Autor: Äripäeva eriprojektide ja sisuturunduse üksus: [email protected] • 7. september 2021

KPMG müügi- ja äriarendusjuhi Marek Mühlbergi sõnul on viimasel ajal just klienditeeninduse roll omandanud kriitilise tähtsuse küberturvalisuse teenuste pakkumisel.

"Me demüstifitseerime teenuse, anname kliendile ülevaate sellest, mis on tema hetkeseis ja valikud, milliseid äririske ja kuidas saab maandada, mitmest etapist ja sammust teenus koosneb, kaua töö kestab, palju see umbkaudu võiks maksta. Sellist läbipaistvust on vaja juurde anda, et tekiks teadlik tellija. Siis julgeb klient ka tulevikus toru tõsta ja helistada," selgitab ta.

Järgneb intervjuu Jaan Vahtre ja Marek Mühlbergiga:

Miks peab küberturvalisust ja klienditeenindust üldse koos käsitlema?

Marek Mühlberg: Lühike vastus on, et küberturvalisuse teenuseid ei osata osta. Teenuste läbipaistvus on madal ja liiga tugevalt kaldu klotsi-raporti-auditi müügile, ilma konteksti ja äririske käsitlemata. Ka leidub turul müügitaktikaid, mida ei saa päris korrektseks nimetada. Täna on klient sageli olukorras, kus ostetakse põrsast kotis, kus talle ei selgitata teenuse sisu, mõju ja seoseid äriprotsessidega. Tehnilisest raportist ja arvest ei piisa. Klient vajab rohkemat.

Teisest küljest oleme kohanud agressiivset müügistiili, kus lüüakse piltlikult öeldes kliendil uks jalaga lahti ning näidatakse näpuga puudujääkidele. Selline lähenemine ei ole aktsepteeritav. Pigem on trend konsultatiivse müügi suunas. Teenusepakkuja peab tundma kliendi äri ja sektorit.

Jaan Vahtre: Kuna küberturvalisuse vallas on tegu tehnilise oskusteabe ning selle edasiandmisega, siis on oluline selgitada ärikliendile lõpptulemit. Selles osas on klienditeenindus läinud väga oluliseks, et klient saaks aru, kuidas on tema tehnilised riskid seotud äririskidega. Seepärast räägime nii küberturvalisuse kui ka klienditeeninduse vaatest.

Mühlberg: Lisaks haavatavuse aspekt. Delikaatsetel teemadel rääkides peab usaldus olema väga kõrge.

Kuivõrd on klienditeenindus viimasel ajal muutnud, eriti et potentsiaalsete klientide kohta on palju rohkem andmeid?

Mühlberg: Andmelekkeid publitseeritakse, neist räägitakse, tehakse erinevaid uuringuid. Andmete rohkus on ettevõtete riskiprofiili tuntavalt mõjutanud, eriti koroona ajal. Värskemad uuringud näitavad, et aina enam pööratakse tähelepanu digitaalsele vundamendile. Klientideni jõutakse täna läbi digitaalsete kanalite ning ettevõtte töötajad peavad oskama uut digitaalset äriprotsessi teenindada. Pandeemia ajal tegelikult muid valikuid polnudki.

Ent turul on ettevõtteid, mis on seda digitaalset vundamenti alles ehitamas ja digimuutust hetkel läbi tegemas. Kuna nad on enda jaoks uues situatsioonis, vajavad nad rohkem abi. See tähendab ka seda, et turul on rohkem tööd. Tüüpiline on olukord, kus digivõimekused ehitatakse üles väga kiirelt ja võimalikult soodsalt. Siin tekibki meil dilemma, kus valida on võimalik kaks kolmest – soodne, kiire, kvaliteetne. Kiire ja soodne lahendus ei saa olema kvaliteetne ega turvaline.

