10 minute read
Liisa Past: küberturvalisus algab läbimõtlemisest
Foto: Vallo Kruuser
Liisa Past:
Advertisement
küberturvalisus algab läbimõtlemisest
Digitaalne elu- ja tööviis kätkeb eneses nii suuri võimalusi kui ka suuri riske. Riskide läbimõtlemine ja arukas riskijuhtimine aitab kahjudest hoiduda või neid võimalikult väiksena hoida.
Majandus- ja kommunikatsiooniministeeriumi riiklik küberjuht Liisa Past võrdleb küberturvalisust füüsilisega – selleks et midagi kaitsta, tuleb esmalt aru saada, mida kaitstakse ja kui põhjalikku kaitset on vaja. Seejärel leiab õiged kaitsemeetmed. „Uks, millest käiakse kord aastas, võib olla kasvõi kinni plommitud. Uks, millest on vaja iga päev käia, peab avanema kergelt. Euroalused seisavad teinekord tootmishoone taga, ju ei vaja need erikaitset. Tootmistehnika ja kontoriarvutid seevastu peavad olema korralikult kaitstud,“ arutleb ta.
Mida tööstusettevõttel kübermaailmas kaitsta tuleks?
Eelkõige sõltub see ettevõttest endast. Kindlasti väärib kaitset ettevõtte intellektuaalne omand – ärisaladuste võõrastesse kätesse sattumine võib tootjat tugevalt kahjustada. Oluline teema on ka töötajate andmed – nii isikuandmed kui ka näiteks töölepingute sisu.
Ka ettevõtte toode ise – kui ta on näiteks kõrgtehnoloogiline – võib vajada küberkaitse või infoturbe elementi.
Oluline on lisaks mõelda, kui palju ettevõte võimalikust infovargusest või sabotaažist kahju saaks. Kui tead, mis on võimalik kahju, kui andmed või tehnoloogia n-ö jalutama lähevad, on kergem otsustada, kas vajatakse tugevamat kaitset või piisab tavaliselt küberhügieenist.
Igal juhul on ettevõttel vastutus korraldada oma varade kohane kaitsmine, lähtudes varadest ja riskidest.
Kas suurte ja väikeste ettevõtete vahel on küberkaitse vallas olulisi erinevusi?
Ettevõtte tegevusest – ka selle elektroonilisusest –, vajadustest ja riskidest sõltub rohkem kui suurusest. Olulised on tootmise ja toodete olemus, intellektuaalse omandi osakaal ja töötajate andmed.
Igas organisatsioonis peab olema inimene, kes haldab riske ja ohtusid. Väikeses ettevõttes võib see olla juht või omanik, suuremas on tõenäoliselt riskijuht või terve riskijuhtimise osakond. Sama infoturbe osas – suurel ettevõttel on keeruline läbi saada infoturbejuhita, väiksemas võib see roll olla kombineeritud. Infoturbevajadus on proportsioonis info- ja kommunikatsioonitehnoloogia kasutuse ning sellest sõltumisega. Kui kogu digitaalne teenus ja kõik infosüsteemid ostetakse sisse, on oluline hankides ka nende turvalisust silmas pidada.
Ka ärisaladusel on eri ettevõtete jaoks erinev tähendus. Tuleks läbi mõelda, mida see ettevõttele tähendaks, kui andmed muutuksid asjasse mittepuutuvatele osapooltele kättesaadavaks.
Mis võiks olla esmane, millele ettevõtja oma äri küberkaitsel mõtleb?
Infoturve koosneb kolmest komponendist. Esmalt käideldavus – kõik vajalik peab olema kättesaadav ja kasutatav siis, kui seda vaja läheb. See puudutab nii infot kui ka tootmisvõimalusi, inimesi, andmeid ja kõike muud, mida ettevõte vajab. Siin tuleb läbi mõelda, mida edukaks tegutsemiseks vaja on, mis juhtub, kui näiteks infosüsteem ei avane vajalikul hetkel ja selle taaskäivitus ei ole lihtne.
Teine oluline teema on konfidentsiaalsus – privaatsus ja ärisaladused. Ligipääs peab olema neil, kel on infot vaja, ning info peab olema kaitstud nende eest, kel ligipääsuõigust pole. Sama lugu on isikuandmetega – iga töötaja peab saama kätte enda andmed, kuid mitte teiste omi.
Kolmas oluline teema on terviklikkus. Siin tuleks mõelda, kas andmed, millega töötan, on usaldusväärsed. Sellele mõeldakse tavaliselt kõige vähem. Näiteks oleme ärihoonetes harjunud usaldama erinevaid andureid – kasvõi temperatuuri- ja niiskusemõõtjaid –, aga tuleks mõelda ka sellele, kas nendega on võimalik manipuleerida ja niimoodi valeinfot saata. Ja mida see enesega kaasa tooks? Tihti reageerib andurite sisendile ju automaatika.
Kas Eestis on tervikluse ründed sagedased?
Pigem on neid praegu vähem. Aga sellest hoolimata on see teema väärt läbimõtlemist. Peaaegu kõik tootmisprotsessid on keskkonna muutuste vastu tundlikud. Kui peaks tekkima olukord, et kontrollsüsteemi ei saa usaldada, tähendab see ettevõttele väga suuri probleeme. Kui sensori info on vale, teeb kas süsteem või inimene vale otsuse.
Siin on oluline vaadelda kogu oma äri tervikuna. Kui temperatuuriandmed pole olulised, pole vaja selle teemaga tegeleda. Kui aga on, näiteks loomakasvatuse, toidutootmise või kõrgtehnoloogia puhul, võib andmete viga ja nende alusel tehtud vale otsus tuua eksistentsiaalse kahju.
Muu hulgas võiks mõelda sellele, kuidas ettevõtte andmed liiguvad. Oluline on, et see ei toimu kanalites või viisidel, kus pahatahtlik osapool saab neile ligi või neid muuta.
Kuhu need andmed liikuda võivad?
See sõltub sellest, milliseid süsteeme kasutatakse. Jällegi tuleb riskid läbi mõelda. Kui kellegi kodutemperatuuri andmed peaksid näiteks kasutusel oleva koduautomaatika lahenduse tõttu liikuma väljaspoole Euroopa Liitu, on selles mõningane oht. Aga kui määratlemata suunas liiguvad andmed tootmise üksikasjade kohta? See looks ettevõttele tegevusriski.
Siin võiks tõmmata paralleeli valvekaameratega – neid on turul väga erineva hinna ja väga erinevate turvatasemetega. Kui kaamera näitab pilti laohooneesisest platsist, võib olla vähem oluline, kes seda pilti veel näevad, seega võibki ehk selle riski aktsepteerida ja piirduda lihtsa ja odava turvakaameraga. Kui kaamera on paigutatud tootmisliini juurde, tuleks turvateemasse tõsisemalt suhtuda.
Kuivõrd Eesti tööstusettevõtted teie hinnangul küberkaitsest teavad?
Pilt on väga kirju. On ettevõtteid, kus infoturve on väga põhjalikult läbi mõeldud ja riskid maandatud. Selliste hulgas on nii kohalikke ettevõtteid kui ka rahvusvahelisi tegijaid. Kindlasti aitab, kui on juurutatud infoturbe juhtimise süsteem ja järgitakse vastavat ISO standardit ja Eesti infoturbestandardit (E-ITS).
Aga on ka ettevõtteid, kus see teema pole seni päevakorda kerkinud.
Foto: Shutterstock
Kas turvalisusega on võimalik ka üle pingutada?
Teoreetiliselt jah, on võimalik investeerida turvasüsteemi liiga palju või võtta kasutusele ebaproportsionaalseid meetmeid.
