Ettevaatust! Küberründe ohvreid ei vali inimesed, vaid masinad

Küberkuritegude arv kasvab aasta-aastalt ja seda ka meie väikeses Eestis. IT-teenuseid ja ­lahendusi pakkuva OIXIO AS-i küberturbejuhi Andres Vallistu sõnul ei sõltu küberünde oht ettevõtte ega inimese tuntusest ja finantsseisundist. Rünnakud toimuvad automatiseeritult ja valimatult ning teevad lõpptulemusena liiga neile, kes pole õigel ajal oma IT-turvalisusele tähelepanu pööranud.

Infoühiskonna areng ja digitaliseerumise kasv on väga head, et lihtsustada meie igapäevaelu ja suurendada produktiivsust tööl, kuid samal ajal toob selline kiire areng kaasa omad tagajärjed. Meie ekspertideni jõuab igal nädalal palju teateid arvepettustest, õngitsuskirjadest ja lunavararünnakutest, millega kaasneb nii rahaline kui ka moraalne mainekahju. Kahjude rahaline suurus ulatub mõnest tuhandest eurost kuni mitmesaja tuhande euroni. Sama tendentsi kinnitab ka Riigi Infosüsteemide Amet.

Seega on küberturvalisusest saanud üks suuremaid äririske, mida ei tohi jätta tähelepanuta. Kui veel mõni aasta tagasi arvati, et IT ja küberohud peaksid kuuluma IT-osakonna ülesannete hulka, siis see arusaam on hakanud muutuma ja küberturvalisuse teema on liikumas ettevõtete juhtkondade arutluse alla. See on väga õige, sest nii olulistes küsimustes tuleb näha suuremat pilti. Kahjuks sageli ei mõelda riskidele enne, kui endal midagi ootamatut juhtub. Hiljaks jäämisel on aga üldjuhul kõrge hind!

 

Mis juhtub, kui küberturvalisusega jäädakse hiljaks?

Kõige sagedamini seisab rünnaku alla langenud ettevõtja silmitsi äriseisakuga, millele järgneb lunavaranõude puhul otsene rahaline kahju, kui seiskuvad tootmis-, tööstus- ja müügiprotsessid. Lunavararünnakul mitte ainult ei krüpteerita andmeid seadmetes, vaid üha rohkem ka varastatakse ja avalikustatakse. Seetõttu ei piisa lunavararünnakute vastu võitlemisel ainult andmete varundamisest!

Otsene rahaline kahju ootab ees ka neid, kelle ettevõte satub arvetega manipuleerimise ohvriks. Kõige sagedasemini põhjustab otsest rahalist kahju nn tegevjuhi petuskeem, kus tegevjuhi nime alt saadetakse ettevõtte finantsjuhile või raamatupidajale palve raha ülekandeks. OIXIO viimase kliendikaasuse tagajärjel kanti ühe krüptorahadega tegeleva ettevõtte krüptokontolt miljoni euro väärtuses krüptoraha võõrale pangakontole.

Keerulisem on arvestada rahasse ümber mainekahju. Samas võib tuua näitena, et kui ettevõttest lekivad isikuandmed ja 1–2% suurtest klientidest läheb usalduse kaotamise tõttu konkurentide juurde, saab saamata jäänud summa välja arvutada. Lisaks aja- ja rahakulule ning mainekahjule võivad ettevõtet ähvardada ka trahvid isikuandmete lekitamise tõttu.

Ettevõtja mõtleb sageli, kes peaks tahtma just tema andmeid ja näha selleks häkkimisega vaeva. Ent küberünde korral ei valita otseseid ohvreid, vaid pommitatakse automatiseeritult ja valimatult kõiki kaitsmata infosüsteeme, teenuseid, seadmeid, kasutajakontosid ja ettevõtteid, lootes leida kellegi nõrka kohta. Küberründe oht ei sõltu sellest, kas ohvri andmed on väärtuslikud kurjategijatele, vaid sellest, kas need on väärtuslikud ohvrile endale. Keskmiselt saab iga server ühe ründekatse sekundis ja rünnete all on iga välismaailmaga ühendatud seade: serverid, sülearvutid, nutitelefonid jne.