Vahtre: Rünnakud on kindlasti hoogustunud, eriti seoses viimaste aastate sündmustega, seda on ka rohkem avalikustatud. Aga pigem on küsimus selles, et kui klient tuleb otsima lahendust, siis tihtipeale – kui firma on alles oma digivundamenti ehitamas – on tema jaoks hästi oluline suuremast pildist arusaamine. Et talle ei müüdaks ühte asja, ühte teenust-toodet-seadet, vaid et aidatakse aru saada, millest ta tegelikult alustama peab ja millised on järgmised sammud.

Mühlberg: Seega meie omalt poolt demüstifitseerime teenuse, anname kliendile ülevaate sellest, mis on tema hetkeseis ja valikud, milliseid äririske ja kuidas saab maandada, mitmest etapist ja sammust teenus koosneb, kaua töö kestab, palju see umbkaudu võiks maksta. Sellist läbipaistvust on vaja juurde anda, et tekiks teadlik tellija. Siis julgeb klient ka tulevikus toru tõsta ja helistada.

Kui palju inimesed päriselt teavad, mida sisuliselt tähendab küberturvalisus?

Vahtre: Kindlasti on teadlikkus ajaga paranenud. Enne oli seda seisukohta rohkem, et ostame ühe kasti või mingi teenuse ja saame siis öelda, et oleme nüüd turvalised n.ö näilik turvalisus. Nüüd on hakatud aru saama, et sellega peab järjepidevalt tegelema. Samuti kardetakse alustada või ei teata, millest alustada. Kas peaksime testima oma rakendusi, kas peaksime koostama mingit dokumentatsiooni või protsesse, kas peaksime tegema riskianalüüsi vms?

Esimesed sammud on tihti need, kus klient vajab tuge ja nõustamist: millest alustada, kuidas näha laiemat pilti, kuidas liikuda samm-sammult nii, et kätt hoitakse pulsil kogu ettevõtte küberturvalisuse vaates, mitte ainult ühe toote või teenuse osas.

Mühlberg: Olukorras, kus klient on liikunud digikanalitesse, on küberturvalisuse tagamine strateegilise tähtsusega väljakutse. Sisuliselt on tegu "upu või uju" olukorraga.

Olete te kohanud, et teadmatus hoiab potentsiaalset klienti tagasi, ta kardab jääda teenust ostes piinlikkusse olukorda?

Mühlberg: Meie missiooniks ongi turu harimine, klientide toetamine vajaduspõhiselt ja teenuste läbipaistvuse suurendamine. Kui klient saab aru, milliste äririskide vastu ta end kindlustab, milliseid teenuseid vajab (sõltuvalt hetkeolukorrast) ja kuidas kujuneb teenuse hind, siis oskab ta ka paremini teenust osta. Osa meie tööst ongi teadmatuse hajutamine. Klient võib julgelt meie poole pöörduda nõu saamiseks. Me otsime pikaajalist klienti, mitte ühekordset põrsast kotis.

Kui sa ei tea, mida tellid, siis on ka motivatsioon investeerida madal. Nagu Jaan eespool välja tõi, soovitakse sageli osta valmis lahendust – et nüüd olen turvatud. Turul on näha suhtumist, et kui saan konkreetse raporti kätte või auditi tehtud, saangi näidata, et kõik on hästi. Kahjuks on see tunne petlik.

Me räägime tegelikult turvakultuurist ja regulaarsetest tegevustest, mitte ühekordsest lahendusest. Tüüpiline näide on, et kui teed oma infosüsteemile või veebirakendusele pidevalt arendusi ning jätad testid tegemata või aasta jooksul lükkad edasi kümmekond uut muudatust, siis on loomulik, et sellel võib olla arvestatav mõju ja tagajärjed. Loodetakse hoida kokku kulusid. Olukorras, kus kaasnevad kulud võivad tegelikult väga tagasihoidlikud olla.