Naljaga pooleks räägime, et on võimalik luua 100% konfidentsiaalsus ja terviklus – tõmbad stepsli seinast, eemaldad võrguühenduse, paned seadme kasti, valad kasti betooni ja uputad ookeani. Nii on konfidentsiaalsus ja terviklus tagatud, aga käideldavusega ehk kasutatavusega läheb keeruliseks. Kindlasti ei saa sellist lahendust optimaalseks nimetada.
Ma ütleksin, et on okei mõnda riski aktsepteerida, aga ei ole okei riske mitte teada. Õige turvakäitumise taga ongi teadlikkus ja läbimõeldus. Kindlasti peaks olema läbi mõeldud ka see, mida tehakse, kui midagi on läinud valesti.
Kui ohtlikud on serverite ja kodulehtede vastu suunatud rünnakud?
Teenustõkestusründed, mis üritavad veebilehti või -teenuseid päringutega ummistada, on igapäevased. Vajadus nende vastu kaitsta sõltub jällegi ettevõttest. Kui ettevõte hindab, et midagi ei juhtu, kui nende teenused on internetis paar tundi või isegi paar päeva maas või lausa ei olegi taastatavad, ei ole vaja ka nende kaitsmisele mõelda. Kui aga koduleht on väga oluline osa ettevõtte toimimisest, siis on majanduskahju selle ründamisest kohe tuntav ja tuleb leida riskiga proportsionaalsed viisid enda kaitsmiseks.
Tähtis on ka see, et erinevad infosüsteemid oleksid eraldi – et näiteks kontoriarvuti kaudu ei saaks rünnata tootmist või laoprogramme ja vastupidi ega internetti avatud teenuse kaudu jõua ründaja näiteks välja tootmisautomaatikani. Isegi kui kahju tekitatakse, on see sel juhul väiksem ja vähemalt osa ettevõttest saab edasi tegutseda.
Kuidas on lood Eestis inimeste turvalise käitumisega?
Aina paremini, aga „õngitsejaid“ jätkub endiselt ja on ka neid, kes ohvriks langevad. See on tõsi ka nii-öelda tegevjuhi pettuse osas, kus juht justkui kirjutab kiirete või ebatavaliste ülesannetega. Selle takistamiseks on lihtne põhimõte: kui kahtlane, siis küsi. Kindlasti võiks ettevõtte raamatupidaja tähelepanu köita justkui juhilt tulnud meil, millel on kummaline aadress ja veider eesti keel. Kui sellise kirjaga nõutakse mõne arve tasumist, tuleks kindlasti juhilt üle küsida.
Mida saab igaüks oma turvalisuse suurendamiseks teha?
Elektrooniline identiteet on oluline. Kus võimalik, soovitan kasutada ID-kaarti või mobiil-ID-d, sisuliselt vähendades riski riigi tagatud süsteemi kasutades. Kus see ei ole võimalik, kasutab hea autentimissüsteem mitut faktorit. Vaja on vähemalt kahte kolmest: midagi, mida sa tead, midagi, mis sa oled, ja midagi, mis sul on. Näiteks kasutajanimi ja telefon, kuhu saadetakse kood. Või kasutajanimi ja sõrmejälg. See on turvalisem kui kasutajanimi ja parool, sest need kuuluvad ühte kategooriasse – midagi, mida teatakse.
Ettevõtte puhul on keskne vastutus oma varade kaitsmisel riskide ja ohtude eest. Igaüks peaks teadma, mis on tema jaoks turvalisust ja kaitset vajav ning kus on protsessis kaitsemeetmed. 100% turvalisuse tagamine on väga keeruline ja kallis, enamasti käib mäng komakohtadega pärast 99%.
Suure osa digitaalse elu riske saab maandada järgides üldisi reegleid ja soovitusi. Muu hulgas võiks tutvuda cert.ee ja ria.ee lehekülgedel oleva infoga, Eesti riik on teinud küberturvalisuse edendamiseks ja teadlikkuse suurendamiseks päris palju.
Adven & koostöö
Adven pakub tööstustele auru-, kütte- ja jahutusteenuseid ning tööstuslikku veetöötlust. Meie abiga on oma energiakasutuse tõhusaks saanud ettevõtted nii toiduaine- ja joogitööstusest, keemia- ja farmaatsiatööstusest kui ka metalli-, metsa- ja paberitööstusest.
Miks Adven?
• Süveneme kliendi vajadusse põhjalikult ja hoolitseme selle eest, et ressursid saaksid parimal moel kasutatud. Vahel saame kasutada energiatootmiseks tööstuse jääke.
Teinekord tasub tõhusaks energiakasutuseks ümber korraldada ka tootmisprotsess − pakume selleks lahenduse. • Peame silmas pikaajalist ja keskkonda säästvat vaadet. Meie abiga saab tööstus üle minna taastuvenergiale, kahandades keskkonnamõju ning täites CO2 heitkoguste vähendamise eesmärke ja nõudeid. • Meie unikaalse Energy as a Servicer teenusmudeli abil saab tööstusettevõte ise keskenduda põhitegevusele ning jätta energialahenduse investeeringud, haldamise ja arendamise oma ala asjatundjate hooleks. • Oleme usaldusväärne partner, kes väärtustab pikaajalisi koostöösuhteid ja võtab kvaliteetse teenuse eest täieliku vastutuse. Tegutseme lisaks Eestile ka Soomes,
Rootsis, Lätis, Norras ja Hollandis. Rahvusvahelise meeskonnaga saame pakkuda tööstustele energialahendusi mitmes riigis.
Pildil tegelevad vanemteadur Martinš Sarkans (esiplaanil) ja vanemteadur Meelis Pohlak tööstusroboti programmeerimise ja eelseadistamisega toodete täisautomatiseeritud 3D mõõtmiseks.
Foto: TalTech
Eesti tööstusel on siin palju võita.
Eesti tööstusettevõtted on digitaaltehnoloogiate juurutamise algusjärgus, aga nende huvi ja aktiivsus digitaliseerimise ja automatiseerimise lahenduste vastu on suur, sõnab Tööstuse Kompetentsikeskuse IMECC asutaja ja juht Jüri Riives.
Tekst:
Kaire Tammer, AIRE turundusjuht V äiksed ja keskmise suurusega tööstusettevõtted saavad digitaliseerimise teekonnal tuge tehisintellekti ja robootikakeskusest AIRE (AI & Robotics Estonia). Keskuse peamine eesmärk on tõsta Eesti tööstusettevõtete konkurentsivõimet, aidates neil kasutusele võtta tehisintellekti ja robootika lahendusi.
VTAd (vähese tähtsusega abi) kasutades on AIRE keskuse teenused tööstusettevõtetele tasuta.
AIRE keskust toetab kogenud ettevõtjatest koosnev nõuandev kogu, mille eesmärk on viia Eesti teadlased ja tööstus omavahel lähemale, et toetada tööstusettevõtete innovatsiooni.
Nõuandva kogu moodustavad Riigikogu liige Andres Sutt, ABB Balticsi juht Jukka Patrikainen, Ericsson Eesti juht Andrus Durejko ning Krimelte juht Jaan Puusaag.
Miks peaks väiketööstus täna vaatama digitaliseerimise suunas?
hõivatutest. Kui VKEd on elujõulised, on elujõuline ka Eesti majandus. Edukamad neist on juba investeerinud tootmise automatiseerimisse ja innovatsiooni, sest ilma selleta ei püsinuks nad konkurentsis. Väga paljudel VKEdel on aga need investeeringud veel ees ja see avab uusi võimalusi.“
Ericsson Eesti juht Andrus Durejko: „Globaalses majanduses toimub praegu tootmise ümberjagamine. Eesti tööstusel on siin palju võita, kui suudetakse suurema lisandväärtusega töid siia tuua, tänu oma efektiivsuse tõusule. Täna on rasked ajad, see on selge. Aga just kriisides tehakse suuri muutusi, selles seatakse vundament kasvule.
