KPMG: vähesest küberturvalisusest on saanud viimase kümnendi suurim oht ettevõtetele

Uuring toob välja kõige olulisemad tegurid, mida infoturbejuhid (CISO-d) peaksid 2025. aastal silmas pidama, et maandada riske, toetada äri kasvu ja suurendada organisatsiooni vastupanuvõimet. 

„2025. aastal seisavad infoturbejuhid ennenägematute valikute ees. AI, digitaalsed identiteedid, platvormide konsolideerimine ning tööjõupuudus muudavad mängureegleid igas sektoris. KPMG rahvusvaheline raport Cybersecurity Considerations 2025 heidab valgust peamistele arengutele ja ohukohtadele, millega organisatsioonid peavad arvestama, et püsida turvalisena ning konkurentsivõimelisena,“ lausub KPMG Baltics’i küberturvalisuse valdkonna juht Mihkel Kukk. 

Raport kirjeldab ka peamisi tegevusi, mida organisatsioonid saavad ellu viia, et kiirendada normaalse olukorra taastumist, vähendada intsidentide mõju töötajatele, klientidele ja partneritele ning tagada, et nende turvaplaanid toetaksid äritegevust, mitte ei seaks seda ohtu.

Raport algab realistliku tõdemusega: küberturvalisuse eest vastutav juht ei suuda tänaste infomahtude ja riskitasemega maailmas enam kõike üksinda hallata. Ülesanded jagunevad tiimide ja ärifunktsioonide vahel ning CISO roll on muutunud strateegiliseks, nõudes tihedat koostööd juhatuse ja teiste juhtidega. Nagu raportis välja tuuakse, siis küberturvalisus on tänaseks jagatud ja delegeeritud funktsioon.

Samuti kutsutakse CISO-sid üles harima end ja oma meeskondi AI-tehnoloogiate osas. Mitte ainult parimate meeskondade kokkupanekuks, vaid ka selleks, et mõista iga kasutusjuhtumi unikaalseid riske. Tiimide värbamisel ja arendamisel seisavad CISO-d silmitsi keeruka ülesandega moodustada meeskonnad, kes suudavad mõista AI keerukust ja ka sageli varjatud riske. Ülesannet raskendab valdkonna kiire innovatsioon ning raskesti hallatavad “vari-AI” kasutamise juhtumid, mis ettevõtetes esile kerkivad. Nii toobki raport esile nn AI riske – olukordi, kus töötajad kasutavad AI-tööriistu juhtkonna teadmata. See võib tuua kaasa läbipaistmatust ja õiguslikke libastumisi.

KPMG uuring toob esile, et kuigi AI ja automatiseerimine aitavad tööd tõhustada, on inimestel endiselt suur roll. Samas on pädeva personali puudus tõsine küsimus – koguni 52% avaliku sektori organisatsioonidest peab seda suurimaks takistuseks oma kübervõimekuse arendamisel.

AI muudab kahtlemata mängu, kuid ta vajab tööks usaldusväärseid andmeid. KPMG uuringu kohaselt on ainult 24% organisatsioonidest keskendunud andmekultuuri arendamisele ja andmete kvaliteedi tagamisele, mis on eelduseks AI usaldusväärsusele. Tehisintellekt võib küll olla suur abimees ohutuvastuses ja vastuste automatiseerimisel, kuid puuduliku kvaliteediga andmete korral on ka neil põhinevad otsused küsitava väärtusega. 

Raport toob esile ka selle, et organisatsioonid uputavad end järjest suuremasse kübertööriistade massi, mis omavahel ei suhtle. Seetõttu vaadatakse platvormide konsolideerimise poole – tööriistu on vaja pigem vähem, aga need olgu paremini integreeritud. See aitab suurendada nähtavust, tõhusust ja skaleeritavust, kuid sellega kaasnevad ka riskid, nagu liigse sõltuvuse oht ühest tootjast.

Raporti sõnul on AI kasutamine infoturbes nagu kahe teraga mõõk. See võib suurendada tõhusust SOC-s (Security Operations Center) ja aidata puuduvat tööjõudu kompenseerida. Aga ainult siis, kui baasasjad – uuenduste haldus, ligipääsukontrollid, logihaldus – on paigas. AI ei tee halvast küberturbest head, nendib raport otsekoheselt.

Identiteedihaldus on liikunud äärealadelt küberkaitse strateegia keskmesse, kuna süvavõltsingute (deepfake)-tehnoloogia areng seab ohtu traditsioonilised tuvastusmeetodid. Digitaalse identiteedi kaitse peab seetõttu tuginema dünaamilistele ja kontekstitundlikele kontrollidele, mis suudavad tuvastada nii inimese kui ka tema seadme käitumise. Interoperatiivsus ja regulatiivsed erinevused on siinjuures suurimad takistused.

Nutikad tooted on üha enam levinud – alates autodest ja meditsiiniseadmetest kuni kodumasinate ja asjade interneti (IoT) seadmeteni. Nii laieneb pidevalt ründevektor, kus põimuvad enneolematul viisil füüsilised ja digitaalsed ohud. Süvavõltsingute esiletõus ja digitaalsete varade, nagu näiteks endiselt suuresti reguleerimata krüptovaluutade taaslevik, muudavad need ohud keerukamaks, nõudes valvsust ja uuenduslikke vastumeetmeid.

Üks raporti läbivaid mõtteid on vajadus resilience by design’i ehk vastupanuvõime sisseehitamise järele. Küberturvalisus ei tohi olla tagantjärele lisatud kontrollikiht, vaid strateegiline osa äriprotsessidest. See tähendab kriitiliste äriprotsesside kaardistamist, riskistsenaariumide harjutamist ja valmisolekut tegutseda viivitamatult kriisi korral.

Tänased küberturvalisuse väljakutsed ületavad traditsiooniliste tehniliste oskuste piire, nõudes multidistsiplinaarset lähenemist. See hõlmab ka sügavat riskijuhtimise mõistmist ning mitmesuguseid pehmeid oskusi, nagu probleemilahendus, kriitiline mõtlemine ja suhtlemine. Küberturvalisuse spetsialistid võivad olla ebatraditsiooniliste taustadega, kuid peavad suutma kiiresti kohaneda ja omandada praktilisi teadmisi, mis ulatuvad kaugemale sellest, mida tavaliselt õpetatakse arvutiteaduse, tarkvarainseneeria või infotehnoloogia kraadiõppes. Küberturvalisuse spetsialistid peavad seadma esikohale olukorrast lähtuva riskihindamise, kaotamata samas vajadust selgete, kuid paindlike kontrollimehhanismide järele.

KPMG raport ei jäta kahtlust – küberturvalisus on liikunud nišiteemast ärikriitiliseks fookuseks. CISO roll laieneb, inimesed jäävad keskmesse ja AI vajab tugevat usalduse alust. Need, kes suudavad ühendada strateegia, tehnoloogia ja kultuuri, loovad endale kestliku eelise küberohtudega võitlemisel.