Vahtre: Kindlasti on teadlikke kliente, kes teavad täpselt, mida nad ostavad. Aga palju on ka neid, kelle jaoks on oluline see, et alustada suurema pildi kokkupanemist ning sealt liikuda kitsamate teemade juurde, saamaks aru, kuidas küberturvalisuse valdkond nende äri toetab.

Mühlberg: Ning tunnitasu ei hakka kohe tiksuma. Ei ole nii, et astud uksest sisse ning kohtumise lõpus esitatakse arve. Mida alati ei osata küsida, on esmane konsultatsioon. Kui lihtsalt kliendiga kohtuma minna ning pool tundi nõu pidada hetkeolukorra üle, siis selle eest keegi arvet ei esita.

Kuidas aru saada, kas küberturvalisus on sinu valdkonnas oluline?

Mühlberg: Kui ettevõte töötleb väga suures mahus andmeid, sealhulgas delikaatseid isikuandmeid või klientide andmeid (sh näiteks maksete info), siis võiks küll tekkida kliendi poolt huvi, et mis on minu vajadused ja valikud. Siis võiks pöörduda teenusepakkuja poole ja leppida kokku esmase kohtumise.

Kui ettevõte hakkab looma oma küberstrateegiat, millest nad peavad esmajoones lähtuma?

Vahtre: Riskianalüüs on algselt väga oluline. Ent ettevõtte puhul on vaja ka silmas pidada hetkeolukorra kaardistamist. Ehk enne, kui me jõuame riskianalüüsini ja konkreetsete riskide kaardistamiseni, oleks vaja aru saada, kus nad praegu oma küberturvalisuse seisuga on. Seal tuleks vaadata väga laialdaselt just eri kategooriaid nagu planeerimine ja ennetamine, kaitsmine, tuvastusvõimekus, taastamisvõimekus.

Seega, milline on meie võimekus eri kategooriates hakkama saada ning sealt hakkab veel paremini kooruma edasine strateegia: kuhu peaksime liikuma, millele keskenduma, kuidas on asjad dokumentatsiooni, tehnilise poolega ja ka töötajatega.

Mühlberg: See ongi see koht, kus teenusepakkuja peab suutma mõelda kliendi äri peale. Ei ole nii, et lendame sisse, et siin on teenuste loetelu ja hakake valima. Teenused peavad olema alati seotud äririskide maandamisega.

Enamik Eesti ettevõtetest on väikefirmad. Kuivõrd sõltub küberturbemeetmete rakendamine ettevõtte tegevusalast või suurusest?

Mühlberg: On hästi levinud arusaam, et mina olen väike ja who cares? Tegelikult kui sul on koostööpartnereid, näiteks tarnijaid, siis läbi sinu ettevõtte võib pääseda teiste ettevõteteni. Niisiis võid sa ise osutuda ründevektori osaks ja seda tihti alahinnatakse.

Võime veel eristada, et kas on tegu tavaettevõtete või kasvuettevõtetega. Viimasel juhul oled alguses väike, ent klientide arv võib hüppeliselt kasvada, mis võib osutuda suureks probleemiks, kui asutakse maailma vallutama. Teenusepakkujad, kes hoiavad oma kliendiandmeid pilves (sh peaaegu kõik SaaS pakkujad) võiksid kaaluda nt SOC2 auditit, pakkumaks investoritele kindlustunnet välisturgudele laienedes ja raha kaasates.

Ettevõte väiksus pole seega indikaator. Samas pole ehk mõtet minna kärbest või sääske kahuriga tapma. Väikesed ettevõtted saavad väga palju enda jaoks ise ära teha.

Vahtre: Kindlasti pole ettevõtte suurus oluline, sammud on ju samad: hetkeolukorra kaardistamine, üldise plaani ja strateegia kokku panemine, kategooriad peavad olema kaetud. Pead suutma ennetada ja kaitsta, tuvastada ja vajadusel ka taastada.

Kui näiteks startupina paned varajases faasis rõhku turvalisusele, on sul suuremana oluliselt kergem. Sul on siis põhiprotseduurid paigas, näiteks inimeste ja kultuuride erinevusest tingitud erisused. Kui tood eri riikidest inimesed kokku ning pole paigas, mis on neile lubatud ja mis keelatud, võivad erinevad arusaamad põhjustada sulle tulevikus palju rohkem probleeme. Tagantjärgi on turvalisust kehtestada palju raskem, kui tööle võttes pole selgitatud, millised on reeglid.

Vahtre: Kui õngitsetakse suures mastaabis – phishing-rünnakud –, siis ründamise puhul ei valita sihtmärki suuruse järgi. Ja business email compromise-rünnakuis vaadatakse, keda on võimalik kätte saada, kes on nende kliendid ning mis rahasid on võimalik neilt kätte saada.

Kui võtad ette hunniku väikeseid ettevõtteid, võid saada raha samas suurusjärgus kui rünnates ühte suurt firmat.

Mühlberg: Kuna väikeettevõtetel pole enamasti võimekust ehitada küberturbe tiimi, on nad lihtsamad sihtmärgid. Seal on kõik kokk-kondiiter-keevitajad, mis tähendab, et selline firma on oluliselt lihtsam sihtmärk.

Küberkaitse koosneb inimeste, protsesside ja tehnoloogia turbest. Mis neist on kõige lihtsamini ja mis kõige raskemini kaitstav?

Vahtre: Inimene on nõrgim lüli ning seda poolt turvalisusest on kõige keerulisem kaitsta, sest seda ei saa teha ainult tehniliste vahenditega. Peab inimest harima ja tema turvateadlikust tõstma. Kui ettevõte laieneb, tulevad uued töötajad, mistõttu on oluline, et harimine oleks perioodiline, siis suudame hoida kõiki sarnastel arusaamadel ja tasemel. Kõigil töötajatel sama teadlikkuse taseme hoidmine on ka üks väljakutsuvamaid tegevusi.

Mühlberg: Siit tulebki mängu termin digitaalne vundament. Kui ettevõte avastab pandeemia ajal, et peab äriprotsesse ümber tegema, leidma kliente läbi digikanalite, siis – olles seni vana kooli ettevõte –, on digitaalne vundament üsna minimaalne. Pead alustama inimeste koolitamist sisuliselt nullist.

See on päris keeruline. Kui oled sellega ka hakkama saanud läbi suurte pingutuste, ent mõni inimene läheb ära, pead uue töötajaga sama tegema. Sellepärast saamegi rääkida küberturvalisusest kui jooksvast protsessist, mitte karbilahendusest.

Vahtre: Ent me ei saa vaadata neid tükke eraldi. Kaitse peab olema mitmetasandiline: inimeste, protsesside ja tehnoloogia vaates. Kõik koos moodustavad nad terviku, ei saa keskenduda vaid ühele.

KPMG koolitusel räägitakse muuhulgas sellest, kuidas häkkerid koguvad avalikult kättesaadavat infot ning valmistavad ette küberrünnakuid. Kuidas te seda teate?

Vahtre: Kõiki neid tegevusi, mille osas me täna koolitame, viime ka oma projektides läbi. Ehk kui räägime avalikest andmetest info kogumisest, siis meil on ka teenus nimega "Digitaalse jalajälje kaardistamine", kus me teeme need sammud ise läbi. Oskusteave on tulnud kogemuste ja õppimiste kaudu: kust ja kuidas infot hankida ning kuidas sealt edasi liikuda järgmiste tegevuste peale.

Meeskonnaliikmete kogemused ja taust on erinevad. Ühed on oma kogemused saanud süsteeme administreerides ja kaitstes. Teised on arenduse poole pealt liitunud, kus nad on tuvastanud arendustes tehtavaid vigu ning sealt küberturbe valdkonda siirdunud. Need on erinevad, kuid teineteist täiendavad inimtüübid ja profiilid.

Ent sealt see kogemus tulebki. Ühelt poolt on oluline teada, kuidas ennast kaitsta ja sama tähtis on teada, kuidas on võimalik rünnata. Kui räägime arenduse poole pealt, siis üks meie koolitusi annabki arendajatele sisendit, kuidas kirjutada koodi, mida on keerulisem rünnata.

Mühlberg: Kui eksperdid teevad omale sertifikaate, siis need on ka erineva fookusega, et anda valdkondlikke teadmisi. Kui võtta kokku see jutt, siis on erinev töökogemus erinevalt poolt rindejoont, sertifikaadid ja haridus. Samuti on meil osad inimesed NATO kogemusega.

Kui palju viimast poolteist aastat puudutav sunnitud ja kiire kaugtööle üleminek tegi küberruumi ebaturvalisemaks? Või oli see tagasiminek pigem kriisi alguses, kui kõik pidid seda kiiresti tegema, olemata valmis selleks?

Mühlberg: Kübervaldkonnas on hästi oluline domeenide lahusus ehk tuleb hoida töö ja kodu lahus. Kui sa seda teed, siis elimineerid juba suure osa riske. Kui inimesed toimetavad kodus, siis on oht suurem. Näiteks otsustatakse, et täna ma VPNi ei kasuta või et lähen tööarvutiga mingile rekreatiivse sisuga leheküljele või kasutan hoopis oma seadet. Nende riskide haldamine on palju keerulisem.

Uuringud näitavad, et kodus töötamise toetamise kulud on ettevõtetes arvestatavalt kasvanud. Risk on seal kindlasti suurem kui kontoris töötades. Ent peame adresseerima nii protsessi, inimest kui ka tehnoloogilist külge, seega pole ühedimensioonilist vastust.

Vahtre: Kui räägime tehnilistest vahenditest, siis oli muutus väga kiire. Mis tihtipeale jäeti kahe silma vahele, oli inimeste pool, nende harimine. Inimene on tõusev risk, kui kodus töötad. Business email compromise-tüüpi rünnakud kasvasid, näitas statistika. Samuti erinevad kelmused, sh telefonikelmused. Inimesed pole enam ninapidi koos ning ei ole võimalik küsida vahetult abi.

Ja alati pole kommunikeeritud selgelt, kellelt sa abi küsid, ja milliste kanalite kaudu kui midagi kahtlustad. Seetõttu jätsid inimesed tihti selle kahe silma vahele ja maksid arve ära, kuigi selle peal oli võõras konto number.

Kuidas leida tasakaal ühelt poolt küberkaitse ning teiselt poolt töötajate õiguste ja vabaduste vahel ehk mida töötaja võib tööandja arvutis teha, näiteks faile avada, e-kirju saata, programme alla laadida, Skype’i kasutada jne?

Mühlberg: See on polariseeriv teema, kus pole ühte selget vastust. Iga ettevõte, tulenevalt oma sisemisest kultuurist ja paindlikkusest, kommunikeerib töötajatele seda, kuidas töö tegemine välja näeb. Tehnoloogiliselt on võimalik rakendada mitmekülgseid turvapoliitikaid, aga siin tuleb vältida olukorda, kus töökeskkond muutub orwellilikuks ning töötajad hakkavad lahkuma.

Tööandja on andnud töötajale töövahendid töö tegemiseks, aga on tõenäoline, et töötaja kasutab arvutit ja telefoni ka isiklikuks otstarbeks. Tööandja poolne paindlikkus tähendab, et domeenide lahusust on raske tagada. Kui soovitakse paindlikkust pakkuda, tuleb töötajat koolitada.

Me täna alles tegeleme sellega, kuidas erinevaid usalduse tekitamise meetodeid katsetada ja turbepoliitikaid valideerida, ka kaugtöö puhul. Usun, et vastus sellele küsimusele selgub täpsemalt 1-2 aasta jooksul. Selle aja peale on enamus tööandjaid leidnud endale sobiva kaug- või hübriidtöö mudeli.

Vahtre: Rääkisime enne alustava ettevõtte küberturbest versus tegutseva ettevõtte omast. Tööandjal on oluliselt kergem tutvustada olemasolevat küberturbe poliitikat uutele töötajatele kui et jõuda selle teemani olukorras, kus läheme kõik kodukontorisse ning hakkame nüüd õigusi rohkem piirama.

Ettevõtjad ongi täna erinevas seisus. Osad seisavad silmitsi suure selgitustööga. Teistel on see risk maandatud. Tähtis on meeles pidada, et kui reeglid on varasemast paigas, siis on seda muutust oluliselt kergem töötajaile kommunikeerida.

Mühlberg: Meil on 21. sajand, seega pole midagi erakordset selles, et inimesed ka kodust töötavad. Võiks olla tavapärane praktika läbi rääkida tüüpilisemad riskistsenaariumid, sh see, mida riskide realiseerumisel teha. Siin saab ettevõtja ise väga palju ära teha.

Suuremate töömahtude ja keerulisemate väljakutsete puhul tasuks kaaluda partneri kaasamist. On olukordi, kus sisemise võimekuse väljaarendamine võib olla väga aeganõudev ja kulukas. Partneri abil saab klient treenitud inimeste väärtuse kätte kohe ja väga odavalt. Mida aga ettevõtted ise saavad ära teha, on valdkondlike materjalidega tutvumine. Näiteks tõsta teadlikkust selle osas, mis riske üldse eksisteerib. Alternatiivina võib läbida mõne koolituse ning seejärel läbi mõelda, mis on kõige elementaarsemad asjad ettevõttes, mida ise teha.

Näiteks kuidas töötajad ei satuks phishing'u sihtmärgiks või kui satuvad, siis mida nad peavad tegema. Samuti, kuidas tagada, et kindlatele andmetele saaks ligi ainult inimesed, kes peavad neile ligi saama. Või mis juhtub siis, kui töötajad lahkuvad või tulevad uued inimesed. Kui tekib mingi riskistsenaarium – näiteks keegi sai ligi andmebaasidele –, et mis ma siis teen. Selleks võib olla ka see, et helistatakse teenusepakkujale ja küsitaksegi abi. See peab aga olema läbi mõeldud.

Sellise partnerluse sõlmimine ja jooksev suhtlemine ei pruugi olla nii kulukas, kui sageli ekslikult arvatakse.

Üks küberturbest vähem räägitud teema on digiidentiteet ja selle haldus ettevõttes. Mida see üldse tähendab ja sisaldab?

Vahtre: Juba ammu on igal töötajal ettevõttes oma konto, millele omistatakse teatud õigused, näiteks mida ta saab avada ja mida mitte. Tänapäeval on digiidentiteedi haldus ettevõtte kontekstis läinud oluliselt keerulisemaks, sest perimeeter on laiem. Meil ei ole enam nii, et logime sisse ühte teenusesse, vaid pigem logime paljudesse eri teenustesse, mis asuvad laiendatud perimeetris, alates e-kirjadest ja müügi andmebaasidest ning lõpetades failide jagamisega. Küsimus on, kuidas sa haldad ühe töötaja keskset identiteeti laiendatud perimeetri vaates.

Siit tuleb sisse veel üks märksõna – pilveteenused. Kas need on reeglina turvalisemad? Või mis riske sisaldavad, mida peaks endale teadvustama?

Vahtre: Reeglina ei saa ühegi asja kohta öelda, et see on turvalisem. Rõhku tuleb panna nii pilvelahenduste turvalisusele kui ka kohapealsele serverimajutusele.

