Välinpitämättömyys on vakavin uhka yrityksen kyberturvallisuudelle

Kyberturvallisuus koskettaa työturvallisuuden tavoin jokaista yritystä ja jokaista työntekijää. Kaikilla meillä on kosketus sähköisiin järjestelmiin. Uskomme mielellämme, että ne ovat turvallisia, ainakin niin kauan kuin mitään vakavaa ei ole tapahtunut.

Sähköisten ja verkotettujen järjestelmien turvallisuutta on kuitenkin helppo horjuttaa. Kyberturvallisuutta koetellaan jatkuvasti. Vihamieliset ja rikolliset tahot eivät lepää. Kun ne onnistuvat yrityksissään, törmätään muun muassa käsitteisiin hybridivaikuttaminen, phishing (tietojen kalastelu) ja social engineering (käyttäjän manipulointi).

Hybridivaikuttaminen liitetään yleensä valtioiden väliseen vakoilutoimintaan, mutta ei se ole tuntematonta yritysmaailmassakaan. Yrityksiin kohdistuvalla hybridivaikuttamisella pyritään hankkimaan esimerkiksi vaikutusvaltaa yhteistyön ja yrityskauppojen kautta. Näennäisen myötämielisyyden tarkoitus voi joskus olla jopa yrityksen tuhoaminen.

Kyberturvallisuuden uhat ja käsitteet on tunnettava. Yhdelläkään yrityksellä, koosta riippumatta, ei ole enää varaa olla kehittämättä kyberturvallisuuttaan.

Pelkkä sanojen tunteminen ei kuitenkaan poista tosiasiaa, että edelleen suuressa osassa pk-yrityksiä käsitteitä ei ole avattu, niiden merkitystä ei mielletä omaa toimintaa koskeviksi tai niihin suhtaudutaan välinpitämättömästi tai jopa pelokkaasti.

Onneksi kaikki on tässä suhteessa menossa parempaan suuntaan, kuten Helsingin seudun kauppakamarin tekemästä kyselytutkimuksesta ilmenee.

Yrityksille on tarjolla selkokielistä tietoa, apua ja työkaluja uhkien torjumiseen. Yritysten valtaosa onkin tutkimuksen mukaan tehnyt ainakin joitain tarvittavia toimia verkkotoimintansa turvaamiseksi. On ilmeistä, että kyberturvallisuus otetaan nyt vakavasti. Pk-yritysten kehittämistoimissa on kuitenkin runsaasti tehostettavaa.

(juttu jatkuu videon jälkeen)

Pro Pilvipalveluiden HSEQ-järjestelmä kalvosarjana

Olemme koostaneet ytimekkään kalvosarjan, jonka avulla voitte tutustua palvelutarjontaamme. Lataa pdf-muotoinen kalvosarja alla olevasta linkistä.

Lataa kalvosarja (pdf)

HSEQ-järjestelmä videona

www.propilvipalvelut.fi/pro-palveluiden-esittely

Koulutusta, rohkeutta ja tiedon ylläpitoa

Kyberturvallisuuden kehittämisen esteet pystytään yrityksessä ylittämään samoin keinoin kuin muutkin esteet. Johdon sitoutuminen, selkeät tavoitteet ja vastuut, tiedon hankinta, koulutus, henkilöstön motivointi ja tietotason jatkuva ylläpitäminen ovat kyberturvallisuuden ylläpidon avaintekijät.

Suurimmat esteet kyberturvallisuuden kehittämiselle ovat Helsingin seudun kauppakamarin tutkimuksen perusteella tiedon puute, työntekijöiden osaamisen ylläpito-ongelmat ja yleinen välinpitämättömyys.

Näihin ei kenenkään pitäisi suhtautua välinpitämättömästi, sillä kyberturvallisuuden kehittäminen on kilpajuoksu. Viereisellä radalla oleva rikollis- tai muu vihamielinen taho pyrkii olemaan koko ajan vähintään rinnan mitan edellä.

Tietoverkkoon tunkeutujan työtä helpottaa merkittävästi se, jos yrityksessä ei kyetä tunnistamaan tietoihin kajoamista, eikä tiedetä mitä sen toimintoja kenties halutaan urkkia. Tätä etumatkaa kilpajuoksussa ei pidä tarjota.

Oleellinen osa riskienhallintaa

Kyberturvallisuus on yhtä kuin digitaalinen turvallisuus. Sen kehittämiseksi on olemassa tapoja tietojen, laitteiden ja resurssien suojaamiseksi. Sama mikä koskee yrityksen tietojen turvaamista, koskee myös jokaisen henkilökohtaisia tietoja, tiedostoja ja verkkoyhteyksiä.

Tietojen kalastelu on jokapäiväistä ja maailmanlaajuista. Kyberrikollisuus on kasvuala ja lisääntyy kilpaa yritysten digitalisoitumisen kanssa. IT-järjestelmissä liikkuu valtava määrä kyberrikollisille rahanarvoista tietoa. Eri asteisista tietomurtoyrityksistä on tullut verkkotoimintojen arkipäivää myös pk-yrityksissä.

Onnistuneiden murtojen määrä on tutkimusten noin 20 prosentin luokkaa, mutta todellinen määrä lienee suurempi. Kaikkia tapahtumia ei haluta tuoda julki, eikä kaikkia edes huomata.

Kyberturvallisuudesta huolehtiminen on oleellinen osa yrityksen riskienhallintaa. Ei riitä, että turvallisuudesta ollaan huolissaan. Tarvitaan myös tekoja riskien poistamiseksi ja huolien minimoinniksi.

Ongelman vakavuudesta kertoo tosiasia, että rikostarkoituksessa tehtyjen kyberhyökkäysten rahallinen arvo ylittää jo maailmanlaajuisen huumekaupan rahallisen arvon. Kannattaa siis kartoittaa tarkkaan miten oman organisaation rahanarvoinen tieto on turvattu.

Tavanomaiset keinot kaikkein tärkeimmät

Kyberturvallisuuden kehittäminen pk-yrityksissä ja vastaavissa organisaatioissa ei välttämättä ole suuri investointikysymys. Kaikkein tärkeintä on huolehtia siitä, että pidetään kiinni tavanomaisista turvallisuusratkaisuista.

Esimerkiksi Liikenne- ja turvallisuusviraston Kyberturvallisuuskeskus korostaa tavanomaisten ratkaisujen tärkeyttä. Sen mukaan suurin osa tietoturvapoikkeamista voidaan välttää, kun huolehditaan ohjelmistopäivityksistä, hyvistä salasanakäytänteistä ja luodaan organisaatioon hyvä tietoturvakulttuuri ja valvotaan, että sitä noudatetaan.

Pohjimmiltaan kyberturvallisuus on yhtä tavanomainen asia kuin työturvallisuus. On olemassa säännöt, joiden mukaan toimitaan. Aivan kuin työturvallisuus, kuuluu myös kyberturvallisuus kaikille. Se on osa koko yrityksen turvallisuutta. Siinäkin on otettava tavoitteeksi ”työtapaturmien” nollalinja.

Jos omat resurssit eivät riitä turvallisuuden rakentamiseen niin turvallisuutta voi myös ostaa. Tarjontaa on runsaasti.

Vauhdittajina Covid, etätyö ja Venäjän hyökkäyssota

Kyberturvallisuus ei ole mikään uusi huolenaihe, mutta viime aikojen maailmanlaajuinen Covid-pandemia ja viimeksi Venäjän aloittama hyökkäyssota Ukrainassa ovat tuoneet kyberturvallisuuden taas vahvasti agendalle.

Covidin pakottamana etätyöhön siirryttiin kaikkialla maailmassa varsin nopeasti, eikä kaikkiin sen mukanaan tuomiin tietoturvaongelmiin ehditty varautua. Niinpä ei ole ihme, että puolet yrityksistä (Helsingin seudun kauppakamarin tutkimus) kokee etätöiden lisänneen tietoturvariskejä.

Tämä on pitävä todiste siitä, että yritysten riskienhallinta on ollut puutteellista. Nyt kun seuraukset tiedetään, on korkein aika varautua vastaaviin kriiseihin ja luoda uudenlaisia turvaratkaisuja. Niitä kehitettäessä on tärkeää pitää mielessä tämänhetkinen hyvin epävarma maailmantilanne. Kukaan ei juuri nyt pysty varmasti sanomaan mitä edes lähitulevaisuus tuo tullessaan.

Venäjän aloittaman sodan vaikutukset tuntuvat paitsi valtiollisella tasolla myös yrityksissä. Yleiseen infrastruktuuriin mahdollisesti kohdistuvat hyökkäykset vaativat nopeaa reagointia myös yrityksissä. Yrityksen ulkopuolisen toiminnan häiriöihin on vaikea ja jopa mahdotonta vaikuttaa, mutta niihin voidaan ennakoitavasti varautua.

Kybersäätä ennustetaan

Liikenne ja turvallisuusviraston Kyberturvallisuuskeskus on hyvä lähde, jos yrityksessä halutaan seurata yleisen ”kyberilmaston” kehittymistä ja pohtia mihin kannattaa satsata. Kyberturvallisuuskeskus antaa kuukausittain kybersäätiedotteen. Se luokittelee sään joko rauhalliseksi, huolestuttavaksi tai vakavaksi, riippuen kulloisenkin ajankohdan havaituista uhkista.

Esimerkiksi vuoden 2022 kesän ja syksyn aikana vakavan kybersään kärkeen nousivat kirityshaittaohjelmat, huijaukset ja tietojen kalastelu. Samaa tapahtuu vastaisuudessakin. Säätiedotus varoittaa kirjautumisyrityksistä yritysten tietojärjestelmiin, haittaohjelmien levittämisyrityksistä ja pienten yritysten verkkotunnusten ja sometilien kaappauksista.

Kyberturvallisuuden järkyttämisessä on tavoitteena aiheuttaa pelkoa, hämmennystä ja sekaannusta yrityksissä. Rikollistahot pyrkivät myös rapauttamaan luottamusta yhteiskuntaa ja sen instituutioita kohtaan.

Kyberrikollisuutta ei pystytä kokonaan nujertamaan. Rahallisesti tuottoisten rikosten tekijät eivät luovuta. Rikosten potentiaalisina kohteina yrityksen rooli on turvata oma toimintansa kaikin käytettävissä olevin keinoin.