Tööstusettevõtte küberturvalisus on juhtkonna, mitte IT osakonna vastutus
Sellise olulise tõdemuseni jõudsid küberturbe teemalises paneeldiskussioonis osalenud eksperdid, kui külastasid Põhjamaade suurimat metalluste tootjat Tammer OÜ´d.
Tammer OÜ tehasetuuril osalesid AI & Robotics Estonia klubiürituse külalised. Kui külastuse alguses võis nii mõnigi mõelda, et miks on vaja küberteemast tehasehoones rääkida, siis vastust oli tööruumides kerge märgata. Nimelt tähendab tark tööstus, et masinad on veebis ja turvalisust, nii nagu päris hoones seadmeid kaitstes, ei tohi alahinnata ka seal.
Tuurile järgnes küberturvalisusele keskenduv vestlusring, kus arvamust avaldasid Lean Digital äriarhitekt Aleksandr Miina, puitmajatehase EstHus juhatuse liige Diana Sosnovski, metallitööstusettevõtte Tammer IT-juht Indrek Kink ning OIXIO juhtiv turbeaudiitor ja turvainsener Livio Nimmer.
Millest alustada?
Jätkusuutliku kasvu nurgakiviks on tootmisprotsesside automatiseerimine, kus arvestatakse küberturvalisuse nõuetega, tõdeti kohtumisel. Küberkurjategijad võivad krüpteerida ettevõtte olulised failid, ERP süsteemid ja nõuda nende vabastamise eest tasu nagu nii mõneski Eesti ettevõttes on juhtunud. Küberrünne võib põhjustada tööseisakuid, andmete kadumist, rahalist kahju ja halvemal juhul isegi ettevõtte pankrotti või füüsilist ohtu seadmetega töötavate inimeste tervisele.
Panelistide arutelu käigus toodi välja, et osad tegevused turvalisuse tagamisel ei ole kulukad vaid vajavad lihtsalt otsust, pealehakkamist ja ära tegemist. Alustada tuleb sellest, et kontrollida kas ettevõtte väärtuslikest andmetest on tehtud varukoopiad ja kas ettevõtte süsteemides on kasutusel tugevad paroolid ning kas tarkvara on uuendatud. Lisaks tuleb veenduda, kas ettevõtte arvutivõrk on piisavalt kaitstud, sest kui puudub ülevaade, millised on kriitilised andmed, riskikohad ja süsteemid, siis on raske ka teadlikult küberturvalisusega tegeleda.
Riskide kaardistamine
Seejärel soovitas OIXIO juhtiv turbeaudiitor Nimmer kaardistada hetkeolukord koos partneriga ja analüüsida, mis kulusid oleks mõistlik esimese hooga teha ja panna paika edasine tegevuskava.
„Rahalised võimalused ei peaks olema takistuseks küberturvalisusega tegelemisel. Baasturvalisus tuleb tagada ettevõttel nagunii, alustades viirusetõrjest ja muust sellisest. Auditi käigus saad IT-partnerilt nimekirja tegevustest ja soovitustest. Ja sellest lähtuvalt saab juba järk-järgult ja vastavalt oma võimalustele hakata oma ettevõtte turvalisust tõstma,“ rääkis ta.
Nimmer sõnas, et juhtkond peab küberturvalisuse teemaga tegelemise võtma enda kanda, kuna ettevõtte äritegevus sõltub paljuski sellest. „Kui midagi juhtub, kannatab äritegevus. Küberturbe juurutamine on organisatsiooni muudatuste juhtimine, mis omakorda puudutab protsesse, personali jm. Olukorra kaardistus aitabki juhtidel seda mõista,“ lisas turbeaudiitor. Ta toonitas tõsiasja, mida paljud juhid kipuvad unustama, et ettevõtte töötajad on küberturvalisuse nõrgim lüli. Seetõttu tulebki küberturbe teemat järjepidevalt ettevõtetes aktuaalsena hoida ja inimeste teadmisi värskendada.
Vastutusalad paika
Puitmajatehase EstHus juhatuse liige Diana Sosnovski ütles, et nad on varasemalt arvanud, et nad on pigem väike-ettevõte, kes meid ikka ründab. „Meil pole ka IT-spetsialisti. Oleme käinud ettevõtte inimestega koolitustel. Üle mõelda ei saa – töötame ju oma puitmaja tehase partneritega sageli üle pilve,“ arutles Sosnovski. Ta tõdes, et tähtis on teadlikkuse tõstmine kogu meeskonnas, et kõik teeksid oma tööd turvaliselt. „Olulised on ka juhtnöörid, kuidas mingis olukorras käituda. Meeskond peab järgima kokkulepitud reegleid. Ettevõtte füüsilise vara kaitse on arusaadav kõigile, kuid andmevara peaks samamoodi kaitsma,“ lisas ta.
Vestlusvoorus jäi kõlama mõte, et IT-hooldusettevõttega tuleks vastutusalad kirjalikult fikseerida. On pigem sage, et väikse- ja keskmise suurusega tööstusettevõttes oma IT osakonda ei olegi ja teenust ostetakse IT partnerilt. Ennatlik oleks eeldada, et küberturbega tegelemine kuulub kuidagi automaatselt IT partneri vastutusvaldkonda. See on tundlik teema, mis vajab ohukohtade kaardistust, tegevuskava ja vastutuse fikseerimist. Kes sellest oma IT partneriga rääkinud ei ole, sellel suure tõenäosusega selline kokkulepe puudub.
Rahalisest poolest rääkides toodi välja, et Riigi Infosüsteemi Amet koostöös EAS-i ja KredEXi ühendasutusega pakuvad „Küberturvalisuse taseme kaardistamise ja arendamise toetust“. Nende toetuse abil saavad Eesti väikese ja keskmise suurusega ettevõtjad välise nõustaja kaasabil selgitada välja oma IT süsteemide küberturvalisuse taseme ja teha vajalikke arendusi selle tõstmiseks, et kaitsta ennast küberrünnakute ja nendega kaasnevate (majandus)kahjude vastu.
Seekordne AIRE klubi toimus koostöös Eesti Infotehnoloogia ja Telekommunikatsiooni Liidu ning EAS-i ja KredExi ühendasutusega.
Loe veel:
Kui sa ei tea, kuidas liikvele minna või endal napib teadmisi, siis head infot saab ITL-i lehelt, kust leiab ka usaldusväärseid koostööpartnereid: https://itl.ee/kybertugi/
Baasteadmisi saab „Ole IT-vaatlik“ lehelt: https://www.itvaatlik.ee/ole-it-vaatlik/
Lisainfo: https://eas.ee/toetused/kybertoetus/