Tänases ebastabiilses maailmas ei ole enam küsimus selles, kas midagi juhtub, vaid millal ja kuivõrd me selleks valmis oleme. Ärijätkusuutlikkus on ettevõtte ellujäämise vundament, kirjutab KPMG küberturvalisuse teenuste juht Mihkel Kukk.

Näiteks võib logistikaettevõte rahulolevalt tõdeda, et globaalne tarneahel töötab juba ladusalt, kui järsku tekivad probleemid. Järgmisel hetkel seisab konteinerlaev sadamas, sest sadamatöölised on hakanud streikima või on piirkonda tabanud loodusõnnetus. Samal ajal sirvib peadirektor hiljutist raportit ettevõtte süsteeme tabanud küberintsidendist. Tegemist on järjekordse lunavararünnaku eriti keeruka vormiga. Kõik ettevõtte andmed olid krüpteeritud, ajakirjandus nõuab vastuseid ja IT-osakond töötab ülekoormuse piiril.
KPMG rahvusvaheliste uuringute põhjal on 90 protsenti ettevõtetest läbi elanud vähemalt ühe küberrünnaku ning 26 protsenti neist juhtumitest pani firma tegevuse ajutiselt seisma. Selles vallas ilmneb ka tehisaru varjupool, kuna süvavõltsingute (deepfake) levik kasvatab intsidentide ohtu. Seetõttu ütleb 70 protsenti maailma firmajuhtidest, et nende ettevõtted kavatsevad suurendada investeeringuid küberturvalisusse, et kaitsta tegevust AI-ga seotud ohtude eest.
Kui organisatsioon seisab silmitsi ootamatusega – olgu see seotud kriitilise personali puudumise, süsteemirikke, füüsilise kahju või isegi geopoliitiliste sündmustega – siis määrab tema saatuse just võimekus reageerida, taastuda ja jätkata tööd. Tegemist ei ole sugugi ainult kriisijuhtimisega. Niivõrd äärmuslik situatsioon nõuab oskust ehitada vastupidavat, paindlikku ja strateegiliselt juhitud süsteemi, mis ei purune esimese tagasilöögi korral. Ehk räägime ärijätkusuutlikkusest (Business Continuity Management – BCM), mis on ettevõtte ellujäämise vundament.

Kaos saabub kiiresti
Kujutage ette, et ettevõttes on kriisiolukord. Teenused seisavad. Klientide telefonid on punased, meedia ootab kommentaare ja investorid jälgivad tähelepanelikult iga liigutust. Just sellistel hetkedel saab selgeks, kuivõrd oluline on olnud ärijätkusuutlikkuse arendamine. Läbimõeldud taastamiskava, kriisikommunikatsiooni stsenaariumite ning läbiproovitud otsustusahelatega suudab organisatsioon taastuda kiiremini, kui keegi arvata oskaks. Ilma vettpidava süsteemita langetab organisatsioon oma väärtust minutitega ja seda mitte ainult rahas, vaid ka maine ja usaldusväärsuse näol.
Ärijätkusuutlikkus on organisatsiooni DNA ning seda saab kujundada, testida ja tugevdada. Küberturvalisuse tiimi jaoks on esimene samm organisatsiooni äritegevuse mõistmine. Nõustajad ei tule valmis lahendustega. Selleks, et arvestada ettevõtte olemuse ja eripäradega, tuleb organisatsioonile läheneda personaalselt. Meie KPMG-s otsime vastuseid paljudele küsimustele. Milline on ettevõtte tegevusmudel? Kus asuvad organisatsiooni kriitilised teenused ja inimesed? Millised sõltuvused eksisteerivad süsteemide, partnerite ja tarneahelate vahel? Alles seejärel koostame hetkeolukorrast tervikliku hinnangu, millele toetudes saame kavandada edasised sammud.

Mängime kriisiolukorrad koos töötajatega läbi
Edasi liigume üheskoos. Loome strateegia, koostame poliitika ning määratleme vastutusalad. Ja mis muidugi kõige olulisem – harjutame ning mängime kriisiolukorrad läbi, sest kriis ei hüüa tulles. Ainult harjutades saame olla kindlad, et inimesed teavad, mida komplitseeritud olukorras tegema peab. KPMG-l on selles osas eriline lähenemine: me korraldame simulatsioone, mis peegeldavad reaalseid olukordi. Näiteks lunavararünnak, kus töötaja klikib pahaaimamatult lingile, mis viib terve organisatsiooni süsteemi krüpteerimiseni. Simulatsioonides osalejad saavad reaalajas meilisõnumeid IT-meeskonnalt, päringuid meedialt ning küsimusi juhatuselt ja partneritelt. Nii saame hinnata mitte ainult tehnilist valmisolekut kriisiolukorras, vaid ka juhtimisoskusi ja otsustuskiirust.
Simulatsioon ei lõppe koos harjutusega. Analüütikud koostavad tulemustest raporti, mis ei ole pelgalt kontrollnimekiri, vaid ka peegeldus organisatsiooni küpsustasemest. Aruandest selgub, milliseid probleeme suudeti kriisiolukorras kiiremini lahendada ning millised kommunikatsioonilüngad tekkisid. Raporti tulemuste põhjal toovad spetsialistid välja parenduskohad ning edastavad kliendile soovitused, mis aitavad kriisiks valmisolekut tõsta.
Tulevikku vaadates peame tõdema, et kriiside hulk ja mõju ilmselt ei vähene. Organisatsioonid, kes mõtlevad ennetavalt, ehitavad vastupidavust ja testivad aegsasti oma plaane, ei lange ohvriks, vaid on turuliidrid ka kriiside ajal.
küberkaitse.ee