Tiia Sõmer: kolm sammu väikeettevõtte küberturvalisuse parandamiseks

Mis saab siis, kui sinu ettevõtte poole aasta andmed kaduma lähevad? Mida teeksid, kui neid enam ühel hetkel ei oleks?

Paljud ettevõtjad arvavad, et on ebatõenäoline, et küberkurjategijad tunnevad huvi ainult Eesti turul tegutseva väikese firma vastu. Miks peaks sinu ettevõtte andmed kellelegi väärtuslikud olema?

Tõde on, et enamasti kurjategijaid ei huvitagi sinu äri. Kuid mis juhtub, kui ühtäkki kaotad kõik? Kaotad andmed, raha, maine, intellektuaalomandi või mis iganes on ettevõtte tegevusalast lähtudes sulle oluline. Kõige paremal juhul kaotad ainult aega.

Selliseid juhtumeid leiab aset iga päev. Ka siin, Eestis. Ühel hetkel on kliendiandmed, kontaktid, raamatupidamisinfo, müügi- ja tootmisandmed läinud. Neid enam ei ole või küsitakse nende eest väga suurt lunaraha.

Ettevõtte jaoks võib see tähendada kogu tegevuse nullist alustamist, kogu vajaliku info paberilt taastamist või koguni ettevõtte sulgemist. Pealtnäha teistele tähtsusetu info väärtus muutub kohe, kui sellest ilma jääd.

See võib tunduda nagu mustkunst. Keegi teeb kusagil midagi, andmed ja raha haihtuvad ning me ei saa aru, mis juhtus.

Küberkuritegevusest rääkides keskendub meedia ja muu avalik ruum peamiselt suurtele ja šokeerivatele rünnetele suurte ettevõtete vastu, tihtilugu kaugel Eestist, kus kahjud ulatuvad sadade tuhandete või isegi miljonite dollarite või eurodeni. Kuid ka siinmail juhtub. Näiteks üks kinnisvaramaakler ja väike põllumajandusettevõte kaotasid kogu oma digitaalse majapidamise ja nende tegevus peatus nädalateks.

Uuringud üle maailma näitavad, et küberkuritegevus on suuremaks ohuks just väikeettevõtetele. Statistikaameti 2023. aasta andmetel on umbes 95% Eesti ettevõtetest sellised, kus töötab kuni 10 inimest.

Suurem osa väga väikestest ettevõtetest püüab teha kõike oma vahendite ja minimaalsete kuludega. Küberturvalisus ei ole esimene asi, millele nad mõtlevad – selleks on oma toodete ja teenuste pakkumine ning raha teenimine. Samas teame, et Eesti ettevõtjad on kaotanud küberintsidentide otseste kuludena miljoneid. Sellele lisanduvad veel intsidentidest taastumise kaudsed kulud, võib-olla ka ettekirjutused ja trahvid.

Meil on küberturvalisuse kohta palju seadusi, standardeid, juhendeid, hoiatusi ja infot. Loeme nii ametkondade kui meedia ülevaateid, kui palju toimub kübermaailmas pettusi ja kui palju kaasneb sellega rahalist kahju. Sellegipoolest pole ründed või andmelekked nii harvad, kui sooviksime. Hiljutised uuringud (Telia, RIA, statistikaamet jt) näitavad, et väikesed ettevõtted ei keskendu küberturvalisusele piisavalt, muutes end seeläbi küberrünnakutele vastuvõtlikumaks.

Kuidas saaksime seda olukorda parandada?

Küberturve ja andmekaitse ei ole tüütu kohustus, vaid ettevõtete usalduse ja edu alus. Meil on vaja keskenduda sellele, et aidata ettevõtjad mõttelaadilt, teadmistelt ja oskustelt paremale küberturvalisuse tasemele.

Kuidas? Küberründeid on palju ja erinevaid, kuid suurem osa neist on sisuliselt digitaalne vaste varga katsumisele, kas uksed-aknad on lukus või mitte. Vaja on lihtsat ja efektiivset, kõige elementaarsemaid asju määratlevat süsteemi, mis aitaks digitaalse ukselingi lõgistamise ohte vältida.

Panen kirja kolm lihtsat sammu, mille puhul saavad kokku ettevõtjate katusorganisatsioonid ning avalik ja erasektor.

Alustuseks lihtne ja automatiseeritud enda ettevõtte küberturvalisuse hinnangu koostamine. Sellise hinnangu saab kokku väga lihtsat küsimustikku kasutades ning vastused annavad ausa pildi ettevõtte küberturvalisuse hetkeseisust. Ka kõik „ei tea“ või „mis see tulemüür üldse on?“ vastused on olukorra parandamiseks väärtuslikud.

Teiseks lihtne, enda jõududega tehtav riskianalüüs. See analüüs sisaldab endas kombineerituna äri- ja küberruumi riske. Lisaks seadustele, määrustele ja trahvidega hoiatamisele on eelkõige tähtis, et ettevõtjad saaksid aru, miks on küberturbe tagamine nende enda äritegevuse parimates huvides.

Kolmandaks: esmane ja tasuta küberturvalisuse tegevusplaan igale mikro- ja väikeettevõttele. Lähtuvalt eelmisest kahest sammust saab juba koostada tegevusplaani, kuidas saavutada parem küberturvalisus.

Enda kaitsmine küberruumis võib tunduda hirmutav, kallis ja ülikeeruline. Aga palju kallimaks ja keerulisemaks läheb küberintsidendist taastumine. Küberturvalisus muutub ajas aina olulisemaks, sest iga areng tehnoloogias annab kurjategijatele uue tööriista. Kõik, mis on tark, võrgus või võrku ühendatud, on haavatav igasugustele ohtudele.

Jah, sa võid Eesti turul tegutseda veel aastaid nii, et midagi ei juhtu. Statistika näitab aga, et juhtub. Ka Eestis.