Andmekaitse: kirvega automaatrelvade vastu?

 

PwC on juba üle 15 aasta läbi viinud ülemaailmset  infoturbe uuringut (The Global State of Information Security®), mõistmaks, milliste vahenditega ettevõtted ja organisatsioonid küberkuritegevuse vastu võitlevad ning  millised on parimad meetodid oma elektrooniliste andmete kaitsmiseks. Tänavu osales uuringus ligi 10 000  tipp-, finants- ja IT-juhti rohkem, kui 115 riigist.

Kuigi infoturbe riskide olulisus ning keerukus on ajas kasvanud, näitab uuring, et liiga paljude ettevõtete lähenemine andmete turvalisusele meenutab sõnnikuhargiga automaatrelva vastu minekut. Tulemus? Üha osavamad kurjamid põhjustavad järjest rohkem kahju, kuna iganenud turbemeetmeid kasutavad  ettevõtted ei suuda end üha uute ohtude vastu kaitsta.

Uut tüüpi ründed vajavad uut kaitsetaktikat

Ettevõtted on küll  riskidest varasemast teadlikumad ning ka vastavaid investeeringuid märgatavalt suurendanud, ent vastaspool on tegutsenud palju kiiremini ning efektiivsemalt. Tänavuse uuringu kohaselt on turvaintsidentide arv aastaga kasvanud 25% ning keskmine intsidendiga põhjustatud kahju on mullusega võrreldes tervelt 18% suurem.

Uueks trendiks on näiteks info väljapetmine juhtivtöötajailt. Sellele eelneb põhjalik taustauuring, mille käigus ohvrit jälgitakse ja leitakse tema nõrk koht, mille kaudu rünnata. Seoses hüppeliselt kasvanud digitaalse andmevahetusega on lisandunud ka palju uusi meetodeid ja viise, mis kasutavad ära nõrkusi, mis on seotud ettevõtete igapäevaste partneritega (näiteks IT hooldusettevõtted), varustajatega ja ka klientidega.

Andmeturve kui tavapärase äritegevuse osa

Paljud ettevõtted pole siiani teadvustanud andmeturvalisuse kõrgeid riske ning  ei arvesta neid ettevõtte strateegia ning arenguplaani koostamisel (s.h investeeringutes). See tähendab, et ohutunne on kõigest hoolimata pigem madal.

Status quo muutmine nõuab uut viisi infoturbe haldamiseks. Sellist, mis toob ettevõttesse teadmise tänapäevastest aktuaalsetest riskidest ettevõtete varade vastu kui ka pahatahtlike vastaste meelepärastest sihtmärkidest ning võimalikest motiividest.

Peamiselt peavad  organisatsioonid muutma kaht sügavalt juurdunud tõekspidamist. Esiteks, ei ole andmeturbe intsident tänapäeval mitte sündmus, mis võib aset leida, vaid sündmus, mis varem või hiljem TOIMUB. Teiseks, et kõiki andmeid on vaja kaitsta võrdsel määral ja sarnaste meetmete abil  – tegelikult ei tule!

Teadmine või usk?

84 % tippjuhtidest usuvad väga kindlalt, et nende ettevõtte tegevus andmeturbe tagamiseks on piisav ning 78 % otseselt andmeturbe eest vastutavatest IT-juhtidest olid samuti väga kindlad oma tegevuste piisavuses ettevõtte vajaduste katmiseks.

Joonis 1: kui kindel saate olla oma ettevõtte infoturbe korraldusele? (%)

Mitu turvaintsidenti on Teie ettevõttes esinenud viimase 12 kuu jooksul?

Väärib märkimist, et vastanute arv, kes  ei tea oma ettevõttes aset leidvate turvaintsidente hulka, kasvab aasta-aastalt, ulatudes ligi viiendikuni (18 %). See on vastuolus ettevõtete usuga, et nende andmete kaitse lähenemine toimib hästi, näidates pigem usku aegunud IT-turbe meetoditesse, mis tegelikult ettevõtet kaitsta ei suuda.

Joonis 2: Mitu turvaintsidenti on Teie ettevõttes esinenud viimase 12 kuu jooksul?

