Häkkerid murdsid ettevõtte küberkaitsest läbi. Millised nõuded ja trahvid võivad nüüd tabada juhatuse liikmeid?

Olgu kohe öeldud, et praeguses artiklis on küll tuginetud CoinsPaidi näitele, kuid seda mitte kritiseerimise eesmärgil, vaid seetõttu, et CoinsPaid on eeskujulikult olnud ise avalikkuses nõus jagama oma kogemusi ja õppetunde.

Esimene rünnak 2023. aastal põhjustas 34 miljoni euro suuruse kahju, teine 2024. aasta jaanuaris 4 miljoni euro suuruse kahju. Nagu märkis ettevõtte juht, asutavad krüptofirmasid tavaliselt IT-spetsid või ettevõtjad, mitte professionaalsed pankurid või turvaeksperdid, mistõttu satuvad nad sageli häkkerite sihtmärgiks.

Äriseadustik sätestab juhatuse liikmetele kohustuse tegutseda ettevõtte huvides hoolsalt ja lojaalselt. Professionaalsed häkkerid tegutsevad organiseeritud gruppidena, lähenedes küberrünnakutele kui äriprojektile – kogutakse infot ohvri kohta, kontrollitakse haavatavusi, saadetakse õngitsuskirju ning kasutatakse spetsiaalset tarkvara. Sellises keskkonnas peab juhatus tagama piisavad turvameetmed.

Kui küberrünnak viib ettevõtte maksejõuetuseni või ohustab võlausaldajate huve, võivad viimased esitada nõudeid juhatuse vastu, väites, et juhatus ei täitnud oma kohustust kaitsta ettevõtte vara.

Kui juhatuse tegevusetus või hooletud tegutsemine põhjustab ettevõttele olulist kahju, võivad aktsionärid esitada derivatiivhagi, nõudes juhatuse liikmetelt kahju hüvitamist ettevõttele. CoinsPaidi puhul võeti 2024. aastal 20 miljoni euro suurune laen klientide vahendite tagamise kindlustamiseks, mis näitab rünnaku tõsist mõju ettevõtte finantsseisundile.

Kui ettevõte ei täida regulatiivseid nõudeid küberturvalisuse valdkonnas, võib see kaasa tuua sanktsioonid nii finantsjärelevalve kui andmekaitse valdkonnas.

Parim kahju vähendamise meede on selle ennetamine. Ettevõtted peavad investeerima nii ennetavatesse turvameetmetesse kui ka reageerimissuutlikkusesse. Hilisem rikkumise ja tekkinud kahju uurimine nõuab ettevõttelt märkimisväärselt ulatuslikumaid ressursse kui selle ennetamine.

CoinsPaid teavitas umbes 20 minuti jooksul pärast varguse toimumist organisatsioone, kes tegelevad kahtlaste tehingute jälitamisega plokiahelas, ning varastatud krüptovaluuta "märgistati", mis võimaldas selle edasist liikumist jälgida. Selline kiire reageerimine on eeskujulik. Finantskuritegude puhul liigutatakse vara teiste teenusepakkujate platvormidele väga kiirelt ümber.

Krüptofirmadel on olemas kogukond, kus jagatakse infot küberkuritegude kohta. Kõige tuntum häkkimisvastane organisatsioon on Crypto Defenders Alliance, kuhu kuuluvad suurte krüptoettevõtete tippjuhid ja vastavuskontrolli ametnikud, kes jagavad omavahel kohtueelselt juhtumeid.

Kuid koostöö oma valdkonna võrgustikega tuleb kasuks ka kõigis teistes sektorites. Palju odavam on õppida kolleegide kogemustest ja vigadest kui enda omadest.

Juhatuse liikmed peaksid tagama, et kõik turvaotsused ja riskihinnangud on korrektselt dokumenteeritud. See võib hilisemas kohtuvaidluses tõendada, et juhatus tegutses hoolsalt ja mõistlikult. Selle osas on kasulik kasutada õigusnõustajate abi, sest reaalsuses tuleks juba dokumente luues arvestada võimalusega, et dokument võib mingil hetkel leida oma tee kohtuniku silme ette.

Küberrünnakud on muutunud professionaalseks äriprojektiks, mis nõuab ettevõtetelt ja nende juhatustelt tõsist tähelepanu. Juhatuse liikmed peavad mõistma, et küberturvalisuse tagamine ei ole pelgalt IT-osakonna ülesanne, vaid strateegiline juhtimisküsimus, mis mõjutab otseselt nende isiklikku vastutust.

Juhatuse liikmed peavad regulaarselt hindama küberriske, investeerima piisavatesse turvameetmetesse, koolitama personali ning tagama kiire reageerimise võimekuse. Ainult selline terviklik lähenemine võib kaitsta nii ettevõtet kui ka juhatuse liikmeid isiklikult kasvava küberturvalisuse ohu eest.