Ettevõtete kriitiliseks riskikohaks on raamatupidajad, kuna neil on juurdepääs rahale, aga küberteadlikkus on niru.
- Rita Käit-Vares, Security Software OÜ partner ja juhatuse liige
Küberründe kahjusid ei saa panna alati numbrite keelde, kuid küberkurjategijad on tajunud ära piiri, kui palju on ettevõtted nõus maksma lunavararünnaku lõpetamise eest – see on keskmiselt 5% ettevõtte aastasest müügitulust. Räägime küberohtudest ja nende ennetamise võimalustest. Intervjuu Security Software OÜ partneri ja juhatuse liikme Rita Käit-Varesega.
Millised on esimesed praktilised soovitused ettevõttele, kes ei ole väga teadlik küberturvalisusest ja reaalsetest küberohtudest?
Info -ja küberturve on üks olulisemaid äririske tänapäeval, millega iga ettevõtte juht peaks tegelema. Ja seda ei tohiks kindlasti vaadata kui kulu. Siinkohal tuleb muidugi arvestada ettevõtte suurusega – on suur vahe, kas sa võtad endale tööle täiskohaga inimese nagu sul on personalijuht või finantsjuht. Või on sul väiksem ettevõte, kus ressurss on väiksem ja pole ka mõtet palgata eraldi inimest tegelema küberturvalisuse teemadega. Väikesel ettevõttel võiks aga olla kindel ja usaldusväärne partner nende teemadega tegelemiseks.
Kõige lihtsamad sammud on ettevõtte töötajate küberteadlikkuse tõstmine.
Alustamiseks soovitan ettevõttel teadvustada võimalikud ohud, millega just sinu ettevõte silmitsi seisab. Selleks soovitame alustuseks läbi viia esmane nõustamine võimalike turberiskide analüüsiks, mis toob välja ettevõtte peamised küberohud, et seejärel saada paremini aru, millistele riskifaktoritele tuleb kindlasti esmajärjekorras tähelepanu pöörata. Kogemus on näidanud, et ükstapuha kui kindlad on sinu tehnilised lahendused, on suurim risk alati inimene ja siinkohal soovitame kindlasti erineval tasemel küberhügieeni koolitusi nii juhtkonnale kui tavatöötajatele.
Kindlasti soovitame enne koolitusi läbi viia ka nö õngitsuskampaaniaid (phishing), millest saab päriselt aimu, milline on sinu ettevõtte tase küberhügieenis.
Võtame näiteks ettevõtte raamatupidaja, siis on oluline mõista, et raamatupidaja on üsna kriitilises rollis küberturbe mõttes. Põhjus selles, et tema käest käib läbi palju erinevat infot ja dokumente väga paljudest erinevates allikatest ja kanalitest. Ja raamatupidajad ei ole üldjuhul ka tehnilise taustaga, mistõttu nad ei tea, mida nad peaks silmas pidama, et näiteks ära tunda õngitsuskirju, mis on aga väga levinud.
See näeb välja nii, et raamatupidaja saab e-kirja justkui ettevõtte juhilt, et palun maksa see arve ära, sellega on kiire. Kiri näib justkui õige, aadress klapib, nimed on õiged. Küberpätid on väga osavad ja sa ei märka detaile, mis viitavad tegelikult petukirjale. Raamatupidaja teeb selle ülekande ära, mida juht on palunud teadmata, et tegelikult tegi ta ülekande küberpättidele. Selle mõttes on raamatupidajad vägagi ohustatud sihtgrupp. Selles osas annaks koolitamine hea sisulise arusaamise, mida sissetulevate e-kirjade puhul tuleks kindlasti jälgida. Samuti saab siin soovitada seda, et e-kirjadel oleks süsteemi poolt küljes märge, kas tegemist on ettevõtte sisese või väljast tulnud e-kirjaga, sest nii on lihtsam väljastpoolt tulnud e-kirjadele tähelepanu pöörata ja küsida endalt, kas me ka tegelikult ootasime seda arvet või pakkumist ning kahtluse korral tuleb see info kindlasti üle kontrollida.