Sise- ja välisvaenlased

Sageli eeldatakse, et enamik infoturbe intsidentidest põhjustatakse väliste osapoolte poolt, ent tegelikkuses on enim küberpätte insaiderid  (31%) või endised töötajad (27%). Pole ka ime, et paljud vastanud peavad organisatsiooni-sisest turvaohtu palju suuremaks, kui rünnet väljastpoolt.

Seejuures pole antud kontekstis  turvaintsidenti põhjustav insaider mitte halbade kavatsustega töötaja, vaid pigem tavaline parimate kavatsustega töötaja, kes lihtsalt oma tööülesandeid täidab ebaturvalisel  moel. Nagu sageli: probleemi peamiseks allikaks pole mitte tehnoloogia, vaid inimesed.

Joonis 3: Turvaintsidentide oletatav allikas (%)

Intellektuaalse omandi ning ärisaladuste kaitse

Digitaalselt säilitava andmemahu kasvuga jagatakse nii teadvustatult kui enda teadmata partnerite, hankijate, tarnijate ning klientidega üha rohkem andmeid s.h intellektuaalset omandit ning ärisaladust käsitlevat infot. On väga oluline mõista, et usaldus on küll hea asi, kuid oma ärisaladusi ning intellektuaalset omandit on mõistlik võõraste eest kaitsta. See on risk, mida täna tugevalt ei tajuta: ainult 17% vastanuist on hinnanud oma ärisaladuste ja intellektuaalse omandi väärtust, et seeläbi olla võimelised hindama nende lekkimisest tuleneda võivat kahju. Lisaks, ei hinda 22%  vastanuist oma äripartnerite turvakorralduse taset üldse, kord aastas või tihemini teeb seda 57% vastanuist.

Üks küsitletud IT-turbe juhtidest tõi välja, et enamus rünnakuid on suunatud infole, mis on töötajate käeulatuses, seetõttu keskenduvad nemad väga tugevalt töötajate koolitusele. Igale kõrge riskitasemega töötajate grupile (kõnekeskuse töötajad, süsteemiadministraatorid ning juhid) on eraldi sisuga koolitus, mis on seotud reaalsete tööülesannete ning olukordadega.

Veel üheks kasvavaks probleemiks on mobiilsete seadmete turve. Vaid iga neljas vastaja peab seda prioriteediks, muuhulgas on krüpteerinud nutitelefonide sisu ning võtnud kasutusele seadmete keskset haldust võimaldava tarkvara.

 

Parim relv – koostöö!

Oluline osa vastanuist väidab, et on just viimasel aastal alustanud andmeturbe ülesehitamisel tõsist koostööd teiste ettevõtetega. Selline paljude spetsialistide vaheline info jagamine on oluline samm, mis aitab ettevõtetel kiiremini kaitsta end uute ohtude vastu.

Joonis 4: Põhjused, miks mitte teiste ettevõtetega teha koostööd infoturbe vallas (%).

Süüdi tippjuht või kehv koostöö?

Tippjuhid ütlevad, et nemad ise on peamine takistus, finantsjuhid peavad samuti peamiseks takistuskiviks just CEOsid. See omakorda jätab mõnevõrra arusaamatuks, miks siis ikkagi vajalikke investeeringuid ei tehta. On tõenäoline, et ettevõtetes puudub ühine arusaam infoturbe riskidest ning nende maandamiseks ja ennetamiseks vajalikest tegevustest. Kui tõhusalt toimivas organisatsioonis peaks hea infoturbe tase olema saavutatav oluliste osapoolte koostöös, jääb mõistagi alati küsimuseks, kes peaks seda koostööd juhtima ning tulemuse eest vastutama.

Joonis 5: Suurimad taksitused infoturbe parendamisel

Kokkuvõttes: Infoturbe tegevused on igale tõsisele ärile mitte ainult vajalikud vaid kohustuslikud, kuna turvariskid on ka äririskid! Seejuures on mõistlik mitte investeerida mõttetult, vaid keskenduda eelkõige olulisima ja väärtusliku info kaitsmisele.