Küberturvalisuse maastik muutub pidevalt. Selleks, et ettevõtet või organisatsiooni ei tabaks pahatahtlik rünnak, katkestus või muu küberintsident, tuleb turvalisusega tegeleda ja ootamatusteks valmis olla. Eelmisel aastal nähti Eestis näiteks esimest süvavõltsingu (ingl deepfake) pettust, millega suurfirma kaotas sadu tuhandeid eurosid.

Möödunud aasta aprillis leidis palju tähelepanu Eesti suurettevõtte Allium UPI andmeleke, kui delikaatsed kliendiandmed sattusid avalikkuse ette. Probleem polnud ainult tehniline, vaid raputas ka ettevõtte mainet ja tekitas juhtkonnas arusaama, et küberturvalisus pole enam üksnes IT-osakonna mure. Sarnaseid juhtumeid on Eestis olnud mitu ning NIS2 direktiivi jõustumisega muutuvad ka reeglid aina rangemaks.
Eesti esimeses AI sotsiaalmanipulatsiooni rünnakus sai suurfirma finantsjuht e-kirja, mis tundus pärinevat tegevjuhilt. Süvavõltsingu tehnoloogia abil loodud kõne kinnitas ülekande vajadust, mis viis sadu tuhandeid eurosid petturitele.
„Seega ei saa praegu küberturvalisus olla enam valikuline investeering,“ lausub KPMG küberturvalisuse valdkonna juht Mihkel Kukk ja lisab, et tippjuhtidel on kohustus tagada oma organisatsiooni küberturvalisus nii äriliste vajaduste kui ka uute nõuete kohaselt.
Järgnevalt toome välja 2025. aasta peamised küberturvalisuse suundumused ja strateegilised eelistused, millele tähelepanu pöörata, et muuta küberturvalisus konkurentsieeliseks.

AI-rünnakud ja lunavara
Eespool nimetatud süvavõltsingu rünnak kinnitab, et traditsioonilised turvameetmed ei ole enam piisavad. Ettevõtted ja organisatsioonid peavad investeerima nii tehnoloogilistesse lahendustesse kui ka kõrgtasemel koolitustesse.

NIS2 ja teised reeglistikud
NIS2 direktiiv jõustub 2025. aastal ja seab küberturvalisuse nõuded kõrgema riskiga ettevõtetele ning avalikule sektorile. Ettevõtted peavad valmistuma selleks, et nad suudaksid tagada pideva monitooringu, reageerimisvõime ja riskijuhtimise. Paljud kohalikud ettevõtted, sealhulgas pangandussektor, on juba alustanud ettevalmistusi, kuid väiksemad ettevõtted jäävad tihti maha.

Nullusaldus ja identiteedil põhinev turvalisus
Varem oli peatähelepanu tulemüüridel ja perimeetrikaitsel, nüüd aga liigume nullusaldusmudeli poole, kus kõik kasutajad ja seadmed peavad end pidevalt autentima. Eestis on mitu ettevõtet juba võtnud kasutusele tugevdatud MFA (ingl multi-factor authentication) lahendused, kuid nende rakendamine on veel lõpetamata paljudes asutustes.

Tegevuskava ja järgmised sammud
1. Tee kindlaks organisatsiooni küberturvalisuse olukord ja kõige suuremad riskid.
2. Korralda küberturvalisuse audit, kaasates vajadusel välised teenuseosutajaid.
3. Vii läbi intsidendisimulatsioon, et testida kriisiks valmisolekut.
4. Investeeri koolitusse ja teadlikkusesse, et ettevõtte juhtkond ja töötajad mõistaksid küberturvalisuse põhimõtteid.
5. Rakenda nullusaldusmudelit ja tugevdada tarneahela turvalisust.

Rahulikumalt saavad 2025. aastal hingata need ettevõtted, kes suudavad küberturvalisuse strateegiliselt läbi mõelda ja seda ärieelisena kasutada. Juhid peavad küberturvalisust käsitlema äristrateegia olulise osana, mitte pelgalt IT-küsimusena.
Kui organisatsioon vajab tuge küberriskide väljaselgitamisel ja oma strateegia kujundamisel, soovitame ühendust võtta KPMG küberturvalisuse ekspertidega, et saada professionaalset nõu ja tuge turvalise tuleviku tagamiseks.
Loe lähemalt küberkaitse.ee.