Europol hoiatas 2020. aasta oktoobris, et COVID-19 on küberkurjategijatele hoogu juurde andnud. Riigi Infosüsteemi Ameti (RIA) teatel tekitasid küberkurjategijad 2020. aasta septembriks 12 kuu jooksul Eesti ettevõtetele kokku üle miljoni euro kahju. Kalleim juhtum üksi tõi ettevõttele kaasa 100 000 euro suuruse kahju.[1].
Ebapiisav küberturvalisus on ettevõtte puhul üks suuremaid varjatud riski allikaid, kuna sageli jääb riskide hindamisel küberturvalisus kahe silma vahele. Samas on riski realiseerumise korral võimalik kahju intellektuaalse või materiaalse vara kadude näol ettevõttele väga suur.
Lisaks rünnakutele, pettustele ja pahavarale tekitab kahju ka ettevõtete ja asutuste puudulik küberhügieen, kus töötajate teadlikkus küberohtudest ja õigest käitumisest on kehv või ei anna tööandja piisavaid juhiseid ettevõtte intellektuaalsete varade ja isikuandmete kaitseks. Lisaks kasutatakse sageli ka ebapiisava turvalisusega küberkaitse tehnoloogiaid. Siin võib näiteks tuua 2019. aasta suvel toimunud Charlot OÜ e-poe 14 000 kliendi andmete lekke, sest pood ei rakendanud ostjate andmete kaitseks piisavaid küberturbe tehnoloogia meetmeid.
2020. aastal lisandus täiendava väljakutsena ja küberriskide allikana ka COVID-19 pandeemiast tingitud kaugtöö. Ettevõtted küll suunasid töötajad kodukontoritesse, kuid mitte alati polnud kasutusel piisavat arvu turvalisi ühendusi ettevõtte serveritega suhtlemiseks. See tõi kaasa nii ootamatu ajakulu kui ka kulu täiendavatele vahenditele.
Maailma levinuim pahavara levimise viis on õngitsuskirjad (phishing). Need näivad esmapilgul ehtsad, kuid tulevad meiliaadressilt, kus on muudetud üks täht või kasutatud sõnavara, mida vastuvõtja teab, et saatja ei kasuta. Piisab vaid ühest töötajast, kes eksikombel avab õngitsuskirja, et avada küberkurjategijatele uks oma intellektuaalse omandi ja ärisaladuste juurde. Ründajad nõuavad kompromiteeritud andmete vabastamiseks lunaraha, misjärel lubatakse andmed taas omanikele tagastada, aga ettevõtte jaoks on siis juba liiga hilja. Andmed on varastatud ja nende lekitamist ega muul moel kuritarvitamist ei ole võimalik enam kuidagi kontrollida.
Töötajate teavitamine, korrapärane taristu ja infoturbe kontroll ning nüüdisajastatud talitluspidevus- ning taasteplaanid koos plaanide korrapärase testimisega on tänapäevase ettevõtte äristrateegia lahutamatu osa. See on vajalik, et tagada operatiivne valmisolek ning ennetada üha targemaks ja paremaks muutuvaid küberründeid.
Siinkohal pakub tuge just infoturbe auditi tegemine, mille käigus kaardistame ettevõtte turvariskid ja nõustame teid nende riskide maandamisel. Testime ja vaatleme teie infovarade turbetaset, suhtleme juhatuse ja töötajatega, vaatame üle asjakohase tõendusmaterjali (nt ettevõtte sisekorrad, arvutite seaded, serveriruumi olukord). Tähelepanekutest lähtuvalt anname nõu, kuidas maandada kübeturvalisusega seotud riske. Auditi metoodika põhineb ISO 27001 standardil, mis on ettevõtte infoturbe haldamise süsteemi (IHS) spetsifikatsioon. IHS on kõikide infoturbe haldusega seotud õiguslike, füüsiliste ja tehniliste kontrollide raamistik. Lisaks, kui teie ettevõtte partnerid, investorid või kliendid soovivad teada, kuidas te täidate infoturbe nõudeid, siis aitab audit ka seda nõuet täita.
[1] https://www.ria.ee/et/uudised/eesti-ettevotted-kaotavad-aastas-kuberrunnakutele-ule-miljoni-euro.html.
