Autor: Mehis Sihvart • 10. aprill 2023

Miks tegeleme tagajärgedega, mis tekitavad rahalist, emotsionaalset ja ka ajalist kahju nii teenusepakkujale kui ka kasutajatele, küsib Wisercat Estonia juht Mehis Sihvart.

Järgneb Mehis Sihvarti kommentaar:

Küsimusele, kas meie üleriigilised digisüsteemid on täna täiesti kaitstud, ei saa anda vastusteks lihtsalt jah või ei. Täna ei räägi me 100% turvalisusest, sest seda ei eksisteeri, vaid pigem piisavast ohu vältimisest ja selle elimineerimisest. Selleks on aga vaja leida hea arenduspartner, kes muuhulgas rõhub küberteadlikkusele.

Küberturvalisuse indeksi alusel on Eesti maailmas kolmandal kohal ning riik adub teema olulisust, kuid edasihüpet oleks vaja keskmise ja väikse suurusega ettevõtetel.

Riigi infosüsteemi ameti andmetel toimus 2022. aastal Eesti küberruumis 2672 küberintsidenti, mis mõjutasid meie inimesi, ettevõtteid ja teenuseid. Ideaalses maailmas oleks nende juhtumite osaliseks saanud firmad võtnud proaktiivse lähenemise ning investeerinud kaitsmemeetmetesse ja ennetustegevustesse, vältimaks kogu ebameeldivat olukorda.

ITLi hea tava fookus ohutuse tagamisel

Esimesed sammud on selliste olude loomiseks tehtud. E-ITS ehk Eesti infoturbestandard ning küberturvalisuse seadus on mõeldud oluliselt suuremale grupile, kui seda oli eelnev seadus. See tähendab, et kohustuslikud standardid kehtivad rohkematele seoses julgeoleku tagamisega, mis omakorda peaks olukorda oluliselt parandama.

Lisaks on initsiatiivi tarkvara turvalisel arendamisel võtnud infotehnoloogia ja telekommunikatsiooni liit (ITL), mille liikmeks olevad ettevõtted jälgivad kaitstud arendamise head tava, mis näeb ette suurenenud fookust just ohutuse tagamisel.

Eetilise häkkimise lisamine arendusprotsessi, et projekt vastaks tänapäevastele nõuetele, tähendab küll tõesti arenduspartneritele veidi suuremat töökoormust, kuid kindlasti annab suure konkurentsieelise ja projekti üldvaates hoiab aega kokku.

Eetiline häkkimine kui lisaväärtus

Täna toimub testimine tihti peale loodud lahenduse kasutusele võtmist ja kui esineb vigu, siis on need juba ka pahatahtlikele tegutsejatele avatud. Eetilise häkkimise näol lisaväärtuse pakkumine kindlustab, et algusest peale vaadatakse terviklikku pilti, hoidmaks ära situatsioone, kus pärast peab tegelema tagajärgedega.

Peale vaadates võib see tunduda kui suur lisakulu, ent tegelikult on soodsam IT-lahendus teha kohe nii kindlaks kui võimalik, sest hiljem paranduste tegemine läheb tegelikult enamasti kordades rohkem maksma.

Täna on kahjuks olukord selline, kus ei väärtustata arenduspartnereid, kes oma protsessidesse integreerivad küberturvalisuse testimise. Nii ei anna see hangetel lisapunkte ega ole eraldi välja toodud tingimusena. Seega võidavad tihtipeale pakkumised, mis testimist üldse või piisavalt ei planeeri ning selleni jõutakse alles siis, kui tarkvara on juba kasutuses. See tähendab omakorda turvariske üleriigilistes süsteemides ning nende parandamist juba kasutuses olevas tarkvaras.

Hea arenduspartner on teistsugune kui varem

Hea arenduspartner riigile näeb seega teistsugune välja kui varem, sest kui enne oli oluline pigem äridomeeniga kursis olemine ja kaasamõtlemine kliendiga, siis nüüd järjest enam tuleb sellele lisaks vaadata ka küberturvalisuse poole. Hea partner on see, kes tagab tugevad spetsialistid, rõhub küberteadlikkusele ning mõtleb juba varakult turvalistele lahendustele ja rakendab neid projektis.

Just eetilise häkkimise integreerimine arendusprotsessi aitab seda saavutada ning säästa raha, aega ja vältida hiljem tagajärgedega tegelemist, mis teenusekasutajatele ning ka pakkujale kahju ja ebamugavusi tekitanud.

IT-firma Wisercat juht, varem 12 aastat Eesti riigi esimest IT-maja (RIK) juhtinud Mehis Sihvart räägib 16. mail traditsioonilisel IT-juhtimise aastakonverentsil targast tellijast: