatud veebiseminari samal teemal

Miks peab juht vastutama küberturbe tagamise eest?

Küberturbe tagamise eest peab vastutust kandma tippjuhtkond. Miks? Sest äri toimimise ja jätkusuutlikkuse eest vastutab ilma ühegi kahtluseta juht (juhtkond). Küll aga, et tänapäeval saaks äritegevus mingilgi määral toimida, peab seda toetama IT ehk siis äritegemine, ilma toetava IT'ta, ei ole täna enam võimalik.

Kui IT läheb "katki" (nt küberintsidendi tagajärjel), siis äri seisab ja juht kannab vastutust. Kui hästi süngetes toonides rääkida, siis näiteks ISKE's (ISKE on infosüsteemide kolmeastmeline etalonturbe süsteem, mille eesmärk on tagada infosüsteemides töödeldavatele andmetele piisava tasemega turvalisus. Peamiselt laiemalt kasutusel Eesti avalikes ettevõttetes) ja ka uues Eesti infoturbestandardis (E-ITS) on üsna selgelt välja toodud, et avalikus sektoris lasub vastutus küberturbe tagamise eest organisatsiooni juhil ja kui küberintsidendi tagajärjel tundlikud andmed lekivad, siis piltlikult läheb vangi organisatsiooni juht.

Seega Juht peab hoolitsema IT eest nagu oma parima töötaja eest. Ta peab "töötajat" piisavalt hästi tundma ja temaga läbi saama (omama baasteadmisi IT'st) peab kandma hoolt selle eest, et "töötaja" pidevalt areneks (teisi sõnu oleks kaasaegne ja toetaks maksimaalselt äriprotsesse), ta peab hoolitsema selle eest, et "töötaja" ei lahkuks ettevõttest (teisisõnu ei läheks katki) ja peab hoolitsema selle eest, et "töötaja" oleks hea tervise juures (teisisõnu teda ei kimbutaks viirused ja ta ei jääks haigeks, ei sureks ära).

Veel üks oluline põhjus. Nimelt juht on see, kes töötab välja ettevõtte äristrateegia, koostab ärianalüüsi, kaardistab tugevused, nõrkused, võimalused ja ohud. Kui aga juht jätab äristrateegiat planeerides tähelepanuta küberintsidendi kui ühe kõrgeima riskiga välise ohu, siis on ettevõtte jätkusuutlikus tõsise küsimärgi all. Seega on oluline, et juht mõistab küberturbe olemust ja olulisust ning arvestab sellega äristrateegiat planeerides püstitades ka eesmärgid küberturvalisusele.

Juhi vastutus on oluline ka vajaliku töökultuuri loomisel. Juht on etalon, tema peab viima küberturbe olulisuse ka töötajateni. Kui juht küberturbe teemasid esile ei too ja ei rõhu teema olulisusele, siis ei maksa ka loota, et töötajad seda teevad.

Juht peab omama ülevaadet turbeolukorrast ja peab olema teadlik riskidest. Juht on see, kes otsustab, kas me astume sammud, et see risk maandada või me aktsepteerime ettevõttes selle turvariski ja kui me aktsepteerime, siis millised võivad olla potentsiaalsed tagajärjed äritegevusele. Juhi roll peab olema ka kasutusmugavuse ja turbetaseme suhte balansseerimisel, mis mõnes mõttes võib ka tähendada teadlikult jääkriski aktsepteerimist. Sest üldjuhul kipub nii olema, et mida rohkem turvet peale keeratakse, seda ebamugavamaks töötajate elu läheb.

Kokkuvõttes peab juhi mõttemaailma jõudma see, et toimiv ja turvaline IT on äri toimise fundamentaalne alustala, mis loob ettevõttele (salajase) konkurentsieelise juhul, kui IT eest on hoolitsetud nagu oma parima töötaja eest.

Juht peab mõistma, miks küberturve on oluline teema

Juhile teema olulisuse kohale viimiseks võib kasutada RIA poolt koostatud küberruumi olukorra ülevaateid. RIA näeb igapäevaselt palju vaeva teema olulisuse edasikandmiseks meie ühiskonnas. Kokkuvõtteid olukorrast näeb RIA kodulehelt: Olukord küberruumis | Riigi Infosüsteemi Amet (ria.ee). Eelmisel aastal tuvastati kokku 2722 turvaintsidenti, mis oli keskmiselt 63 intsidenti päevas – Pöördujateks meie enda Eesti avalikud ja erasektori asutused. Aga oluline on selle numbri juures mainida, et see võib olla ainult jäämäe tipp – me ei tea tegelikult, kui paljud ettevõtte jätavad küberintsidentidest teavitamata.
Vaata ülevaadet RIA küberturbe aastaraamatust >

