Küberturvalisus ja vajadus hoolitseda selle tagamise eest on muutunud kõigil elualadel aja normiks. Milles aga peituvad ettevõtete jaoks küberohud, kuidas neid ära tunda ja millised on võimalused nende vastu seista? Teemat aitavad mõtestada spetsialistid.
Põhilised küberohud seonduvad internetiga ja on seetõttu päevakorral olnud ka kogu internetiajastu ehk siis juba umbes 40 aastat. Samas muudab tehisintellekti tungimine igapäevaellu neid ohte senisest märksa spetsiifilisemaks ja laiaulatuslikemaks. Neid on aina rohkem, nad muutuvad üha keerulisemateks ning nõuavad seetõttu ka järjest pingsamat tähelepanu ja erilisemaid süsteeme, et ennast tõhusalt küberohtude eest kaitsta.
Seda enam, et küberkuritegevuse tekitatud üleilmne majanduslik kahju ulatub igal aastal juba mitmetesse miljarditesse eurodesse, mistõttu küberturbest ja selle tõhususest oleneb iga riigi heaolu nii majanduslikus kui ühiskondlikkus mõttes.
Ainuüksi Eestis võib valitsusasutustele, ettevõtetele ja erinevatele organisatsioonidele tehtavaid küberrünnakuid loendada sadades ja isegi tuhandetes. Nende seas on ka kümneid suure mõjuga ründeid, mille tulemusel mõne ettevõtte töö on pikalt halvatud. Tõsi, avalikkuse ette need tihtilugu ei jõua, ent see ei tähenda, et neid siiski igapäevaselt ei toimuks.
Eestis on vastu võetud riiklik küberturvalisuse strateegia aastateks 2024–2030, meil on hulgaliselt küberturvalisuse tagamisega tegelevaid firmasid, lisaks tegeleb ettevõtetele kübertoe pakkumisega Eesti Infotehnoloogia ja Telekommunikatsiooni Liit (ITL).
Vajadus end kaitsta
Küberturvalisuse tagamisega tegeleva rahvusvahelise ettevõtte Neverhack Estonia juht Jürgen Erm kinnitab, et tõepoolest on küberohud põhimõtteliselt sama vanad kui vana on internet, ent mida digitaalsemaks muutub meie ühiskond, seda rohkem on see ka ohustatud kõikvõimalikest küberrünnakutest. Samas tuleb tõdeda, et ega kellelgi eriti alternatiivi pole – peame toimetama digitaalses maailmas, samas püüdes seda kõigi vahenditega võimalikult turvaliseks muuta.
Ta on seda meelt, et tänapäeval on kõigi ettevõtete ja inimeste elu ja tegevus seotud internetiga – kes rohkem, kes vähem, aga digitaalsete lahenduste kasutamisest ei ole keegi siin ilmas enam täiesti puutumata. Ja küberohud on tema hinnangul digiühiskonna üks peegeldus, sest isikuid, kes seadustest kinnipidamist oluliseks ei pea, on jagunud läbi ajaloo kõigisse ühiskonnakordadesse. Digitaalses maailmas avanevad pahatahtlikele kavatsustele lihtsalt uued võimalused.
„Ei ole kellelgi varianti küberkaitsest mööda vaadata – sellega tuleb kas ise ennetavalt tegeleda või siis tuleb hiljem, pärast rünnakut, tagajärgedega tegeleda,” räägib Jürgen Erm. „Seega – tuleb tegeleda rünnakuid ennetava tegevusega ning olla ka valmis võimalikult kiiresti ära tundma, kui sind on rünnatud. Ründajad on ettevõtte võrgus n-ö maad kuulamas sageli päevi ja isegi kuid, otsides võimalusi, kuidas tekitada maksimaalset kahju ja ise võimalikult palju teenida.”
Küberründed saavad mõjutada tema sõnul ettevõtte käsutuses olevaid andmeid ja süsteeme – saab kompromiteerida andmete konfidentsiaalsust ehk võimaldada andmetele ligipääs isikutele, kellel seda ligipääsu ei tohiks olla. Teiseks rikkuda andmete usaldusväärsust, mida oleme harjunud usaldama, olgu nendeks siis inimeste terviseandmed, mingid registrid jmt. Kolmandaks halvata andmete kättesaadavust – küberrünnaku tulemusel ei pruugi mingid andmed olla meile enam kättesaadavad, näiteks ei saa teha pangatehinguid või kaardimakseid.
Loetellu võib lisada veel erinevad püüdlused interneti teel inimeste või ettevõtetega manipuleerida, neid survestada, raha välja petta või suisa nõuda. Aga enamasti ongi ründajate eesmärk ikkagi kellegi arvelt ebaseaduslikku raha teenida.
