Kyberuhat voivat lamauttaa koko liiketoiminnan

Mitkä ovat tällä hetkellä suurimmat ongelmat yritysten tietoturvassa?
Onko eroa pienten ja suurten yritysten välillä?

Samu Konttinen: ”Kiristyshaittaohjelmat ovat yksi merkittävimmistä ongelmista. Ne ovat yhtä lailla niin isojen kuin pientenkin yhtiöiden ongelma. Isommilla yhtiöillä it-ympäristöt ovat hyvin monimutkaisia ja kattavan suojauksen rakentaminen on siksi haastavampaa kuin pienillä yhtiöillä.

Perustilanne lähtee jo siitä, että kaikkien it-järjestelmien pitäisi pysyä edes ajan tasalla viimeisten päivitysten osalta. Tämä on haaste jo silloin, kun it-ympäristö on hyvin laaja.

Kyseessä on hyvin tyypillinen hyökkäys­vektori verkkorikollisille: he hyödyntävät tunnettuja haavoittuvuuksia, koska yritykset eivät ehdi ajoissa päivittää järjestelmiään. Ihmiset ovat usein myös se heikoin lenkki, ja mitä enemmän on henkilökuntaa, sitä vaikeampi on kouluttaa kaikkia työntekijöitä.

Tietoturva tulisi nähdä osana yrityksen liiketoimintaa ja sen varmistusta, ei vain kustannuseränä tai vastauksena sääntelyyn, sanoo F-Securen hallituksen jäsen Päivi Rekonen.

Päivi Rekonen: ”Teknologia- ja it-osaamisen lisäksi tarvitaan edelleen säännöllistä kyberturvallisuuden ymmärryksen lisäämistä, koulutusten, esimerkkien ja kommunikoinnin avulla. Kokemukseni isoista yrityksistä on, että systemaattinen ja säännöllinen tiedotus ja koulutus kyberturvallisuudesta ovat erittäin tärkeitä asioita.”

Johtuvatko ongelmat it-osaamisen puutteesta yrityksissä tai onko it-osaaminen liian kapealla pohjalla, vähän osaajia?

SK: ”It-osaamista on melko hyvin tällä hetkellä, mutta tietoturvaosaajista on huikea pula. Joidenkin arvioiden mukaan tällä hetkellä on yli 1 500 000 avointa työpaikkaa henkilöille, jotka hallitsevat globaalin kyberturvan vaatimukset.”

Onko tänä päivänä ongelmana tietojärjestelmien monimutkaisuus eli se, että on paljon tietojärjestelmiä, joiden hallinta yhdessä yrityksessä voi olla lievästi sanoen haasteellista?

SK: ”Juuri näin, järjestelmät ovat monimutkaisia ja kun kaikki digitalisoituu, haasteet tietoturvan osalta vaan kasvavat.”

Onko ihminen tietoturvan heikoin lenkki?

It-osaamista on melko hyvin tällä hetkellä, mutta tietoturvaosaajista on huikea pula, sanoo F-Securen toimitusjohtaja Samu Konttinen.

SK: ”Hyvin usein näin on. Yksi tyypillisistä hyökkäyksistä on kalastelusähköpostit (phishing emails). Niissä hyökkääjät hyödyntävät psykologiaa saaden ihmiset avaamaan sähköposteja tai klikkaamaan linkkejä, joiden takaa sitten haittaohjelma aktivoituu.”

Onko tietoturvallisuusongelmien taustalla teknologisia ongelmia, esimerkiksi tietoliikenneverkkoon liittyviä ongelmia?

SK: ”Täysin tietoturvallisia ympäristöjä on hyvin vaikea rakentaa. Kaikki on lähtökohtaisesti hakkeroitavissa. Onkin tärkeä pystyä havainnoimaan hyökkäyksiä, koska täydellinen estäminen ei onnistu. Jos hyökkäykset havaitaan ajoissa, voidaan vahinkoja estää, vaikka itse hyökkäystä ei pystytty estämään.”

Ovatko yritykset suojautuneet tarpeeksi hyvin esimerkiksi kyber- ja palvelunestohyökkäyksiä vastaan?

SK: ”Valtaosalla on suuria puutteita. Juuri edellä mainitsemani kyvykkyydet havaita tietomurrot ajoissa ja reagoida hyökkäyksiin, esimerkiksi palvelunestohyökkäyksiin, on monesti vielä hyvin alkeellisella tasolla.”

Onko kyberhyökkäyksille hyvää suomenkielistä termiä?

SK, PR: ”Emmepä keksi, termi on siis hyvin kuvaava.”

Minkälaisissa tai minkä alan yrityksissä tietoturvariskit ovat suurimmat?

SK: ”Verkkorikolliset eivät aina hirveästi kohdenna hyökkäyksiään, koska motiivina on raha, ja se on yrityksestä riippumatta samaa.

Valtiolliselle vaikuttamiselle tai tiedustelutoiminnalle taas kohteita ovat organisaatiot, joissa tehdään poliittiset päätökset, ja esimerkiksi kriittinen infrastruktuuri voi joillekin toimijoille olla kohde. ”Haktivistit” voivat myös kohdentaa joitain toimialoja, kun he ajavat omia asioitaan.

Miten neuvoisitte yrityksen johtoryhmää, jotta yrityksen tietoturva olisi riittävän hyvällä tasolla?
Mitkä ovat kolme keskeisintä asiaa yrityksen tietoturvan parantamisessa?

SK:n kolme neuvoa:

1. Kannattaa testata eettisillä hakkereilla oma tietoturvan taso, mieluummin kuin aidossa hyökkäyksessä oppia kantapään kautta.

2. Hyökkäysten havainnointiin kannattaa panostaa, koska täydellinen estäminen ei onnistu.

3. Kannattaa kartoittaa ne osa-alueet yhtiöstä, joihin hyökkäys aiheuttaisi suurimmat vahingot yhtiön liiketoiminnalle ja maineelle, ja katsoa, että niissä turva on riittävällä tasolla. Usein tämä ei ole yhtiön johdolle riittävän kirkkaana selvillä, eli miksi me olisimme kohde hyökkäykselle?

Lisäkysymyksenä voi esittää: Mikä on yrityksen hallituksen rooli tietoturva-asioissa?

PR: ”Hallituksen tulisi pyytää toimivaa johtoa selventämään, kuinka tietoturva-asioita hoidetaan, mitä ovat edellä mainitut osa-alueet, missä suurimmat vahingot ovat mahdollisia, mitä ja miten muita riskejä on määritelty ja kuinka kokonaisuutta hallitaan.

Lisäksi tulisi selventää, onko kyberturvallisuudesta tehty oma strategia ja suunnitelma sekä sisältyykö siihen kriisinjohtamisen ja viestinnän suunnitelma.”

Elämme yhä enemmän digitalisoituvassa maailmassa.
Mitä yrityksessä pitäisi ottaa huomioon, kun digitalisaation astetta yrityksessä nostetaan?

SK: ”Tietoturva täytyy huomioida alusta alkaen. Liian usein sitä aletaan miettiä sitten myöhemmin, tai kun jotain on jo tapahtunut. Eli yritysten tulee ottaa tietoturva mukaan osana suunnittelua alusta lähtien.

PR: ”Tietoturva tulisi nähdä osana yrityksen liiketoimintaa ja sen varmistusta, ei vain kustannuseränä tai vastauksena sääntelyyn. Olisi hyvä selventää, kuinka korkealla kyberturvallisuus on yrityksen prioriteettilistalla, esimerkiksi ymmärtämällä, kuinka hyvin asiakastietoja suojellaan mahdollisia kyberhyökkäyksiä vastaan.”

Miten digitaalista osaamista yrityksissä kehitettäisiin parhaiten?
Mitä kaikkien yrityksen työntekijöiden pitäisi ymmärtää esimerkiksi kyberturvallisuudesta?

SK: ”Yhtiö voi monella tapaa simuloida hyökkäyksiä itselleen, niissä käytännön kautta oppii.”

PR: ”Koulutus ja tiedotus kyberturvallisuudesta on kaikkien työntekijöiden etu, ei vain it-osaston velvollisuus. Henkilöstön tietotaitoa tulee päivittää jatkuvasti.”

Mikä on Suomen yrityksissä tietoturvallisuuden taso suhteessa muihin maihin?
Mikä maa voisi olla meille esimerkkinä?

SK: ”Suomessa ei olla merkittävästi ketään perässä, mutta parannettavaa on. Etenkin se havainnointipuoli ja miten reagoida havainnon jälkeen.”