Millist küberkaitse strateegiat Eesti vajab?

Eelmisel nädalal toimus Tallinna Tehnikaülikoolis küberkonverents, kus otsiti vastust küsimusele, mida peaks iga Eesti inimene või ettevõte küberkaitsest teadma, et olla valmis erinevateks jamadeks.

Jõudsime arusaamale, et Eesti vajab kahte harivat küberkaitse strateegia alamosa. Esiteks, kuidas kasvatada tavainimesi ja kuidas tõsta ettevõtete küberhügieeni üldist taset. Teiseks, kuidas tuua valdkonda parimad spetsialistid, sest puudu on nii tehnilise poole oskajatest kui ka tõlgendajatest, kes oskajate teadmise ja info lihtsas inimkeeles ühiskonda viivad.

Kui ajalooliselt digiväljakutsed said alguse spämmkirjade saatmisest 1990. aastatel, siis nüüdseks on kujunenud olukord, kus küberintsidentidega võib kaasneda reaalne oht inimeste elule, riikide ja äri toimimisele. Näitena võib tuua insuliinipumba häkkimise või poliitikas valimistulemustega manipuleerimise. Ka World Economic Forumi 2018 riskide kaardistusest näeme, et küberkuritegudest ettepoole on edetabelisse jäänud ainult ekstreemsed ilmastikunähtused, mille mõju on veel katastroofilisem.

Kui riskide vastu kindlustamine näiteks reisimisel, kinnisvara ja autot soetades on muutunud Eestis igapäevaseks, siis digitaalvaldkonna küberjuhtumite vastu kindlustamine on uus trend. Rikkam osa maailmast on hakanud sellele mõtlema tänu sagenenud krüptovara juhtumitele, andmeleketele ja ka mainekahju nõuetele, mis võivad ettevõtte isegi pankrotti ajada. Kindlustuste jaoks on aga pähkel see, et kui üleujutus või lennu ära jäämine on pigem kohalik mure, siis näiteks küberturbe probleem võib hommikul kell 8.00 aktiveeruda USAs, levida minutiga Jaapanisse ning 8.05 vaevleb selle käes juba pool Euroopat.

Et ei tekiks väärarusaam – kui võtta küberintsidentide vastu kaitse kindlustuselt, ei tähenda see, et saaks jalga muretult üle põlve edasi kõlgutada. Sarnaselt maja kindlustamisega on riskide maandamiseks vaja muretseda paremad uksed ja aknad ning neid ka lukus hoida, kui kodust lahkutakse. Eeldus on, et kui esmane mure ilmneb, siis inimene püüab ise hakkama saada – kustutada näiteks tulekahju, mitte ei oodata kindlustuse ja abi saabumist. Nii on ka digimaailmas – esimese 48 tunniga peab ettevõte maailma küberkindlustuspraktika järgi enamasti ise hakkama saama ja alles aja möödudes kaasatakse vajalikke välisspetsialiste, aidatakse analüüsida olukorda, teavitatakse kliente ja avalikkust.

Isiklikult näen järeltegevusena ka vajadust küberturbealaseks koolituseks, kui oht realiseerus inimtegevuse või tegemata jätmise tõttu. Ohus on kõik – igaühel on oma Achilleuse kand, mida saab ära kasutada.

Autor: Birgy Lorenz