Infosüsteemide kaitsmine on algusest peale oluline
„Kohe, kui ettevõte on asutatud, peaks selle omanikes tekkima arusaam, et vaja on tegeleda ka küberkaitsega. Isegi, kui tehakse puulusikaid, on ikkagi tarvis töödelda kliendiandmeid, tellimusi vastu võtta, arveid tasuda, selleks kõigeks tuleb kasutada mingil määral infosüsteeme,” kirjeldab Erm küberturbe vajalikkust. „Infosüsteemide kaitsmine on algusest peale oluline. Ka ühemehefirmas on sülearvuti, mis peab olema varustatud turvalisust tagava programmiga, andmetest tuleb teha varukoopiad ning kasutatavatele infosüsteemidele ligipääs peab olema maksimaalset turvatud, näiteks kaheastmelise autentimise kaudu.”
Turvariskid peituvad nii pilves kui oma serveris
Mida suurem on ettevõte, seda rohkem peab ta oma infosüsteemide kaitsmiseks rakendama erinevaid turvasüsteeme. Küberkaitse hulka kuulub ka oma süsteemide jälgimine 24/7, sest kui seda infot regulaarselt läbi ei töötle, võid küll kulutada turvalisuse peale miljoneid, aga maksimaalset tõhusust sealt kätte saada ei õnnestu. Samamoodi tuleb küberturvalisust süsteemselt juhtida ja oma küberkaitset arendada ja parandada.
Levinud on seisukoht, et paljud ohud ja turvariskid seonduvad pilveteenuste kasutamisega. Et kui andmeid hoitakse pilveserveris, on need justkui ohustatumad sellest, kui ettevõtte andmetöötlus toimub tehases või kontoris asuvas serveris.
Erm seda kartust ei kinnita, märkides, et nii pilves kui kohapealses serveris saab andmeid väga turvaliselt hoida, aga mõlemas saab kas lohakusest või teadmatusest muuta info ka kaitsetuks.
Kuidas oleks mõistlik andmeturbega tegeleda – kas palgata selleks oma koosseisu eraldi spetsialist või kasutada sisseostetud teenust?
Jürgen Erm liigitab ettevõtted selles osas kolmeks. Esiteks need, kes kõigis IT-muredes, ka nendes, mis puudutavad küberturvalisust, loodavad nn patsiga IT-poisi peale. Teine grupp firmasid tahavad kõike ise teha, nad on palganud eraldi küberturbe spetsialistid, määranud konkreetsed vastutusalad ja teevad kõike n-ö majas sees. Kolmas kategooria ettevõtteid on need, kes kasutavad küberturvalisuse tagamiseks erinevaid teenuseid, sest tänapäeval saab küberteenust osta sisse analoogselt IT-teenusega.
„Ega neile, kes praegu küberturbega veel kuigi süvenenult ei tegele, olegi tarvis mingit müügijuttu ajada, elu näitab selle vajaduse ise kätte,” tõdeb Erm. „Arusaamine tekib siis, kui leiad ennast ühel hetkel olukorrast, kus oled küberründe ohver. Teavitustöö, mida teevad erasektor, ITL ja riik on väga tervitatav ning vajalik. Aga eks alati jääb alles ka neid, kes tahavad ise oma vigadest õppida.”
Maailmamuutev teema, ka küberriskide osas on kahtlemata tehisintellekt, selle tööga kaasnevate andmehulkade haldamine ja selle kaitsmine rünnakute eest. Igatahes tuleb kõigil teadmiseks võtta, et AI võib olla tööriist nii headele kui halbadele jõududele.
Küberklaster hoolitseb ohu-teadlikkuse paranemise eest
ITL pani läinud aasta septembris aluse küberturvalisuse valdkonna eksperte ja parimaid praktikaid koondavale Eesti CyberTech klastrile (CyberHub Estonia). Klaster toetab kübervaldkonna lahenduste eksporti ning aitab ettevõtjate seas kasvatada küberohtude osas teadlikkust. Tänaseks on valminud turvalise tehisintellekti kasutamise hea tava ning tehtud mitmeid muid algatusi. Ühine eesmärk on suurendada Eestis küberturvalisust. Eesti CyberTechi kuulub praeguseks üle 20 ettevõtte.
ITL-i CyberHubs projekti juht Grete Soares de Camargo märgib, et tegemist on koostööplatvormiga, mis ühendab Eesti küberturbe ettevõtteid, mis omakorda teevad koostööd erinevate sidusrühmadega. Eesmärgiks on seatud küberturbe alase teadlikkuse tõstmine, kaasates valdkonna eksperte.
„Info Eesti küberturbe ettevõtete heast kompetentsist on levinud laia maailma. Iga päev saame koostööettepanekuid ja päringuid selle valdkonna kohta ning nii toimub meil küberturbe kui teenuse eksport ka piiri taha,” iseloomustab ta olukorda. „Meie ettevõtjate delegatsioonid käivad järjepanu välismaal kohtumistel ja on saavutanud küberturvalisuse vallas juba usaldusväärse maine.”
