Kaks hiljutist uuringut näitavad, et Eesti väikese ja keskmise suurusega ettevõtted (VKE-d) pööravad küberturvalisusele oluliselt vähem tähelepanu kui suurfirmad ning võivad seetõttu langeda kergemini ka küberrünnete ohvriks.
Küberrünnak ettevõtte vastu võib ohustada ka töötajaid, kliente ja äripartnereid
Riigi Infosüsteemi Ameti (RIA) ja Statistikaameti korraldatud uuringutest selgub, et VKE-d koolitavad oma töötajaid küberohtude teemal tunduvalt harvemini, kui see on tavaks suuremates ettevõtetes. Mahukamaid investeeringuid küberturbesse hakkavad nad kavandama aga sageli alles siis, kui midagi päriselt juhtub.
„Samas on ohtude ennetamine alati odavam kui tagajärgedega tegelemine. Alles paar nädalat tagasi teavitas üks ettevõte meid, et ära hoiti rohkem kui miljoni euro suurune arvepettus,“ märkis RIA analüüsi- ja ennetusosakonna juht Märt Hiietamm.
„Uuringute järgi teavad paljud ettevõtjad küberruumis levivate ohtude kohta paraku üsna vähe. Samuti ei olda kuigi hästi kursis küberrünnakute võimalike kahjudega ega nende juhtumise tõenäosusega,“ selgitas Hiietamm. „Väiksemad ettevõtted ise arvavad, et nad pole kurjategijatele piisavalt atraktiivsed sihtmärgid, kuid tegelikult võetakse sageli sihikule just nemad, sest turvatase on neil keskmiselt madalam.“
Seetõttu on oktoobris ehk küberturvalisuse kuul toimuva RIA teavituskampaania keskmes tänavu just VKE-d. „Küberturvalisus ei ole ainult IT-kulu. Halvemal juhul võib küberrünnak lõppeda ettevõtte pankrotiga ja jätta suure hulga inimesi tööta,“ rõhutas Hiietamm. Ta tõi viimase aja ühe tõsisema juhtumina välja aasta alguses kaht Harjumaa tööstusettevõtet tabanud lunavararünnaku, mille tagajärjel oli sadade töötajatega firmade töö mitu nädalat tõsiselt häiritud.
„Me näeme oma töös tihti, et küberrünnak võib põhjustada kahju mitte ainult ettevõttele endale, vaid ka tema klientidele ja äripartneritele. Otsese majandusliku kahjuga kaasneb sageli ka mainekahju,“ nentis Hiietamm.
Neid riske ilmestavad viimastel aastatel levinud rünnakud teenusepakkuja vastu ehk tarneahelarünnakud, kus tungitakse näiteks IT-teenust pakkuva ettevõtte võrku ja sealtkaudu ka tema klientide infosüsteemidesse. „Sageli näeme, et vastutust ja riske, mis tarneahelas on IT-teenuse või mõne muu teenuse pakkumisel, ei ole üldse lepingus fikseeritud. Halvemal juhul ei ole isegi kohta, kuhu kirjutada või helistada, kui probleem tekib,“ selgitas Hiietamm.
Küberriskide alahindamist iseloomustab hästi ka mullune juhtum, kus RIA intsidentide lahendamise osakond (CERT-EE) avastas üle 300 veebipoe, mis kasutasid aegunud tarkvara ja olid seetõttu haavatavad ühe konkreetse turvanõrkuse suhtes. Hoolimata korduvatest meeldetuletustest oli tänavu suvel endiselt uuendamata pea saja e-poe tarkvara.
Kui kurjategijatel õnnestub e-poodi sisse häkkida, on neil võimalik paigaldada sinna pahavara või luua õngitsusleht, et varastada klientide andmeid – sealhulgas pangakaartide andmeid. Samuti võib isikuandmetega hooletu ringikäimine tuua kopsaka rahatrahvi, mille suurus on EL-i isikuandmete kaitse üldmääruse järgi kuni 20 miljonit eurot või kuni 4% ettevõtte eelmise majandusaasta käibest.
Positiivsema poole pealt tõi Hiietamm välja selle, et ettevõtted on enamlevinud petuskeemidest järjest teadlikumad. Ta julgustas neid intsidentidest ka RIA-le teatama lehel raport.cert.ee või cert@cert.ee, et Eesti küberruumi veelgi paremini kaitsta.
Täna algava RIA teavituskampaania „Juhi IT-vaatlikult!“ käigus jagatakse ettevõtetele infot küberohtude ja nende ennetamise kohta ning valminud on ka küberturvalisuse lühijuhend. Samuti leiab palju kasulikke nippe RIA asutustele ja ettevõtetele mõeldud nõuandelehelt. Lisaks on ettevõtetel võimalik taotleda kuni 60 000 eurot toetust oma küberturvalisuse hindamiseks ja parandamiseks.
Kuidas kaitsta ettevõtet küberohtude eest?
Tea, millist riist- ja tarkvara kasutad – ettevõtte kaitsevajaduste kaardistamiseks on vaja selget ülevaadet oma süsteemidest ja sisevõrkudes toimuvast.
Kaitse oma vara – halda uuendusi, paika haavatavusi, kasuta tulemüüre/viirusekaitset jne.
Kaitse oma töötajaid – loo turvaline paroolipoliitika, kasuta mitmikautentimist.
Õpi ära tundma rünnakuid – suurenda töötajate teadlikkust, koolita oma inimesi ja kontrolli regulaarselt memde teadmisi.
Õpi taastama – loo taasteplaan, taga varunduse toimimine ja tee proovitaastamisi.
Kaitse kaubamärki – teadvusta ohtusid, kaitse (sotsiaalmeedia) kontosid, meiliserverite turvaprotokolle jne.