Kuus kuuma IT-trendi

Kui veel paarkümmend aastat tagasi oli ettevõtetel oma autobaasid ning paljudel palgal ka remondimees ja raamatupidaja, siis täna ostab valdav osa kliente transpordi, raamatupidamise ja muud tugiteenused sisse. Sama puudutab järjest enam ka IKT-lahendusi: kõik seadmed ja tarkvara renditakse teenusena, kliendid loobuvad oma IT-meeskonnast ning vaatavad ka selles osas partnerite poole. Lõppkokkuvõttes pole ju oluline, kes omab servereid, arvuteid, telefone ja muud taristut ning sõlmib töölepingud IT-spetsialistidega – tähtis on, mis väärtust see kõik ettevõttele ja selle töötajatele loob. Seepärast näeme tõenäoliselt sel aastal ka esimesi ettevõtteid, kel on IT-investeeringute number eelarves 0 eurot ning samale väärtusele läheneb vääramatu jõuga ka IT-meeskonna palgakulu.

See nõuab tööandjatelt lahendusi ka turvaliseks kaugtööks ja andmetele ligipääsuks. Kui seda mitte võimaldada, hakkavad töötajad ise otsima võimalusi väljapoolt kontorit andmetele ligipääsemiseks. Olgu lahenduseks isiklike nutiseadmete sisevõrku ühendamine või andmete Dropboxi-laadsetesse pilvelahendustesse või füüsilistele andmekandjatele kopeerimine – kõik need suurendavad kordades turvariske, mis võivad päädida andmelekke, pahavara sattumisega sisevõrku või lunavara krüpteeritud ettevõtte serveriga. Endiselt ei võeta küberhügieeni ja kasutaja harimist väga tõsiselt, kuigi infoturbes on tihti kõige nõrgemaks lüliks inimene.

Omamoodi on asjade internet väga paljudes kontorites ja kodudes juba internetti ühendatud nutitelerite, -tolmuimejate, -saunakeriste või -köögiahjude näol juba olemas, kuid kindlasti on peagi algamas spetsiifilisemate lahenduste buum. Olgu selleks siis asukoha sensorid-träkkerid ladudes transpordirobotite juhtimisel või supermarketites reklaami saatmisel, milliseid eripakkumisi konkreetsest riiulivahest leida võib või kuidas jõuda lühimat teed pidi järgmise ostunimekirjas oleva kaubani. Samas seab kõikvõimalike internetti ühendatud seadmete plahvatuslik lisandumine väljakutse ka nende kaitsmiseks. Juba eelmisel aastal tehti esimene küberrünnak turvakaamerate videosalvestite kaudu, peagi ilmselt näeme nutilampidest või -akvaariumitest lähtunud häkkimisi.

Kui serveriruumi elektrikulu on kordades kasvanud, tasub kontrollida, ega seal keegi töötajatest hobikorras krüptovaluutat ei kaevanda. Kuna taolisi kurioosseid juhtumeid on ka Eestis olnud, on selle valguses hea võtta IT-kulud süvakuti luubi alla. Kui ettevõttes oma jõududega tehtud IT-lahendusi võrreldakse sisseostetavate teenuste maksumusega, siis pahatihti ei arvestata kõiki kulusid. Serveriruumi elektritarve on vaid üks näide, mida serverite või rakenduste majutusteenust kasutades enam maksta ei tule, kuna see sisaldub teenuse hinnas. Seepärast tundub sageli, et oma serveri ja IT-taristu ostmine on odavam, kuna jäetakse arvestamata muud kõrvalkulud ja IT-meeskonna palgad. Liiatigi kui server paigutatakse muu kola kõrvale “koristaja kappi”, kuigi selle rike või andmete “jalutamaminek” võib tähendada ettevõttele fataalset ärikatkestust.

Ei tasu loota, et juba tänavu 25. mail jõustuv Euroopa Liidu uus isikuandmete kaitse üldmäärus (GDPR) tipp- või finantsjuhti ei puuduta või ainult siis, kui trahv välja kirjutatakse ja IT-juht tuleb selle maksmiseks raha küsima. See rahasumma on aga üsna kopsakas, kuna määruse rikkumise eest võib trahv ulatuda 20 miljoni euroni või kuni 4% käibest. Nii on targem teha kõik selle vältimiseks ning ärijuhi seisukohalt on kõige mõistlikum leida andmete volitatud töötleja teenusepakkujate seast, kes vastutab ka võimalike sanktsioonide eest. Olukorras, kus tööturul on pidevalt puudu IT-spetsialiste, on teenusepakkujal lihtsam leida pädevat meeskonda selle küsimuse lahendamiseks. Seda enam, et andmekaitsenõuete täitmine on pidev juriidiliste ja IT-alaste aspektide jälgimine – ei ole olemas sellist universaalset lahendust, kus oleks peal tempel “GDRP compliant” ning mis toimiks igas ettevõttes ja igas olukorras.

Uute andmekaitsereeglite jõustumine tõstab senisest jõulisemalt fookusesse ka küberturvalisuse teema. Teoreetiliselt on iga süsteem häkitav, küsimus on ainult arvutusvõimsuses ja ajakulus ehk lõppkokkuvõttes rahasummas. Seetõttu ei ole infoturbe seisukohalt vaja ehitada igasse ettevõttesse n-ö kosmoselaeva, vaid teha mõistlikud kulutused, mis võimaldab turvaintsidentide korral järelevalveorganitele kinnitada, et tehtud sai kõik võimalik selliste juhtumite ärahoidmiseks. Et seda tõendada, peab kindlasti korras olema süsteemide kasutuse logimine – ilma logifailideta on suhteliselt võimatu selgitada, mis siis ikkagi juhtus ning millist kahju turvaintsident põhjustas.

Autor: Kristjan Ok