Eesti küberturvalisuse tehnoloogiline baas on tugev, ent nõrgim lüli on inimene

KPMG tiim on viimastel aastatel läbi viinud ulatuslikke turvatestimisi Eesti organisatsioonides – nii avalikus kui ka erasektoris. Oleme testinud ministeeriume, haiglaid, tootmisettevõtteid ja erinevaid teenusepakkujaid. Märkimisväärselt sageli oleme suutnud süsteemidesse sisse tungida. Seda mitte seepärast, et turvaeksperdid ei pingutaks, vaid seetõttu, et vastutus on hajunud, inimressursid piiratud ja organisatsioonikultuur takistab muutuste elluviimist.

Küberturvalisus ei ole lihtsalt IT

Eestis kiputakse küberturvalisust käsitlema kui IT-meeskonna laiendust. Praktikas tähendab see aga seda, et turvalisus jääb tihti tagaplaanile. Kui üks meeskond vastutab nii süsteemide toimimise kui ka nende kaitsmise eest, siis muutub paratamatult prioriteediks funktsionaalsus. Me näeme oma töös seadmeid, millel puuduvad turvameetmed, logisid, mida ei jälgita, ja häiresüsteeme, mis pole aktiveeritud. Probleem on mitte alati teadmistes – vaid ajas, oskustes ja fookuse seadmises.

Küberjulgeolek peaks olema eraldi strateegiline funktsioon, mille eest vastutavad spetsialiseerunud töötajad. Ilma selleta jäävad rünnakud märkamata ja reaktsioonid aeglaseks.

Juhtimisstiil määrab turvataseme

Mitmetes organisatsioonides kohtame juhtkondi, kelle otsused põhinevad aastakümnete tagusel arusaamal tehnoloogiast ja riskidest. Turvakontrolli protseduuride uuendamist takistavad sageli jäigad hierarhiad, kus kriitikat ei julgeta väljendada ning ebamugavaid teemasid välditakse. Samal ajal näeme, et rahvusvahelise kogemusega ja nooremad juhid loovad paindlikumaid ning turvateadlikumaid organisatsioone. Tänane ohumaastik nõuab, et juhtkond oskaks küsida õigeid küsimusi ja teeks otsuseid ajakohase info põhjal.

Spetsialistide puudus pärsib arengut

Kuigi huvi küberjulgeoleku vastu kasvab, napib Eestis endiselt pädevaid spetsialiste. Paljudel organisatsioonidel ei ole ühtegi inimest, kelle ainus ülesanne oleks vastutada turvalisuse eest. Samal ajal muutuvad ründed aina keerukamaks – nõudes ohu hindamise, intsidentidele reageerimise ja pettuste tuvastamise oskusi. Arvestades Eesti keerukat taristut – eriti energiasektoris, tootmises ja logistikavaldkonnas – vajame oluliselt suuremat spetsialiseerumist.

Tarneahela turvalisus on kriitilise tähtsusega

Küberrünnak ei pruugi tulla mitte läbi süsteemi, vaid läbi partneri. Näeme juhtumeid, kus tugev sisevõrk on sattunud rünnaku alla nõrgalt kaitstud hoonehaldussüsteemi või alltöövõtja WiFi kaudu. Küberturvalisus ei saa piirduda organisatsiooni seintega – see peab hõlmama kogu tarneahelat ja teenusepakkujaid. Eesti vajab ühtseid, riiklikul tasemel miinimumnõudeid ka kolmandatele osapooltele, kes ühenduvad ettevõtte süsteemidega.

Kultuurilised barjäärid pidurdavad muutust

Võib-olla kõige peenem, kuid mõjukaim takistus on kultuuriline. Eestis hinnatakse tagasihoidlikkust ja konflikti vältimist – omadusi, mis muidu loovad meeldiva töökeskkonna, kuid küberturvalisuses võivad takistada edasiminekut. Turvalisus vajab enesekindlust, võimet vaidlustada status quo’d ja valmisolekut ebapopulaarseid muudatusi ellu viia. Kui turbeekspert peab esmalt võitlema oma hääle kuuldavaks tegemise nimel, siis jäävad olulised riskid tihti tähelepanuta.

Edasiliikumiseks on vaja sihipäraseid samme

Eesti on hästi positsioneeritud – meil on tugev tehniline baas ja mitmes valdkonnas juba maailmatasemel küberturvalisuse praktikad. Ent selleks, et saada tõeliseks liidriks, on vaja investeerida inimestesse, luua selged rollid, ajakohastada juhtimist ja soodustada kultuuri, kus turvalisus on lahutamatu osa strateegiast.

Küberturvalisus ei ole ainult kaitse – see on usalduse, innovatsiooni ja kasvu alus. Eestil on olemas kõik eeldused, et olla turvalisuse valdkonnas liiderriik. Küsimus pole enam kas, vaid millal ja kui sihikindlalt.