Õnneks pööratakse viimastel aastatel üha enam sellele teemale tähelepanu ja olukord on paljude ettevõtete jaoks läinud paremaks. Teeme ka enda ettevõttes taoliseid teste ja hoolimata pikast praktikast läheme ka meie aeg-ajalt õnge. Küberpätid on tänapäeval kirjade koostamisel niivõrd osavad ja kasutavad muu hulgas kindlasti ära seda, et meil kõigil on kiire ja tähelepanu on hajunud.
Kuidas ettevõttes läbi viia õngitsuskampaaniaid, et need oleksid õigesti läbi viidud ja neist oleks päriselt kasu küberohtude maandamisel?
Õngitsuskampaaniate tegemiseks soovitan kaasata välise partneri, kellel on vastav kompetents, kuidas neid kampaaniaid läbi viia. Või kui ettevõttes on kompetents olemas, saab neid kampaaniaid teha infoturbe eest vastutav töötaja ja vajadusel saab ta ka nõu küsida väliselt teenusepakkujalt.
Milliste kuludega peaks ettevõte arvestama, kas väikeettevõte saab seda teenust endale lubada?
Rõhutan veel, et seda ei tohiks käsitleda kui kulu, vaid investeeringuga töötajate teadlikkuse tõstmisesse. Konkreetne maksumus sõltub ettevõtte suurusest, tema riskitasemest, kuid jääb üldjuhul mõnetuhande euro piiridesse.
On sul häid näiteid tuua oma praktikast, kus küberturvalisusega seotud riskid on saanud reaalsuseks? Päriselt on olnud küberintsidendid, arvutitesse on sisse häkitud, on nõutud lunaraha.
Näeme oma töös olukordi, kus ettevõte on sattunud päriselt lunavara rünnakute alla, ära on krüpteeritud ettevõtte jaoks kõik olulised ressursid nii, et ettevõtete töö on halvatud mitmeid päevi ja nädalaid. Majanduslik kahju on olnud väga suur, rääkimata mainekahjust, kui taoline intsident jõuab avalikkusse või koostööpartneriteni. On olnud juhtumeid, kus raamatupidajatele on saadetud võltsarveid ja väga suures summas ülekanded on läinud küberpättidele. See on tänapäeval kahjuks karm reaalsus.
Mida ütled väikese ettevõtte juhile, kes arvab, et tema ettevõte on väike ja tähtsusetu ning seega pole küberpättide huviorbiidis?
Ükski ettevõtte juht ei tohiks oma ettevõtte kohta nii öelda, sest ettevõte on ju olemas, millegi jaoks loodud, tal on töötajad jne – seega on ettevõte vajalik ja oluline. Loomulikult on vahe, kas ettevõte on väike või suur, samuti on sõltuvalt tegevusalast ja valdkonnast erinevad riskid ja nende tase. Mida rohkem on töötajaid, mida rohkem on andmeid, seda suuremad on ka riskid ja seetõttu peaks kindlasti olemas ka eraldi inimene ettevõttes või siis väline partner, kes küberturbeteemadel nõustab.
Kuid ka väikeettevõtetele on olemas lihtsamaid küberturbe teenuse pakette, millega on võimalik ennast kaitsta. Ja selline esmane riskide kaardistamine ning küberhügieeni koolitus tasub igas ettevõttes läbi viia.
Sõnum juhtidele on siis tegelikult see, et küsimus ei ole selles, kas see juhtub sinu ettevõttega vaid selles, millal see juhtub?
Jah! Rõhutame seda juhtidele juba viimased kaksteist aastat. Olukord on läinud aasta aastalt küll paremaks, aga just nimelt – küsimus on ajas, millal juhtub.
Rahvusvahelised uuringud näitavad, et küberriskid on tõusnud viimastel aastatel TOP3 riskide hulka üle maailma. See tähendab, et tegu pole kuskil kaugel meist eemal oleva probleemiga vaid see on reaalne risk, millega peame kõik tegelema.
Sõltumata ettevõtte suurusest peavad ettevõtte juhid mõistma, et nad peavad selle teemaga tegelema ennetavalt. Kahjuks näeme, et sageli tegeletakse tagajärgedega. Samas on võimalik mõningate väga lihtsate ja selgete sammudega tagada ettevõttele vajalik baasturvalisuse tase. Kõige hullem on panna pea liiva alla ja öelda, et see juhtub kellegi teisega. Ja seda Eestis jätkuvalt kahjuks veel tehakse. Kuigi jah, see on paranenud.
