Tilannekatsaus: IT-turvallisuus suuryrityksissä

Miten suuret pohjoismaiset yritykset ovat huolehtineet IT-turvallisuudesta? Monet huonosti. Puolet pohjoismaisista suuryrityksistä on suojautunut puutteellisesti tietovuodoilta ja digitaalisilta hyökkäyksiltä. Mutta miksi? Ja mitä on tehtävä?

Ruotsi on yksi maailman digitalisoituneimmista maista. Se laahaa silti IT-turvallisuuden suhteen perässä. Tämä johtuu muun muassa siitä, että uhkia on yhä enemmän ja suuryritysten toiminta on siirtynyt yhä nopeammassa tahdissa digitaaliseen ympäristöön. Tätä mieltä on Anne-Marie Eklund Löwinder, Ruotsin internetsäätiön turvallisuuspäällikkö.

Konsulttiyritys PWC:n suorittama tutkimus, johon osallistui 9 500 yritystä ympäri Ruotsia, antaa hyvän kuvan tilanteesta: Lähes joka toisella yrityksellä ei ole kokonaisvaltaista IT-turvallisuussuunnitelmaa. 48 prosenttia kyselyyn vastanneista yrityksistä ilmoitti, että työntekijöille ei ole tarjolla turvallisuuskysymyksiä käsittelevää koulutusohjelmaa. Peräti 54 prosenttia yrityksistä ilmoitti, että yrityksellä ei ole turvapoikkeamien käsittelyyn liittyvä toimintaohjeita.

– Aivan liian monelta yritykseltä puuttuu IT-turvallisuusstrategia, Anne-Marie Eklund Löwinder sanoo.

Tämä johtuu muun muassa siitä, että IT-turvallisuusongelmat päätyvät vain harvoin johdon korviin, hän kertoo.

– Pohjoismaisten yritysten IT-turvallisuudessa on suuria eroja. Jotkin yritykset ovat panostaneet suuresti IT-turvallisuuteen, mutta toiset ovat pahasti jälkijunassa. Ongelmana on monesti se, että turvallisuutta pidetään pelkkänä IT-asiana, johon johtokunnalla ei ole osaa. Jotkin yritykset eivät ymmärrä, että tarvitaan ylimmän johdon strategiaa, jos IT-turvallisuus aiotaan viedä organisaation kaikkiin osiin.

Suurissa yrityksissä, joissa käytetään monia eri järjestelmiä, IT-turvallisuustyö on erityisen haastavaa.

– Monilla suurilla yrityksillä on vaikeuksia pitää kunnolla silmällä sitä, mitä kaikkea pitää suojata, sillä ympäristöt ovat monimutkaisia ja käyttäjiä on paljon, monesti eri oikeudenkäyttöalueilta.

Kiinnostunut uudesta tekniikasta – mutta ei turvallisuudesta

Anne-Marie Eklund Löwinder pitää tekniikan nopeaa kehittymistä yhtenä osasyynä suurten yritysten tietoturvapuutteille.

– Mitä riippuvaisempia yritykset ovat IT-palveluista, sitä vaikeampi niiden on pysyä kärryillä kaikista päivityksistä, kirjautumistiedoista, säännöistä ja käytännöistä. Ihmiset ovat mielellään mukana sosiaalisessa mediassa, mutta kiinnostus ei tahdo riittää haittaohjelmilta tai hyökkäyksiltä suojautumiseen. Mutta virheiden tekeminen on helpompaa kuin monet luulevat.

– Ihmiset ovat uteliaita, napsauttavat mielellään linkkejä ja jakavat tekstejä tai vinkkejä tietämättä, johtavatko ne haittaohjelmien pariin. On helppo saada haittaohjelmatartunta, joka tallentaa näppäilyt tai muuttaa laitteen osaksi botnettiä.

Laita henkilökunta koulun penkille

Jonas Lejon on IT-turvallisuusasiantuntija, joka on toiminut FRA:n ja Ruotsin puolustusvoimien palveluksessa. Hän pyörittää muiden toimiensa ohella verkkosivustoa kryptera.se. Hänen mielestään ihmisten pitäisi ymmärtää, että kyberrikolliset pääsevät sisään suuryritysten järjestelmiin suojaustasosta huolimatta. Suurten IT-järjestelmien kohtaamat uhat ovat nykyään niin moninaisia, että niiltä kaikilta on vaikea puolustautua. Suuryritysten ja viranomaisten on sen vuoksi opittava luokittelemaan ja priorisoimaan tietonsa paremmin.

– Sanon monesti, että yritysten pitää tietää, mihin tietoihin internetin kautta voi päästä käsiksi ja millä tiedoilla on taloudellista arvoa tai sisältävät arvokasta tietoa, jota ei saa päästää verkkoon. Meidän pitää yhdessä miettiä, miten näitä tietoja voi suojata parhaalla tavalla. Yritysten pitää tietää paremmin, missä arkaluonteiset liiketoimintatiedot ovat ja miten niitä suojataan. On myös pidettävä silmällä, kuka pääsee käsiksi mihinkin järjestelmään.

Hän pitää suuryritysten työntekijöiden jatkuvaa tietoturvakoulutusta tärkeänä.

– IT-turvallisuus ei ole vaikea asia, mutta se vaatii tietyn määrän sitoutumista ja monien ihmisten työpanosta. Se ei ole pelkästään IT-osaston tai jonkun turvallisuusintoilijan heiniä. Yritysten tulisi jatkuvasti kouluttaa henkilökuntaansa tietoturvaan liittyvissä asioissa ja kertoa, mitä saa tehdä ja mitä ei.

