Artur Praun: küberturvalisusele vilistades on potentsiaalne rahaline kahju teisejärguline – mainekahju on see, mis viib ettevõtte hauda
Küberohud kummitavad kõiki ettevõtteid ning kuigi suuremaid organisatsioone ei löö rumala pettuse tõttu peotäie raha kaotamine põlvili, siis ei tähenda see, et küberturvalisusele vilistades hetkel istumise all olevat oksa ei saetaks. Raha kaotamine pole küll kunagi tervitatav, kuid ka kõige suurem ühekordne finantskahju kahvatub potentsiaalsete riskide ees, mida toob endaga kaasa tõsisema rünnaku ohvriks sattumisest tulenev mainekahju, räägib Elisa ärikliendiüksuse juht Artur Praun.
Õngitsuspettuse või kergema krüpto-lunavara rünnaku ohvriks on lihtne langeda, kuid harilikult on selliste ründevektorite kahju üsnagi selgelt piiritletud. Paremal juhul päädib asi mõne tuhande euro kaotamisega, hullemal juhul võib makstava kooliraha järgi kirjutada märksa rohkem nulle. Kui organisatsioon on varem küberturvalisusesse suhtunud kui millessegi teisejärgulisse, siis aitab selliste pettuste ja “kergemate” rünnakute ohvriks sattumine harilikult juhtkonna õigele teele raputada ja panna ohud finantsilisse konteksti.
Aga see ongi vaid spektri lahjem ots ja kergelt pääsemine. Hetkel oli õppetunni tasuks korraks pangakonto kergitamine, kuid asjad võivad lõppeda ka palju-palju hullemini.
Ettevõtted sõidavad usalduse peal
Kui ettevõtte näol pole tegu just täieliku monopoliga, tagab pikaajalise ärilise edu klientide usaldus ja ettevõte maine. Kui need tugitalad kõikuma lüüakse ning kõrvalmajas tegutseb konkurent, kes tundub veidi viisakam, seatakse sammud kiirelt sinnapoole. Võibolla mitte kohe, aga ühel hetkel kindlasti.
See on ka nurk, kuhu on end väga lihtne värvida. Kui üks pool usalduse hoidmisel ja võitmisel on teenused ja tooted ise, siis tänapäeval on järjest olulisemal kohal ka see, kas äripartnerit või teenuseosutajat saab usaldada oma andmete ja digivaraga. Pea kõik ettevõtted omavad oma klientide kohta mingit hulka andmeid – olgu need meiliaadressid, krediitkaardinumbrid või isegi terviseinfo – ning vaikimisi eeldus on, et need andmed ei pane iialgi jooksu.
Olukorras, kus küberturvalisus on jäetud to-do listi viimaseks asjaks, või on lihtsalt tegu valdkonnaga, millele pole keegi kunagi mõelnud, ongi probleemid kiired tekkima. Kui läheb õnneks, siis raputab enne millegi hullema juhtumist selge mõistuse pähe väike finantsiline näpistus, kuid mida päev edasi, seda osavamaks ja sihikindlamaks muutuvad küberkurjategijad ning seda enam tõuseb risk, et ettevõte, kes ei panusta piisavalt oma klientide andmete kaitsmisele, saab esimese “küberšoki” kätte tõsisema rünnaku raames.
Kui see peakski juhtuma, on juba hilja midagi teha. Jah, kliente saab teavitada; jah, kahju ulatust saab üritada piirata; jah, saab lubada asju paremini teha. Aga mainekahju on sel hetkel juba tehtud. Ühe häkkeri lingilogistamine võib sekunditega hävitada aastate jooksul üles ehitatud maine ja usaldusväärsuse.
Kui läheb väga hästi, ei ole koheseks tulemuseks massiline klientide lahkumine ning piisava töö korral on võimalik aja jooksul oma maine vähemalt mingis ulatuses taastada. Aga selle aja jooksul on finantsiline kahju ja saamata jäänud tulu pea alati suurem, kui küberturvalisusesse investeerimine maksma oleks läinud.
Su Exceli tabel ei suuda mainekahju hinda välja arvutada
Ärid mõtlevad päeva lõpuks alati numbrites, aga kõiki stsenaariumeid ei saa Excelis sulaselgelt läbi arvutada. Pealiskaudselt vaadates võib olla lihtne mõelda, et aastas kümneid või sadu tuhandeid eurosid küberturvalisusele kulutada on ebamõistlik – meil on ju varukoopiad ja lähme pärast rünnakut eluga edasi – kuid see vaade on petlik. Edukad organisatsioonid vajavad ka head mainet. Kui see kaob, ei suuda võimalikke kahjusid välja arvutada ka kõige värvilisem tabel.
Piisavas hulgas küberturvalisusele mõtlemine on täna olulisem kui kunagi varem ning arvestades järjest kasvavat kliendi- ja äriandmete hulka, mis erinevate organisatsioonide käsutusse tekib, on see homme veelgi olulisem kui täna. Seega on selge, et jätkusuutlikule arengule panustav ettevõte ei saa jätta küberturvalisust millekski teisejärguliseks – see võib pakkuda lühiajalise kokkuhoiu, kuid varem või hiljem hammustavad tagajärjed nii tugevalt, et tulevikus enam midagi helget ei tundu. Oma mainega ei tasu mängida, isegi kui riskid tunduvad kaugelt vaadates minimaalsed.
