Autorid: Jaan Oruaas, Katrin Sulg, Doris Matteus, Andres Anier
Haridus- ja Noorteameti juhitava IT Akadeemia programmi raames korraldati 2024. aasta esimeses pooles ettevõtete juhtidele suunatud infoturbe koolitused. Koolituse eesmärk oli tõsta juhtide teadlikkust infoturbe olulisusest ettevõtete juhtimisel, teadvustada ettevõtte vara hoidmise ja kaitsmise vajalikkust, anda ülevaade infoturbe juhtimisest ettevõttes ning jagada kogemuslugusid. Kokku osales koolitustel ligi 300 inimest, kes kõik täitsid ettevõtte infoturbe eneseanalüüsi küsimustiku, mille tulemused on toodud selles artiklis.
Suurt vajadust sellise koolituse järgi näitas väga suur huviliste arv ning koolitusel osalenud ettevõtete ja asutuste tegevusvaldkondade väga lai esindatus: infotehnoloogia ja tarkvaraarendus, tööstus ja kaubandus, turism, meelelahutus, tervishoid, toitlustus, õigusteenused, kindlustus, rahandus, konsultatsioonid, energeetika, keskkonnatehnoloogiad, metsandus, ehitus, logistika, kinnisvara, haridus ja teadus.
Selleks, et hinna üldistatult, milline on osalenud ettevõtete tase infoturbe valdkonnas, said koolitusel osalejad võimaluse anonüümselt hinnata oma ettevõtte infoturbe olukorda. Küsitluse läbiviimise metoodika on toodud artikli lõpus.
Infoturbe hindamise küsitluse läbiviimise metoodika
Ettevõtete juhtidele esitati kokku 27 küsimust, mis enamikus olid valikvastustega ja andsid ülevaate nende lähenemisest infoturbele, selle seostest äriprotsesside ja äri eesmärkidega ning andmetöötlusest. Koolituse eesmärke silmas pidades ja tulemuste võrreldavuse eesmärgil esitati kinnised (kas?) küsimused, kuigi on teada, et organisatsiooni tegelike vajaduste ja võimaluste väljaselgitamiseks on seda tüüpi küsimused ebapiisavad. Esitatud küsimuste üldine vorm ei luba täpsemalt hinnata vastuste täpsust ja seetõttu tuleb allpool toodud tulemusi käsitleda hinnangutena ja parendusvõimaluste suundumustena, mitte täpse statistikana.
Korraldajate püüd oli esitada küsimused võimalikult „inimkeelsetena“, äri eesmärkidest lähtuvalt ja arvestades koolitusele tulijatega kui alustavate infoturvajatega. Küsimustiku termineid ei määratud väga rangelt terminoloogia sõnastike järgi, vaid jäeti nende lahtimõtestamine vastaja tunnetuse põhiseks. See lähenemine on kooskõlas valdkonna metoodikatega, mille järgi infoturve tuleb sulandada organisatsiooni kultuuri, mitte jäigalt muuta juba loodud ja toimivaid struktuure nõuete või standardite järgi.
Tulemuste analüüsil peab samuti arvestama, et paljud osalejad olid juba oma ettevõttes mingeid tegevusi teinud infoturbe taseme tõstmiseks ning seega on eeldatavalt tulemused mõnevõrra paremad võrreldes sellega, kui sarnane küsitlus toimuks ettevõtetes juhuvalimi alusel.
Infoturbe nõuded ja vajadus on teadvustatud, samas ohte väga ei kaardistata
Tulemustest selgus, et enamus vastanutest teadis ja oskas hinnata infoturbe nõudeid ja vajadusi lähtuvalt äriprotsessidest ning selle järgi alustada oma tegevusi.
Samuti on vastanud ettevõtetes infoturbega tegelemiseks valdavalt olemas juhtkonna pühendumus või vähemalt toetus. Murekohaks on kindlasti rohkem kui kümnendik ettevõtetest, kus juhtkond ei pea infoturbe-temaatikat oluliseks või on see jäetud IT partneri hooleks.
Valdavalt (68%) on ettevõtetes infoturbe vaates tegemist isikuandete töötlemisega. Vastavalt on täidetud ka isikuandmete kaitse seaduse nõuded.
Paljudel juhtudel töödeldakse ka makseandmeid ja seetõttu võib olla vajadus rakendada vastavaid turbestandardeid (nt PCI DSS v4.0). Samas 14% vastanutest ei osanud vastata, milliseid andmeid ettevõttes töödeldakse.
IT rakendamisest tulenevaid ohte oma ärile on kaardistanud vaid kolmandik ettevõtetest, samuti kolmandik haldab oma nõrkusi ise või on pandud see IT partneri kohustuseks. Ohtude teadvustamisest edasi riskide tuvastamiseni on läinud veerand vastanuist ja nende osakaal, kes sellega üldse tegelenud ei ole, suureneb 40 protsendile.
