Infoturbe meetmete rakendamine puudutab iga ettevõtet

Uues standardis on umbes 1400 meedet, mis toimivad ettevõtjate jaoks täpsete juhtnööridena, mida jälgides saab enda asutuse turvalisemaks ja küberrünnakute vastu kaitstumaks muuta. Kõiki rünnakuid ei ole võimalik ära hoida mitte kunagi, aga nendeks valmistuda ja tagajärgedega kiiresti tegutseda aitab loodud abi­vahend kindlasti.

Seda enam, et tegelikult järgivad kõik tööeas inimesed umbkaudu 300 nendest igapäevaselt juba niigi, hindab RIA infoturbe meetmete osakonna juhataja Rain Ojastu. „Infoturve on tegelikult igapäevase töö osa. Kas lukustad arvuti ja võtad ID-kaardi välja, kui lahkud töökohalt? Ilmselt küll ja juba sa rakendadki meetmeid. Tegelikult tegeleme sellega kõik iga päev ilma, et endale teadvustaks.“

Muidugi on ülesanded täpsemad, mida suurem asutus, rohkem isikuandmeid ja töötajaid. Päris väikestele ettevõtetele terve standard loomulikult täitmiseks ei ole, aga kasulikke juhtnööre saab sealt kindlasti igaüks. Kontsentreeritum nimekiri vajalikest tegevustest väikestele ettevõtetele on tegelikult ka juba välja töötamisel.

Põhiline probleem uue standardi puhul ongi see, et inimesed lihtsalt ei tea, et see neid ka puudutada võiks. Eraettevõtete jaoks ongi Ojastu sõnul tegemist soovitusliku abivahendiga. Oluline on ju, et äri töötaks ja andmed ei lekiks. Seal saab standard abiks olla. Samas aga riigiasutustele on E-ITS kohe kindlasti kohustuslik materjal.

Kogu selle uue standardi puhul on info­turbeekspert Klaid Mägi sõnade kohasel tugevaks fookuseks juhtkonna roll. „Kaua on olnud selline mentaliteet, et kogu see info- ja küberturve on IT-inimeste probleem, mille kallal need patside ja prillidega tüübid seal kuskil taga nurgas nokitsevad,“ muigab mees.

„Asi on aga selles, et kui su põhiäri ei toimi, sest küberründe tõttu on asjad katki, siis see ei ole enam ainult IT probleem. Juhtkond peab sellest aru saama, ressursi eraldama ja mandaadi andma, et jah, meie asutus tegeleb küberturbega sellisel ja sellisel kujul.“

„Tööseisakust olulisemaks võib osutuda asjaolu, turvameetmete rakendamata jätmisel võivad kaasneda sanktsioonid. RIA teeb järelevalvet nii asutuste kui ka ettevõtete üle ning pöörab valdkonnale järjest enam tähelepanu. Lisaks riiklikule ja haldusjärelevalvele võidakse viia läbi väärteomenetlus. Järelevalve eesmärk on selgitada turvameetmete vajalikkust, aga teatud juhtudel järgneb selgitamisel riiklik sund,“ ütles Ojastu.

Avaliku ja erasektori vahel ongi see erinevus, et kogu uus standard on üles ehitatud riskipõhisele lähenemisele. „Meil on riskid, neid tuleb osata hinnata. Hindamiseks on olemas kuldreegel, et turvameetmete alla pole mõtet kulutada rohkem raha kui see vara, mida kaitseme, või võimalik kahju suurus, mida püüame ära hoida,“ toob Mägi lihtsa näite.

„Võtame näiteks luuakuuri, kus on kolm labidat ja kaks reha. Väärtus kokku kakssada eurot. Me ei pane sinna raudust ette, ei paigalda signalisatsiooni ja kaameraid, sest meetmed kaaluvad üles võimaliku kahju. Varastatakse ära need labidad, siis varastatakse!“

Mida suurem on aga väärtus, seda rohkem turvameetmete alla pannakse. „Kui on vaja rahahoidlat valvata, siis sinna investeerime palju. Nüüd ongi küsimus selles, kas me teame, palju on selle vara väärtus, mida infoturbest rääkides kaitseme. Andmed ja muu selline. Palju me turbe alla panema peame? Väga tihti jõutakse sinna, et kui riigiasutuses juhtub intsident, siis selle mõju rahalist väärtust on hästi raske sinna juurde panna,“ lisab Mägi.

Eraettevõtete puhul on see lihtne. Kui äri seisab ja nädal aega on poe uksed kinni, siis tõenäoliselt teavad nad väga hästi, kui palju neil raha saamata jäi. Aga kui võtame siia kõrvale mõne riigiasutuse, kui mõni riigiasutus nädal aega ei tööta, mis sellest juhtub?

„Mitte midagi! Kui maksu- ja tolliamet nädal aega ei tööta, siis kas ma saan oma maksud maksmata jätta? Ei. Kas saan oma makse kuskil mujal deklareerida? Ei saa? Justkui midagi ei juhtu. Avalik sektor hakkab vaid rääkima sellisest asjast nagu mainekahju,“ selgitab infoturbe ekspert.

Väiksemates riigiasutustes ei viida ennast tihti standardiga kurssi ja ei üritatagi meetmeid täita, viidates osakondade väiksusele, isegi sobivat ametikohta nagu ei ole. Rain Ojastu sõnul ei ole sellised põhjendused adekvaatsed.

„Esiteks riigiasutus peab oskama endale ressursse küsida ja teiseks, kui eraldi vastutavat inimest ei ole, siis on asutuse juht see, kes vastutab. Ega vastus siis ära ei kao,“ nendib ta. „Nii lihtne see asi ongi ja kui on väike asutus, siis ei ole ka tegelikult raske seda standardit rakendada. Väiksemal asutusel võib olla seda isegi lihtsam teha. Meil on täna näiteks oma pilootgrupp ja seal üks asutus, kus on seitse töötajat. Nad rakendavad standardi 1,5–2 kuuga.“

Pigem võib rakendamise oluliselt raskem olla suurtes organisatsioonides, kus on palju äriprotsesse ja väga keerulised teenused. Samas seal jälle tasakaalustab tõik, et suurtel IT-majadel on ka spetsiaalsed osakonnad, kes meetmeid rakendavad ning täidavad.

Kui nüüd ettevõte võtab asja tõsiselt, teeb endale standardi selgeks ja teostab vajaminevad meetmed, siis garantiid anda ei saa, kuid suure tõenäosusega ta küberprobleemidega hätta ei jää. Silmas tuleks siiski pidada seda, et tegevust ei saa võtta nii-öelda kümneaastaku plaaniks, et tehtud ja kaelast ning enam sellele mõtlema ei pea.

„See on pidev protsess, sest ohud ja riskid muutuvad kogu aeg. Ei saa jääda magama, sest kõik muutub. Kaasa arvatud meie standard, uuendame seda iga aasta septembris,“ kinnitab RIA infoturbe meetmete osakonna juhataja Rain Ojastu.

„Täna oleme teinud ka tõlke inglise keelde ja vaatame seega laiemat turgu kui ainult Eestit. Meie infoturbestandardi meetmete kasutuselevõtt saab olema usaldusväärsuse reiting, umbes nagu krediidireiting, et saada pangast laenu. Ma usun, et see hakkab toimima nii juba mõne aasta pärast.“

Täna on uus küberturve standard portaalis eits.ria.ee üleval ning iga inimene saab sealseid materjale tasuta kasutada. Mõned eraorganisatsioonid on loonud juurde ka tööriista, mis teeb kasutamise lihtsamaks ning mugavamaks.