küberturvalisus
18.08 2025

Ettevõtte ostmisel ei tohi küberturvalisus jääda põrsaks kotis

 „Mis on esimene asi, mida sa teed, kui kuhugi investeerid,“ küsib KPMG Baltics küberturvalisuse teenuste juht Mihkel Kukk. „Due dilligence’i ehk põhjaliku taustauuringu ja tehingueelse analüüsi,“ vastab ta ise ja nendib, et kahjuks jääb ettevõtete ühinemistel ja omandamistel (M&A) küberturvalisuse hindamine sageli vaeslapse ossa.
 Kukk räägib, et KPMG poole pöördus hiljuti ühe ettevõtte tegevjuht, kes oli äsja ostnud tehnoloogiasektori idufirma. Esmapilgul tundus kõik ilus: tugev kliendibaas, paljulubav toode ja kasvav turuosa. Kuid juba mõne nädala pärast ilmnesid probleemid, mida keegi ei osanud ette näha. Nimelt oli idufirma infosüsteemidesse aastaid varem tunginud pahalane, kellel oli jätkuvalt ligipääs tundlikele andmetele. „Nii seisis uus omanik ootamatult silmitsi tehniliste tagajärgede, mainekahju ja ka juriidilistele probleemidega,“ nendib Kukk.

Küberturvalisuse riskid saavad selgeks alles siis, kui jama majas on

See pole Kuke sõnul kaugeltki ainus juhtum, kus ostujärgsete turvariskide realiseerumine mõjutab tehingu väärtust, põhjustab ootamatuid kulusid ning õõnestab klientide ja partnerite vahelist usaldust. „M&A maailmas määrab edu sageli kiirus, ent kui kiirustatakse küberturvalisuse hinnangu arvelt, siis võib loodetud edust saada hoopis tagasilöök,“ tõdeb Kukk.

Kukk jagab, et üks levinumaid vigu, mida ettevõtete juhtkonnad M&A protsessis teevad, on eeldada, et tehniline audit või finantshinnang maandab ka küberriskid. „Tegelikkuses jäävad paljud riskid avastamata, kui protsessi ei kaasata küberturbeeksperte. Näiteks võib omandatav ettevõte kasutada aegunud tehnoloogiat, millel on turvaaugud või puudub neil toimiv varundus- ja infoturbepoliitika,“ räägib Kukk ja toonitab, et halvimal juhul võib ettevõte olla juba pahalaste küüsis ja ostja satub enesele teadmata tehinguga juba jamasse.

Küberturvalisus olgu juhtkonna prioriteet, mitte IT-osakonna mure

Kukk selgitab, et küberturbe due diligence ehk tehingueelne analüüs pole pelgalt tehniliste süsteemide läbivalgustamine, vaid terviklik hinnang ettevõtte infoturbe juhtimisele, toimimisele ja haavatavusele. „Riskid võivad olla seotud nii tarkvara, IT-taristu kui ka inimestega, alates ligipääsuõiguste haldusest ja petuskeemidest kuni süsteemsete nõrkusteni,“ räägib ta.

Kukk toob välja, et hea nõustaja ülesanne on küsida õigeid küsimusi. Kas ettevõttel on ülevaade kõikidest oma andmekogudest? Kas andmeid kaitstakse vastavalt nende tundlikkusele? Kas ettevõttel on kriisiolukorra tarbeks plaan? Kui kiiresti suudetakse reageerida turvarikkumistele? Küberturvalisuse due diligence aitab tema sõnul ostjal probleeme tuvastada ning mõista nende tõsidust. „Nii on võimalik ka hinnata, et millised investeeringud on vajalikud peale firma ülevõtmist,“ räägib ta.

Kuke sõnul tuleb sageli välja, et ostetaval ettevõttel on olemas infoturbepoliitikad, kuid need on kas vananenud, praktilise rakenduseta või pole töötajad neist isegi teadlikud. „See viitab juhtimiskultuurile, mis ei väärtusta infoturvet, mis omakorda võib takistada ettevõtte integreerimist või hilisemat kasumlikku tegutsemist,“ rõhutab Kukk, et küberturvalisus peaks alati olema üks juhtkonna prioriteetidest, mitte ainult IT-osakonna mure.

Kuke arvates tasuks ettevõtete ühinemist või ülevõtmist plaanides kaaluda küberturvalisuse partneri kaasamist juba tehingu varajases faasis, sest õigel ajal esitatud õiged küsimused võivad aidata säästa miljoneid eurosid. Mida varem kaasata tehinguprotsessi küberturvalisuse partner, seda paremini saab maandada riske ja valmistuda võimalikeks üllatusteks. See aitab ka hinnata ostetava ettevõtte küpsust turvalisuse mõttes – kas tegemist on lihtsalt kiiresti kasvava äriga või tõeliselt jätkusuutliku, turvalise digitaalse platvormiga.

Mihkel Kukk

Küberturvalisuse valdkonna juht
mihkelkukk@kpmg.com
+372 521 4332

Auditit võib vaja minna ka IT-osakonnal

Auditite tegemisest on saanud hea juhtimiskultuuri osa, kuid harva mõeldakse finantsaudititest k..
IT-turvalisus

KPMG: vähesest küberturvalisusest on saanud viimase kümnendi suurim oht ettevõtetele

KPMG 2024. aasta ülemaailmne tippjuhtide uuring näitab, et tegevjuhid peavad küberturvalisust viim..
küberturvalisus

Küberturvalisuse ekspert Mihkel Kukk: endine töötaja kui IT-turvarisk

Kõik sai alguse ühest justkui tähtsusetuna tundunud juhtumist. Üks ettevõte oli lõpetamas oma ed..
küberturvalisus

Varjatud eelised: välisaudit on IT-turvalisuse strateegiline võti

KPMG küberturvalisuse teenuste juht Mihkel Kukk kirjeldab oma mõne aasta tagust  kohtumist ühel ..
IT-turvalisus välisaudit

Miks küberturvalisuse due diligence on oluline ettevõtete ühinemisel ja ülevõtmisel?

Mõni aeg tagasi pöördus KPMG poole ettevõtte tegevjuht, kes oli hiljuti ostnud tehnoloogiasektori..
küberturvalisus

Muuda ohud võimalusteks

Taga oma ettevõttele turvaline ja jätkusuutlik ärikeskkond! 
Aitame luua vastupidava ja usaldusväärse digitaalse maailma, 
isegi muutuvate ohtude korral.

KPMG Baltics OÜ

+372 626 8700
itaudit@kpmg.ee
Ahtri 4, 10151 Tallinn, Eesti
 ${item.title}
KPMG Baltics KPMG Cyber KPMG Global Privaatsuspoliitika
Email again:

HR analüüs

HR analüüs keskendub küberturvalisuse nõrgima lüli – kasutaja, töötaja – oskuste kaardistamisele ja kompetentside tõstmisele.
Email again:

Ohuanalüüs

Ohuanalüüs on taktikaline ja tehniline teenus, mis võimaldab ettevõttel saada kiire ülevaade välistest ohtudest.
Email again:

Küpsusanalüüs

Aitab planeerida IT-valdkonna investeeringuid ja edasisi samme kitsaskohtade leevendamiseks ning parema turvalisuse tagamiseks.
Email again: