Ebapiisav küberturvalisus on ettevõtte puhul üks suuremaid varjatud riski allikaid, kuna sageli jääb riskide hindamisel küberturvalisus kahe silma vahele. Samas on riski realiseerumise korral võimalik kahju intellektuaalse või materiaalse vara kadude näol ettevõttele väga suur.

Riigi Infosüsteemi Ameti teatel tekitasid küberkurjategijad 2020. aasta septembriks 12 kuu jooksul Eesti ettevõtetele kokku üle miljoni euro kahju. Kalleim juhtum üksi tõi ettevõttele kaasa 100 000 euro suuruse kahju.

Lisaks pahavarale tekitab kahju ka ettevõtete ja asutuste puudulik küberturvalisus, kus töötajate teadlikus küberohtudest ja õigest käitumisest on kehv. Samuti ei anna tööandja piisavaid juhendeid ettevõtte intellektuaalsete varade ja isikuandmete kaitseks. Lisaks kasutatakse sageli ka ebapiisava turvalisuse tasemega küberkaitse tehnoloogiaid. Siin võib näiteks tuua eelmise suvel toimunud Charlot OÜ e-poe ostjate andmete lekke, sest pood ei rakendanud ostjate andmete kaitseks piisavaid meetmeid.

Sellel aastal lisandus täiendava väljakutsena ja küberriskide allikana ka COVID-19 pandeemiast tingitud kaugtöö. Ettevõtted küll suunasid töötajad kodukontoritesse, kuid mitte alati polnud kasutusel piisavat arvu turvalisi ühendusi ettevõtte serveritega suhtlemiseks, mis tõi kaasa ootamatu kulu nii täiendavate vahendite kui ka ajakulu näol.

Maailma levinuim pahavara levimise viis on õngitsuskirjad (phishing), mis näivad esmapilgul ehtsad, kuid need tulevad meiliaadressilt, kus on muudetud üks täht või kasutatud sõnavara, mida vastuvõtja teab, et saatja ei kasuta. Piisab vaid ühest töötajast, kes eksikombel avab õngitsuskirja, et avada küberkurjategijatele uks oma intellektuaalse omandi ja ärisaladuste juurde. Lunavara puhul nõuavad ründajad kompromiteeritud andmete vabastamiseks lunaraha, misjärel lubatakse andmed taas omanikele tagastada, aga ettevõtte jaoks on siis juba liiga hilja. Andmed on varastatud ja nende lekitamist ega muul moel kuritarvitamist ei ole võimalik enam kuidagi kontrollida.

Töötajate teavitamine, korrapärane taristu ja infoturbe kontroll ning kaasajastatud taaste- ning toimetulekuplaanid on tänapäevase ettevõtte äristrateegia lahutamatu osa, et tagada operatiivne valmisolek ning ennetada üha targemaks ja paremaks muutuvaid küberründeid.

Siinkohal pakub tuge just infoturbe auditi läbiviimine, mille käigus kaardistatakse ettevõtte turvariskid ja nõustatakse nende riskide maandamisel. Testitakse ja vaadeldakse intellektuaalvarade turbetaset, suheldakse juhatuse ja töötajatega, vaadatakse üle asjakohane dokumentatsioon ning aidatakse luua juhiseid, et minimeerida küberturvalisusega seotud ohte. Lähtutakse ISO 27001 infoturbe kontrollidest ning uuematest küberohtudest, et tugevdada nii ettevõtte kui ka töötajate nn küberhügieeni taset. Kui ettevõtte partneritel, investoritel, või klientidel on infoturbe auditeerimise või riskihindamise nõue, siis aitab audit ka seda nõuet täita.