IT-turvallisuus

Kyberrikollisuus käy kalliiksi

Kyberrikollisuuden määrä on kasvussa. Rikoksista koituu vuosittain suuria kustannuksia niin yksilöille, organisaatioille kuin yhteiskunnallekin. Tutkimusten mukaan pohjoismaiset yritykset eivät useinkaan ole varautuneet kyberhyökkäyksiin.

Kyberrikollisuus lisääntyy jatkuvasti. Rikokset vaihtelevat eläkeläisten huijaamisesta globaaleihin suuryrityksiin kohdistuviin miljardien kiristysyrityksiin. Uusista tutkimuksista käy ilmi, että myös valtion virastot ja yhteiskunnallisesti tärkeä infrastruktuuri ovat nykyään tavallisia kohteita.

Maailman talousfoorumin (World Economic Forum, WEF) arvion mukaan kyberrikollisuuden kokonaiskustannukset maailmanlaajuisesti ovat yli biljoona dollaria. Summaa voi verrata luonnonkatastrofien kustannuksiin, jotka olivat ennätysvuonna 2017 300 miljardia dollaria. Hakkerien hyökkäyksen kohteeksi joutuminen maksaa yritykselle keskimäärin arviolta 2,9 miljoonaa euroa.

Maailman talousfoorumi on arvioinut yrityksiin kohdistuvia riskejä vuosittaisessa Global Risks Report 2018 -raportissaan. Sen mukaan tietoverkkohyökkäykset ovat kolmanneksi todennäköisin uhka äärimmäisten sääilmiöiden ja luonnonkatastrofien jälkeen. Mahdollisten seurausten osalta katsottuna kyberrikollisuus sijoittuu kuudennelle sijalle joukkotuhoaseiden ja neljän eri ympäristöriskin perään. till miljön.

Maailman talousfoorumi uskoo, että erityisesti suuryritysten on valmistauduttava kyberhyökkäyksiin. Yritysjärjestely- ja konsultointiyritys EY:n Global Information Security Survey (GISS) -selvitys osoittaa kuitenkin, että vain kahdeksassa prosentissa tutkittuja organisaatioita tietoverkkoturvallisuus on riittävällä tasolla. Pohjoismaissa luku on vielä pienempi, vain kaksi prosenttia yrityksistä kertoo kyberturvallisuuden olevan riittävällä tasolla. Alle puolet yrityksistä kertoo, että kyberturvallisuus on otettu huomioon liiketoimintastrategioissa ja -suunnitelmissa.

Pohjoismaissa hyökkäykset käyvät kalliiksi

Pohjoismaisista yrityksistä 68 prosenttia kertoo kokeneensa mittavan tietoverkkohyökkäyksen. Kyse on ollut liiketoiminnan häiritsemisestä ja kiristyksistä, varkauksista, talousvakoilusta, maineen pilaamisesta ja tunkeutumisesta kriittiseen infrastruktuuriin sekä palveluihin. Tietojenkalastelu (phishing) ja haittaohjelmat (malware) ovat yleisiä hyökkäystyyppejä. Todennäköisimmin hyökkäys mahdollistuu työntekijöiden huolimattomuuden takia, ja rikolliset käyttävät sitä hyväkseen. Selvityksen mukaan hyökkäykset tulevat Pohjoismaissa kalliimmaksi kuin mitä maailmanlaajuinen kustannusten keskiarvo on.

Ruotsin EY:ssä työskentelevä kyberturvallisuusneuvonantaja Tim Best kommentoi tuloksia Pohjoismaiden osalta:

– Mielestäni olemme Pohjoismaissa turhan sinisilmäisiä ja suhtaudumme riskienhallintaan huolettomasti. Ajattelemme, että “ei meille mitään käy”. Emme myöskään varaudu asioihin aktiivisesti ennakolta, mutta GISS-selvityksen tulosten valossa tämä on muuttumassa.

Best muistuttaa, että Pohjoismaissa on paljon valmistusteollisuutta. Niillä aloilla lisääntynyt robotisaatio ja automaatio lisäävät uhkia.

Näin suojaudut

Miten yritysten tulisi suojautua verkkohyökkäyksiltä? Best nostaa esille neljä tärkeää osa-aluetta: teknologia, liiketoimintaprosessit, ihmiset ja yhteistyökumppanit.

– Yritysten on oltava tietoisia omista prosesseistaan ja tavoitteistaan sekä omien järjestelmiensä mahdollisista heikkouksista. Iso osa turvallisuustyöstä voidaan automatisoida, esimerkiksi hankkimalla ohjelmiin automaattiset päivitykset ja korjaukset. Näin käytössä on aina oikea ja päivitetty ohjelmisto.

Hyvä toimittaja voi tehdä tämän. Toimittaja voi lisäksi huolehtia järjestelmän valvonnasta ja puhdistuksesta. Useimpien yritysten kannattaa aloittaa pyytämällä toimittajaa tekemään turvallisuusarvioinnin.

– Turvallisuusarviointi on riippumaton kartoitus mahdollisista turvallisuuspuutteista sekä palomuurin sisä- että ulkopuolella, Best kertoo.

Inhimilliset tekijät nostetaan usein turvallisuusketjun heikoimmaksi lenkiksi.

– Yritysten on tärkeää kouluttaa henkilökuntaansa säännöllisesti, jotta henkilökunta tietää, miten se voi omalla toiminnallaan estää kyberhyökkäyksiä. Tämä tarkoittaa esimerkiksi sitä, että salasanat ovat turvallisia ja sitä, että epäilyttäviä linkkejä ei klikkailla. On myös tärkeää, että työntekijät osaavat reagoida, jos he havaitsevat jotain outoa.

Kyberturvallisuus Pohjoismaissa

98% yrityksistä kertoo, että yrityksen nykyinen kyberturvallisuus ei vastaa tarvetta
82% kertoo, että kyberturvallisuutta ei mainita strategiassa
68% kertoo kokeneensa mittavan kyberhyökkäyksen
50% aikoo panostaa taloudellisesti kyberturvallisuuteen
15% uskoo, että asiakasdata on yrityksen tärkeintä tietoa

Lähde: EY Global Information Security Survey (GISS)

Kyberturvallisuuden perussäännöt

Teknologia

  • Varmista, että käytössä on oikea ja päivitetty ohjelmisto.

Liiketoimintaprosessit

  • Varmista, että liiketoimintaprosessit ovat turvallisia.
  • Tunnista ja taltioi käyttäjät ja tärkeät tiedot.

Ihmiset

  • Käytä turvallisia salasanoja ja säilytä ne turvallisesti.
  • Älä klikkaa kyseenalaisia linkkejä.
  • Ilmoita aina ongelmista.

Yhteistyökumppanit

  • Käytä sellaisia toimittajia, jotka tarjoavat asianmukaista tukea.
  • Laadi toimittajia sitovat turvallisuussopimukset.

Lue lisää:
Så mycket kostar ett dataintrång
Dustinin Office 365 -varmuuskopiointiratkaisu suojaa pilviympäristöön tallennettuja tietoja

15 huhtikuuta 2019

Aihealue