Jonas Leijonin 3 vinkkiä yritysten IT-turvallisuudesta huolehtimiseen

  • Päivitä vanhat ohjelmistot tai sovellusten vanhat versiot puhelimissa, tableteissa ja tietokoneissa.
  • Kertasalasanat ovat hyvä ratkaisu. Minä käytän MFA:ta (Multi-Factor Authentication, monimenetelmäinen todentaminen), joka on hyvä tapa suojata salasanat valtuuttamattomalta käytöltä.
  • Järjestelmää tai tuotetta hankittaessa aseta turvallisuusvaatimuksia ja edellytä, että toimittajalla on päivitysten ja korjausten hallintaan, häiriöidenhallintaan sekä turvalliseen kehitykseen liittyviä periaatteita. Anna riippumattoman yrityksen suorittaa haavoittuvuustesti, joka osoittaa niiden olemassaolon.

Anne-Marie Eklund Löwinderin neuvot suuryrityksille ja niiden työntekijöille

  • Käytä eri salasanoja eri tileillä. Vaihda salasanat useasti.
  • Älä napsauta sähköpostiviesteissä olevia linkkejä vaan selvitä, kuka on lähettänyt viestin ja miksi.
  • Älä jaa sosiaalisessa mediassa näkemiäsi asioita tarkistamatta. Käytä maalaisjärkeä ja lähdekritiikkiä, jos kyse on mahdollisten valeuutisten kaltaisista asioista.
  • Yrityksellä pitää olla muutakin kuin pelkkä turvallisuusratkaisu. Sen on huolehdittava monikerroksisesta suojasta ja mielellään rajoitettava järjestelmän käyttöoikeuksia sekä jakaa verkko osiin, niin että väärinkäyttötilanteissa vahinko rajoittuu pienemmälle alueelle.

Suurimmat suuryritysten kohtaamat IT-uhat

Ransomware

Ransomware on nopeasti yleistyvä uhka. Siinä käyttäjä huijataan asentamaan haittaohjelma tietokoneelle tai puhelimelle, minkä jälkeen ohjelma lukitsee laitteen. Käyttäjä saa näytölle viestin, jossa käsketään maksaa lunnaat, tai muuten tiedostoihin ei enää pääse käsiksi.

Toimitusjohtajaviesti (CEO/CFO fraud)

Tässä joku esiintyy yrityksen johtajana ja lähettää sen jälkeen viestin talousosastolle. Viestissä sanotaan, että tietty summa pitää siirtää jollekin nimenomaiselle tilille.

Sabotaasihyökkäykset

Hyökkäysten tarkoituksena on tuhota tiedot, mukaan lukien turvallisuusjärjestelmät ja varmuuskopiot. Se tarkoittaa sitä, että yrityksen on käytännössä mahdoton saada tietojaan takaisin. Tämä näyttää ulospäin samalta kuin ransomware-ohjelma, mutta hyökkäys on rakennettu siten, että tietoja ei voi saada takaisin.

Phishing-hyökkäykset

Rikolliset yrittävät esiintyä yrityksen toimintaan liittyvien henkilöiden nimillä, minkä vuoksi oikeat viestit on vaikea erottaa huijausviesteistä. Tällöin työntekijät napsauttavat todennäköisemmin vaarallisia linkkejä tai avaavat vaarallisia liitetiedostoja.

17 huhtikuuta 2018

Suojaa arkaluontoiset tiedot pilvipalvelimella

Lisääntynyt palvelujen tarjoaminen IT-alalla tarkoittaa sitä, että yhä suurempi määrä tiedoista säilytetään pilvipalveluissa. Näin ollen asiakkaan on oltava tietoinen siitä, miten luottamuksellisia tai arkaluontoisia tietoja käsitellään.

12 heinäkuuta 2019

Viisi vinkkiä toimivan lähiverkon rakentamiseen

Järkevästi ja tarkoituksenmukaisesti suunniteltu ja toteutettu lähiverkko on olennainen osa lähes minkä tahansa yrityksen tuottavuutta. Dustinin teknologiakonsultti Pauli Riikonen vinkkaa viisi asiaa, jotka on syytä ottaa huomioon lähiverkkoa rakennettaessa.

5 heinäkuuta 2019

Sano hyvästit hitaalle langattomalle verkolle

Internet tuntuu olevan kaikkialla. Dustinin ja ITaidon asiantuntijat kertovat keinot, joilla yritykset saavat parhaan hyödyn irti langattomista verkkoyhteyksistään ja välttävät kompastuskivet muun muassa huolellisen ennakoinnin ansiosta.

4 heinäkuuta 2019

Langaton verkko voi laulaa salaisuuksia – muista siis tietoturva

Langattomassa verkossa toimivien laitteiden tietoturvasta huolehtiminen tuo vähän lisävaivaa laitteiden käyttöön, mutta pienikin ylimääräinen askel parantaa tietoturvan tasoa rutkasti. Dustinin teknologiakonsultti Pauli Riikonen kertoo, miksi ja miten tietoturva kannattaa yritysten arjessa huomioida.

4 heinäkuuta 2019

Aruban Mobile First Platform tuo tulevaisuuden it-tarpeet tähän päivään

Valtava määrä laitteita liittyy verkkoon, käyttäjien määrä vaihtelee ja tietoturvariskit kasvavat. Aruban Mobile First Platform ottaa yritysten ja organisaatioiden yksilölliset tarpeet huomioon ja tarjoaa joustavia ratkaisuja mobiiliin nykypäivään.

11 kesäkuuta 2019

Monimutkainen järjestelmä haavoittuu helposti

Potilaspuhelut vuotivat nettiin, ja sähkönjakelujärjestelmä annettiin vääriin käsiin. Tällaisia IT-mokia on sattunut viime aikoina. Usein turvallisuuspuutteiden syy on inhimillinen tekijä.

10 kesäkuuta 2019