Suur vastutus on jäetud IT partneritele
Palju loodetakse IT partneritele – kaks kolmandikku ettevõtteid on kindlad, et nende IT toimepidevus on tagatud kas olemasolevate teenustasemelepingute või vajaduspõhiste teenuslepingute alusel.
IT-ettevõtteid usaldatakse andmete hoidmisel – kaks kolmandikku vastanutest hoiab andmeid teenusepakkuja juures, kolmandik oma serveris.
Ka intsidentidest hoidumise lootused on jäetud IT partneritele, sest enamusel on olemas lepingud tarnijate ja hooldajatega, kuigi need vajavad üle vaatamist. Ettevõttesisene intsidentide äratundmine ja nende käsitlemine on ligi pooltel juhtudel jäetud unarusse ja ilmselt süsteemselt sellega tegeletud ei ole.
IT partneri kaasamine on igati hea ja mõistlik tegevus, kuid väga oluline on tähelepanu pöörata ja täpselt kokku leppida, milline on partneri ja teenuse tellija vastutuse ulatus, et alles infoturbe intsident ei oleks selguse saamise koht.
Kümnendik vastanutest ei osanud oma äri ja infovara seost välja tuua.
Töötajate koolituse ja teadlikkuse tase võiks olla parem
Pooled ettevõtetest korraldavad infoturbe-alaseid koolitusi või vähemalt on töötajatel kohustus tutvuda dokumentidega, mis on ettevõttes koostatud. Samas pooled ettevõtted ei paku töötajatele mingit infoturbealast tuge.Ühel kolmandikul vastanutest on olemas infoturbe dokumentatsioon ja reeglistik, kolmandikul on see olemas mingil määral. Seetõttu kinnitavad ka vaid neljandiku ettevõtete esindajad, et nende inimesed oskavad ümber käia ärikriitilise varaga.
Infovaradele juurdepääsu (infosüsteemid, tehnilised ruumid) tingimused on ilmselt korras enam kui pooltel vastanutest.
Olulised järeldused küsitlusest:
- Teadlikkus ja pühendumus: Kahel kolmandikul ettevõtetest on juhtkonna toetus infoturbe valdkonna arendamiseks. Kümnendiku ettevõtete juhtkond ignoreeris infoturvet, ülejäänud jätavad valdkonna IT partneri hooleks.
- Infoturbe dokumentatsioon: Ühel kolmandikul vastanutest on olemas infoturbe dokumentatsioon, ülejäänutel on see olemas osaliselt või puudub.
- Ohtude kaardistamine: Kolmandik ettevõtetest olid kaardistanud IT-rakendamisest tulenevad ohud.
- Riskide tuvastamine: Veerand vastanutest tuvastasid riske oma ettevõttes, 40% ei ole sellega tegelenud.
- Töötajate toetamine: Pooled ettevõtetest ei paku töötajatele infoturbealast tuge. Teine pool korraldab koolitusi või nõuab töötajatelt infoturbe dokumentatsiooniga tutvumist.
- Andmekaitse: 68% ettevõtetest töötleb isikuandmeid ja järgib vastavaid seadusnõudeid. 14% ei teadnud, milliseid andmeid nad töötlevad.
- Andmete hoiustamine: Enamik andmeid hoitakse teenusepakkuja juures (2/3 vastanutest) ja/või oma serveris (1/3).
- Juurdepääsu kontroll: Üle poole vastanutest kinnitas, et nende infovaradele juurdepääsu tingimused on korras.
- Intsidentide käsitlemine: Ligi pooltel juhtudel käsitletakse intsidente „hea talupoja tarkuse“ põhjal, süsteemne lähenemine puudub.
- IT toimepidevus: Kaks kolmandikku ettevõtetest usub, et nende IT toimepidevus on tagatud olemasolevate teenustaseme- või vajaduspõhiste lepingutega.
Haridus- ja noorteameti koordineeritud IT Akadeemia ümber- ja täiendusõppe tegevuse raames toimunud koolituse läbiviijateks olid advokaadibüroo NordX Legal tehnoloogia- ja andmekaitseadvokaat Risto Hübner, SK ID Solutionsi tegevjuht Kalev Pihl, ettevõtte FocusIT tegevjuht Doris Matteus, infoturbe audiitorid Jaan Oruaas ja Andres Anier. Koolitusel jagas Telia kogemust ettevõtte riskijuht Andreas Meister ning kasulikke praktikaid Riigi Infosüsteemide Amet. Koolituse moderaator oli ITuudised.ee (Äripäev) juht Indrek Kald.
Lähemalt saab teemade ja sisumaterjalidega tutvuda https://harno.ee/ettevotete-juhtidele-suunatud-infoturbe-koolitus
Koolitused toimusid Euroopa Liidu taasterahastu NextGenerationEU vahenditest taaste- ja vastupidavusrahastu komponendi 1 „Ettevõtete digipööre“ reformi 2 „Oskuste reform ettevõtete digipöördeks” toetuse andmise tingimuste alusel.