Lisaks kulude kokkuhoiule tuleb vaadata just täna innovatsiooni poole. Sellised olukorrad sunnivad muutusi tegema.“
Oma mõtetega toetas ABB Eesti juhatuse esimees Jukka Patrikainen, kes rõhutas, et Eesti konkurentsieeliseks ei ole enam odav tööjõud ning seepärast on hädavajalik suurendada teadlikkust, kuidas automatiseerimise ja robotiseerimise abil suurendada tööstuse efektiivsust. Ta lisas: „Õnneks on selleks vajalikud tehnoloogiad olemas ning ma näen meie rolli selles, et julgustada investeeringuid robotiseerimisse ning automatiseerimisse.“
Milliseid võimalusi pakub tööstusettevõtetele tehisintellekti ja robootikakeskus AIRE?
Alates 2021. aasta oktoobrist teenuseid piloteeriv AIRE keskus on toetanud 75 Eesti tööstusettevõtte digitaliseerimist ja konkurentsivõime tõusu. Keskus on nõustanud, koolitanud ning viinud kokku ettevõtte vajadused ja Eesti teadlaste pakutud kõrgtehnoloogilised lahendused.
Keskusel on kuus osapoolt – riigi esindaja ja kaasrahastaja majandus- ja kommunikatsiooniministeerium, juhtpartner Tallinna Tehnikaülikool ning Tartu Ülikool, Eesti Maaülikool, teadus- ja ärilinnak Tehnopol, Tartu Teaduspark ja kompetentsikeskus IMECC. Tule osale koolitustel ja kogukonna üritustel
AIRE keskus pakub väikese ja keskmise suurusega tootmisettevõtetele koolitusi:
VTA näol on koolitus sihtgrupile tasuta.
29.11 „Hetke ja tuleviku olukord robotiseerimises Eestis ja maailmas – arutelu eksperdiga“.
EMU, Webinar 7.12 „Inimkeskne kõrgtehnoloogia tulevikutehastes“. TÜ,
Webinar 13.–14.12 „Robotiseerimine praktikas – robotiseerimise otstarbekuse analüüs, otsustusprotsess ja praktilised rakendusnäited“. IMECC 12.01 „Küberturvalisus tööstusettevõttes – ohud, trendid ja riskid“. Webinar
https://aire-edih.eu/koolitused
AIRE klubi #11, 1. detsembril Saaremaal
AIRE üritus, kus oma innustavaid kasutusjuhtusid tutvustavad Sporrong Eesti ja Incap Estonia. Sporrong Eesti: tehisintellekti rakendamine happejääkide muutmiseks kasulikeks vahenditeks. Tarmo Rannak Incap Estonia: väljakutsed ettevõtte konkurentsivõime tõstmiseks. Tiit Priske Tehisintellekti ja robootikalahenduste näiteid Eesti tööstusettevõtetest ning AIRE teenuste praktiline näitlikustamine
Incap Electronics põhjal.
Roger Allas (Lean Digital OÜ)
https://aire-edih.eu/aire-klubi/
AIRE keskust kaasrahastavad Euroopa Liit (AI & Robotics Estonia – EDIH) „European Digital Innovation Hubs“ programmist (projekti number 101083677) ning majandus- ja kommunikatsiooniministeerium.
AIRE klubid- Pildid iga kuu toimuvatest kogukonnaüritustest- AIRE klubidest. AIRE klubi on ürituste seeria, mille eesmärk on luua vaba ja vahetu keskkond robootika ja tehisintellekti valdkonna huvilistele kogemuslugude jagamiseks ning omavaheliseks suhtlemiseks ja võrgustumiseks. Oodatud on kõik huvilised, tööstusettevõtete, teadus- ja arendusasutuste, erialaliitude, tugiorganisatsioonide ja rahastajate esindajad.