Mida ütled raamatupidajatele, kes selle jutu peale ütleb, et see kõik on nii keeruline ja mina ei taha seda sellise asjaga tegeleda?
Raamatupidajad on ettevõttes tihti priviligeeritud olukorras, mis tähendab, et neil on ettevõttes liigipääs konfidentsiaalsetele andmetele ja kogu ettevõtte raamatupidamisandmetele ning ta peab aru saama, et see, millega te igapäevaselt kokku puutub, on tegelikult ettevõtte jaoks äärmiselt oluline ärikriitiline informatsioon. Majandustarkvara, mida raamatupidaja igapäevaselt kasutab, sisaldab peale raamatupidamisandmete ka palju muud, näiteks müügimehe moodul, mis sisaldab pakkumisi, tellimusi, sisseostuhindu jpm. Raamatupidaja on priviligeeritud kasutaja rollis ning kui tema arvuti küberrünnakus üle võetakse, võib sealtkaudu väga lihtsalt pääseda ligi kogu ettevõtte ärikriitilisele infole. Kujutad ette, et sinu konkurent saab teada sinu klientide andmed ja teenuste mahud, sisseostuhinnad, kasumimarginaalid, lepingute sisu, hankepakkumised, palgaandmed ja nii edasi?
Siinkohal on oluline rõhutada jätkuvalt esmaseid küberhügieeni reegleid nagu turvalised salasõnad ja paroolid. Raamatupidajad, arvestades nende erilist positsiooni ettevõttes, olema eriti valvsad ning toimima samasuguse hoolsusega nagu oma kodus – kodust ära minnes paneme ukse lukku ja võtit ei jäta ukse ette või uksemati alla.
Täiendavaid küberriske tõi juurde ka koroonapandeemiast tingitud kaugtöö kodudes – oma tööarvutit tuli kodus jagada võib-olla ka lapsega, kes tegi koolitööd ja ka mängis selle arvutiga. Kaugtöö on raamatupidajatel tänaseks juba väga tavaline ja seega on teemasid, millele tuleb ka küberturbe osas mõelda.
Me pidime väga kiiresti õppima elama koroonaga ja leppima, et see on miski, mida peab aktsepteerima. Aga sul on võimalik neid ohte enda jaoks minimiseerida, kui sa teed läbi teatud kindlad protseduurid, millest siin artiklis rääkisime.
Kuidas anda ettevõtte juhtide veel lisamotivatsiooni, et nad mõistaksid küberohtude olulisust ja enda vastutust nende ohtude maandamisel?
Küberohud on tänapäeval igapäevane reaalsus, nende ohtude maandmisega peab iga endast lugupidav ettevõtte tegelema. Äriinfo on ettevõtte ärikriitiline vara. Mis juhtub, kui ettevõtte satub lunavara rünnaku alla ja igapäevane töö seiskub? Küberründe kahjusid ei saa panna terviklikult numbrite keelde, kuid küberkurjategijad on tajunud ära piiri, kui palju on ettevõtted nõus maksma lunavararünnaku lõpetamise eest – see on keskmiselt 5% ettevõtte aastasest müügitulust.
Ettevõte juht peaks kindlasti mõtlema ennetavalt ka mainekahjule, samuti nõuavad tänapäeval paljud välised koostööpartnerid teatavat turvalisuse taset ja nõuetele vastavust. Kui juht ise on küberohtudest teadlik ja tegeleb nendega oma ettevõtte vajaduste ja võimaluste piires ennetavalt, on võimalik riske maandada ja kahju ära hoida.
Kuigi digiteerimine ja küberriskide teema ei ole midagi uut, on endiselt palju teadmatust, kõhklusi ja asjatundmatust, mis pidurdab kahjuks raamatupidamisteenuse arengut.
Veebiseminar Endiselt uksed küberpättidele valla?! Kes on pidur? aitab kummutada kõhklused ja asendada teadmatuse praktiliste sammudega, et sinu ettevõte teeks ära digipöörde ning sina ja sinu töötajad oleksid teadlikud küberohtudest.
Vaata veebiseminari siit:
Seotud lood
Infopanga võlaregister on viimase nelja kuu jooksul aidanud ettevõtetel võlglastelt tagasi saada keskmiselt 47% võlgadest ja augustis tõusis see näitaja koguni 79%-ni.