Juht peab teadma, milline on küberrünnakute mõju äritegevusele

Küberkuritegevus on tõusev trend. See ei ole pelgalt hüpotees, vaid fakt. Seega on ülioluline, et juht mõistab, mida üks küberrünnak võib endaga kaasa tuua ja kuidas see mõjutab äritegevust. Toome välja peamised võimalikud tagajärjed:

  • Äriseisak. Äriseisaku põhjuseks on sageli õnnestunud lunavararünnak, mis halvab ärisüsteemid, krüpteerib ja muudab äriandmed kasutuskõlbmatuks. Taastamiseks võib kuluda päevi! Ja nagu Murphyl ikka on kombeks, siis asudes varundusest taastama võib selguda, et varundus on katki või puudulik. Iga kuulaja võib selle tagajärje oma äri konteksti panna – kui müüte kruvisid, siis kuidas te laoseisu näete, kui infosüsteem ei tööta? Kui olete logistika ettevõte, siis autod küll sõidavad diiselmootori abil edasi, aga kuidas autojuht teab, kust kaupa korjata ja kuhu maha panna, kui süsteem ei tööta? Kui tegelete jaekaubandusega siis, kuidas saab klient kaupa osta, kui kassasüsteemid on maas? Viimast illustreerib väga hästi hiljuti Rootsi toidupoodide keti Coop’i intsident, kus üle riigi olid kõik Coopi kassasüsteemid maas, mille põhjustas lunavararünnak.
  • Otsene rahaline kahju. Otsene rahaline kahju võib olla erinevate intsidentide tagajärg. Lunavararünnaku ohvriks langedes võite olla sundseisus, kus peate andmete päästmiseks lunaraha maksma, mille summad on sageli viiekohalised numbrid. 
    Ei ole väga harvad juhud, kus tegevjuhi petuskeemi ründemetoodikat ära kasutades kannab raamatupidaja ekslikult raha küberpäti kontole. 
    Kui isikuandmed lekivad, võib kaasneda GDPR regulatsioonist tulenevalt trahvinõue, mille suurus võib olla maksimaalselt 4% ettevõtte aastakäibest.
  • Mainekahju. Mainekahju käib tagajärgedega tihti kaasas ja peaaegu alati tähendab see seda, et ettevõte kaotab oma klientide silmis usalduse ning usalduse kaotamisega kaotab ka kliendid ja äritulu. Mõelge, mis see tähendab teie äri jaoks, kui kasvõi 1% lahkub teie konkurendi juurde?
    Üks eelmise aasta sügise näide meie põhjanaabrite juurest Soomest. Küberpätt sai juurdepääsu Psühhoteraapiakeskuse andmetele. Põhimõtteliselt oleks võinud küberpätt ju ka andmed krüpteerida, aga palju tulusam viis oli andmed varastada ja küsida ettevõttelt andmete mitte lekitamise eest lunaraha. Ega pätid rumalad ei ole. See pätt sai ka aru, et tegu on erakordselt tundliku teabega (vestlused klientide ja psühhiaatrite vahel). Osa andmetest jõudiski tumeveebi, intsident tuli avalikuks ja tänaseks on see psühhoteraapiakeskuse kett Soomes oma uksed kinni pannud. 

Juht peab omama baasteadmisi küberturbe valdkonnast

Juhil peab omama baasteadmisi küberturbe valdkonnast
Kui juht mõistab vastutust äri jätkusuutlikkuse ees ja saab aru, millised võivad olla küberrünnakute tagajärjed, siis vähem oluline ei ole ka see, et juht omaks baasteadmisi, kuidas küberintsidendid aset leiavad ja millistest tahkudest küberturvalisus koosneb.
 
Käesolevas artiklis ei pühendu me erinevate ründemetoodikate selgitamisele. Selles teemas saab võtta kandva rolli IT-juht või IT eest vastutav isik, kes juhile erinevaid ohte inimkeeles selgitab või võtab juht ise initsiatiivi ja viib ennast kurssi enamlevinud ohtudega nagu näiteks: 

  • õngitsuskirjad/lehed;
  • andmevarguse stsenaariumid;
  • tegevjuhi petuskeemid;
  • tarneahela/partneri ründemeetod;
  • lunavararünnak;
  • siseohust tulenevad probleemid;
  • DDoS ehk teenustõkestusrünnakud.

Kui juht omab baasteadmisi sellest, kuidas üks intsident võib aset leida, siis on sama oluline mõista, millised on erinevad vastumeetmed küberohtude eemalhoidmiseks. Taaskord on see valdkond, mida saab IT-juht inimkeeles juhile selgitada.
 
Peamised küberturbe elemendid on kirjeldatud alloleval pildil. Küberturbes kehtib nõrgima lüli põhimõte. See tähendab, et nii tugevad, kui on meie turvalisuse ahela kõige nõrgemad lülid, nii turvaline on ka meie keskkond.

Loe edasi: Ettevõtte juhile – millest alustada, et tagada tasemel küberturve