Kuidas viia küberaugud ettevõtetes miinimumini?
  1. Esimesena tuleb anda kellelegi vastutus, olgu selleks ettevõtte IT-inimene, juhatuse esimees, palgaline infoturbejuht või väline partner nagu OIXIO, kes pakub infoturvet täisteenusena.
  2. Teise sammuna tuleb hinnata ettevõtte küberturbe hetkeolukorda ehk küpsustaset, mida saab teha küberturbeauditi ja infovarade riskianalüüsiga. Pole olemas maagilist standardpaketti – auditi ja analüüsi tulemusena sünnib rätsepalahendus, mis on loodud iga ettevõtte jaoks eraldi.
  3. Seejärel tuleb koostada tegevusplaan ja planeerida täiendavaid vastumeetmeid, et vähendada jääkriske ja võimaldada ettevõtte äritegevuse jätkusuutlik toimimine.
  4. Kuna küberturvalisus ei ole asi, mida saab ühe korraga osta või tagada, tuleb rakendada meetmeid ja tagada pidev haldus. Küberturvalisus puudutab kogu ettevõtte tegevust, tehnoloogiat, kultuuri, personali ja protseduure. IT-süsteemid muutuvad pidevalt ja seega tuleb tegeleda nende turvalisusega järjepidevalt. Selle protsessi sisseseadmine organisatsioonis nõuab paradigma muutust juhatuse tasandil.
  5. Tuleb koolitada töötajaid – firmajuhi või töötaja hooletu suhtumine küberohutusse võib muuta hetkega tähtsusetuks senised investeeringud turvalisuse tõstmiseks.

 

OIXIO võtab täieliku vastutuse

OIXIO eesmärk on ennetada küberintsidente ja aidata ettevõtetel ohtudeks valmis olla. Küberrünnaku korral ollakse valmis reageerima ööpäev läbi, et kliendid saaksid alati tööd jätkata. Kas teadsite, et 4% töötajatest klikib igal lingil ja failil, mis võib olla pahavaraga nakatunud? Olete mõelnud, kui palju maksab teie ettevõtte kõikide andmete kadumine ja terve päeva tööseisak?

OIXIO ülesanne on teha küberturvalisuse uuringud ja audit, analüüsida riskitaset ja hinnata küpsustaset. Seejärel saavad kliendid täpsemad juhtnöörid ja soovitused, kuidas edasi toimida. Oluline on, et OIXIO võtab endale kogu vastutuse klientide küberturvalisuse eest.

OIXIO turvaseireteenus kindlustab toimiva ettevõtte! Hea nõu saamiseks võtke ühendust: lahendused@oixio.ee.

 

ROSI arvutus näitab, kui kasulik on investeering küberturbesse

Selleks et küberturbe investeeringute tasuvust paremini näitlikustada, on kasutusel ROSI (Return of Security Investment) arvutus, mis tõestab arvutuslikult, et küberturbesse investeerimine loob reaalset väärtust.

Oletame, et madala küberturbe küpsustasemega ettevõtte vastu korraldatakse edukas lunavararünnak. Äriteenused seiskuvad terveks tööpäevaks, kliendid jäävad teenindamata, töötajatel ei ole võimalik tööd teha ja osaliselt lekivad ka klientide isikuandmed. Oletame, et ärisüsteemid on võimalik taastada varundusest järgmiseks tööpäevaks ja suures plaanis saabki töö siis jätkuda, kuid äri seiskumine ja klientide teenindamata jätmine tõi kaasa kahju summas 18 000 eurot. Lisaks on mainekahju (näiteks 1% kliente lahkus usaldusväärsuse langemise tõttu) ja Andmekaitse Inspektsiooni rahaline trahv, mille suuruseid me selles arvutuses ei kasuta.

Oletame, et selle hüpoteesi järgi oleks ettevõtet kaitsnud OIXIO küberturbe täisteenus, mille kuutasu on 550 eurot ja mille puhul oleks küberrünnak jäänud olemata. Selle järgi on ROSI arvutus järgmine:

ROSI = (intsidendi maksumus × kaitsetõhusus – investeering) : investeering

Intsidendi rahaline maksumus: 18 000 eurot

Turvaseire kaitsetõhusus: 95%

Investeering aastas: 6600 eurot

ROSI = 159%

NB! ROSI-s pole võetud arvesse kaotatud kliente, mainekahju ega trahve.