Väga hästi sobib näiteks olukord, kus ettevõtte pilve migreerimise käigus paigaldati serverisse bitcoin miner, mis võttis kogu loodava serveri ressursi ära. Seejärel dublitseeriti servereid seni, kuni ettevõttes aru saadi, et arved on liiga suureks läinud.

Pilvemaailmas pole küsimus ainult selles, et üks või teine lahendus on turvalisem, pigem sõltub turvalisus riskidest ja nende maandamise oskusest.

Mühlberg: Pilveteenuste kasuks räägib see, et juba teenusedisaini käigus on arvestatud vajadusega erinevaid (aga mitte kõiki) turvariske maandada. Kui oled väikeettevõte ja ostad Microsofti, Google'i või Amazoni pilveteenust, siis nende teenuste puhul rakendatakse vaikimisi mitmeid kasutajat kaitsvaid turvapoliitikaid.

See on koht, kus tuleb rääkida inimfaktoriga seotud riskidest. Kui pilveteenuse pakkuja on teatud riskid ära maandanud, ent kasutajal pole vajalikke teadmisi, võib süsteem endiselt haavatav olla.

Vahtre: Kui räägime füüsiliselt turbest ja seotud riskidest, siis pilvetehnoloogia neid mingil määral maandab. Samas on seadistuse poole peal asju, mida kliendid peavad ise tegema ja millele tähelepanu pöörama. Paljud eeldavad, et kui kolime pilve, siis on turvalisus kolmanda osapoole poolt tagatud. Aga nemad pakuvad sulle platvormi, kus mõningad riskid on küll maandatud, kuid tegelikult pead ka ise aru saama, kuidas seda ressurssi oma spetsiifikast lähtuvalt seadistada ja pilves laiendatud perimeetri mõttes asju turvata.

Mühlberg: Pea kõige kohta saab öelda, et it depends. Selleks ongi vaja kliendiga dialoogi hoida, mitte tekitada muljet, et kuskil eksisteerib hõbekuul või maagiline karbilahendus. Ikka ja jälle jõuame selleni, et tuleb mõista kliendi äri ja tema tänaseid väljakutseid ning vajadusi.

Kui palju on siis küberturbe teema rätsepalahenduse pakkumine ning kuivõrd on see paketeeritav?

Mühlberg: Töömahud on klienditi pigem erinevad, seda isegi sama sektori lõikes. Ettevõtetel ja organisatsioonidel on erinevad süsteemid, seadistused ning protsessid. Kliendisuhtluses selgub töö skoop, hetkeseis ja prioriteedid. Meie eesmärk on kliendiga kaasa mõelda ja pakkuda neile vajaduspõhiseid lahendusi (näiteks sektori eripärast tulenevate riskide maandamine).

Vahtre: Teenuse vaates saab seda mingil määral paketeerida, kuid kokkuvõttes läheb see väga kliendispetsiifiliseks välja, kuna nõustamiseks kuluv töömaht on väga erinev.

Mühlberg: Oleme ka paketeerimist teinud, tõstes kokku teenused, mis omavahel kokku sobivad ja levinumaid vajadusi teenindavad. Aga päeva lõpuks lähtume ikkagi sellest, mida klient vajab. On väga tervitatav, kui meie poole pöördutakse ilma varasemate teadmiste ja taustata, siis aitame kliendil teha esimesed sammud. Pole vahet, kas soovitakse arendada sisemist võimekust või otsitakse partnerit, mõlemal juhul oleme abiks.

Kes on ettevõtetes KPMG partneriks küberturbe küsimustes? On see IT-juht – aga kõigis ettevõtetes pole ju IT-juhti – või on see tippjuhtkond või keegi kolmas?

Mühlberg: Partneriks sobivad erinevad inimesed. See võib olla tippjuhtkonna esindaja, infoturbejuht, tehnoloogiajuht. Sõltub, kuidas on ettevõttes delegeeritud valdkondlik vastutus.