Teadlikkuse tõstmine ehk teisisõnu ettevõtjate mõttemalli muutmine on klastri üks peamistest eesmärkidest. Samamoodi on sellest saanud ITL-i tegevuse üks oluline eesmärk. Selleks on läbi viidud kampaaniaid, aitamaks paremini mõista küberohte ja pöörata neile tõhusamalt tähelepanu, kuidas tagada oma andmete turvalisus, vältida nende väärkasutamist jmt. Viimatine neist käsitles tehisintellekti turvalisust.
Kõiki neid eesmärke täidab ka AI loomise hea tava, millega liitunud ettevõtted kinnitavad Soares de Camargo sõnul, et arvestavad tehisintellektisüsteemide loomisel ja tehisintellekti kasutavate teenuste pakkumisel heas tavas nimetatud printsiipe, mis aitavad tagada pakutavate lahenduste turvalisuse.
Küberklaster kutsub ettevõtteid liituma
„ITL valdkonna eksperdina on kokku pannud head tavad ehk parimad praktikad ka teiste teenuste, näiteks tarkvara arendus, arvutitöökoht, pakkumiseks, mille järgimise nõudmine koostööpartnerilt või oma IT töötajalt võiks aidata suuremaid hädasid ja vaidlusi vastutuste osas vältida,” märgib ta.
Lisaks tegeleb CyberTech küberriskide ja nende vältimise alaste koolituste läbiviimisega.
„Eesti CyberTech klaster koos oma liikmetega on valmis jagama teadmisi, kogemusi ja pakkuma tuge. Olgu see siis esimeste sammude tegemine, riskide hindamine või töötajate teadlikkuse tõstmine,” innustab Grete Soares de Camargo. „Ettevõtted on teretulnud meiega ühendust võtma – koostöö algab sageli lihtsalt ühest heast vestlusest.”
Eesti CyberTech klaster kuulub Euroopa CyberHubs võrgustikku ja on Põhjamaade küberklastri liige.
Valmistatakse ette küberturvalisuse seaduse muutmist
Kõrvuti ettevõtetes toimuva küberkaitsega on valitsuses käimas küberturvalisuse seaduse muutmine. Seotud on see Euroopa Liidu uue küberturvalisuse direktiivi (NIS2, EL 2022/2555) Eestis rakendamisega, mis peaks ühtlustama EL-is küberturvele seatud nõuded.
NIS2 direktiivi sihtrühmad on näiteks raudtee-, lennuvälja- ja sadamateenuse pakkujad, sideettevõtjad, haiglad ja perearstid ja ka avaliku sektori asutused.
Riikliku küberturvalisuse juht Taavi Viilukas on öelnud, et uue direktiiviga soovitakse tagada ühtlaselt kõrge küberturvalisuse tase üle Euroopa Liidu. Lisaks täpsustatakse küberturvalisuse teabevahetuse korraldamist ja ressursi kasutamist hädaolukorras.
„Näiteks saab Eesti kriisi- või hädaolukorras ulatusliku intsidendi lahendamiseks küsida liikmesriikidelt nõu ja abi,” selgitab Viilukas. „Lisaks määratletakse, kuidas tehakse liikmesriikides järelevalvet kohustuste täitmise üle.“
Seaduse jõustumise ajaks planeerib riik luua abivahendi, mille abil saavad ettevõtted hinnata, kas neile kehtivad küberturvalisuse seadusest tulenevad nõuded. Seaduse jõustumisel on neil ettevõtetel kolm aastat aega küberturvalisuse nõuete täitmiseks.
Mitmed Eesti küberturbe spetsialistid on EL-ist lähtuvate uute nõuete suhtes ilmutanud kriitilist meelt, sest mõnda nõuet uues regulatsioonis peetakse liialt keeruliseks ja ülemäära nõudlikuks. Kardetakse, et ettevõtjad võivad nendest arusaamise ja nende täitmisega hätta jääda.
„Turvalisuse meetmed ei saa olla nii karmid, et hakkavad ettevõtlust pärssima,” leiab Jürgen Erm. „Igal firmal on oma riskitaluvuse nivoo ja igaüks peaks saama ka ise paika panna, kuidas ta oma küberturvet üles ehitab. Praegune direktiiv aga paneb nii suure vastutuse, et kardetavasti kõik ettevõtted lihtsalt ei suuda seda vastutust kanda. Praegu püüamegi kõiki osapooli laua taha võtta, et erinevad stsenaariumid läbi arutada ning leida tasakaalustatud lahenduse. Eesmärk on kohandada uus regulatsioon Eesti jaoks nii, et see oleks meil võimalikult efektiivne.”
