Miten suuret pohjoismaiset yritykset ovat huolehtineet IT-turvallisuudesta? Monet huonosti. Puolet pohjoismaisista suuryrityksistä on suojautunut puutteellisesti tietovuodoilta ja digitaalisilta hyökkäyksiltä. Mutta miksi? Ja mitä on tehtävä?
Ruotsi on yksi maailman digitalisoituneimmista maista. Se laahaa silti IT-turvallisuuden suhteen perässä. Tämä johtuu muun muassa siitä, että uhkia on yhä enemmän ja suuryritysten toiminta on siirtynyt yhä nopeammassa tahdissa digitaaliseen ympäristöön. Tätä mieltä on Anne-Marie Eklund Löwinder, Ruotsin internetsäätiön turvallisuuspäällikkö.
Konsulttiyritys PWC:n suorittama tutkimus, johon osallistui 9 500 yritystä ympäri Ruotsia, antaa hyvän kuvan tilanteesta: Lähes joka toisella yrityksellä ei ole kokonaisvaltaista IT-turvallisuussuunnitelmaa. 48 prosenttia kyselyyn vastanneista yrityksistä ilmoitti, että työntekijöille ei ole tarjolla turvallisuuskysymyksiä käsittelevää koulutusohjelmaa. Peräti 54 prosenttia yrityksistä ilmoitti, että yrityksellä ei ole turvapoikkeamien käsittelyyn liittyvä toimintaohjeita.
– Aivan liian monelta yritykseltä puuttuu IT-turvallisuusstrategia, Anne-Marie Eklund Löwinder sanoo.
Tämä johtuu muun muassa siitä, että IT-turvallisuusongelmat päätyvät vain harvoin johdon korviin, hän kertoo.
– Pohjoismaisten yritysten IT-turvallisuudessa on suuria eroja. Jotkin yritykset ovat panostaneet suuresti IT-turvallisuuteen, mutta toiset ovat pahasti jälkijunassa. Ongelmana on monesti se, että turvallisuutta pidetään pelkkänä IT-asiana, johon johtokunnalla ei ole osaa. Jotkin yritykset eivät ymmärrä, että tarvitaan ylimmän johdon strategiaa, jos IT-turvallisuus aiotaan viedä organisaation kaikkiin osiin.
Suurissa yrityksissä, joissa käytetään monia eri järjestelmiä, IT-turvallisuustyö on erityisen haastavaa.
– Monilla suurilla yrityksillä on vaikeuksia pitää kunnolla silmällä sitä, mitä kaikkea pitää suojata, sillä ympäristöt ovat monimutkaisia ja käyttäjiä on paljon, monesti eri oikeudenkäyttöalueilta.
Kiinnostunut uudesta tekniikasta – mutta ei turvallisuudesta
Anne-Marie Eklund Löwinder pitää tekniikan nopeaa kehittymistä yhtenä osasyynä suurten yritysten tietoturvapuutteille.
– Mitä riippuvaisempia yritykset ovat IT-palveluista, sitä vaikeampi niiden on pysyä kärryillä kaikista päivityksistä, kirjautumistiedoista, säännöistä ja käytännöistä. Ihmiset ovat mielellään mukana sosiaalisessa mediassa, mutta kiinnostus ei tahdo riittää haittaohjelmilta tai hyökkäyksiltä suojautumiseen. Mutta virheiden tekeminen on helpompaa kuin monet luulevat.
– Ihmiset ovat uteliaita, napsauttavat mielellään linkkejä ja jakavat tekstejä tai vinkkejä tietämättä, johtavatko ne haittaohjelmien pariin. On helppo saada haittaohjelmatartunta, joka tallentaa näppäilyt tai muuttaa laitteen osaksi botnettiä.
Laita henkilökunta koulun penkille
Jonas Lejon on IT-turvallisuusasiantuntija, joka on toiminut FRA:n ja Ruotsin puolustusvoimien palveluksessa. Hän pyörittää muiden toimiensa ohella verkkosivustoa kryptera.se. Hänen mielestään ihmisten pitäisi ymmärtää, että kyberrikolliset pääsevät sisään suuryritysten järjestelmiin suojaustasosta huolimatta. Suurten IT-järjestelmien kohtaamat uhat ovat nykyään niin moninaisia, että niiltä kaikilta on vaikea puolustautua. Suuryritysten ja viranomaisten on sen vuoksi opittava luokittelemaan ja priorisoimaan tietonsa paremmin.
– Sanon monesti, että yritysten pitää tietää, mihin tietoihin internetin kautta voi päästä käsiksi ja millä tiedoilla on taloudellista arvoa tai sisältävät arvokasta tietoa, jota ei saa päästää verkkoon. Meidän pitää yhdessä miettiä, miten näitä tietoja voi suojata parhaalla tavalla. Yritysten pitää tietää paremmin, missä arkaluonteiset liiketoimintatiedot ovat ja miten niitä suojataan. On myös pidettävä silmällä, kuka pääsee käsiksi mihinkin järjestelmään.
Hän pitää suuryritysten työntekijöiden jatkuvaa tietoturvakoulutusta tärkeänä.
– IT-turvallisuus ei ole vaikea asia, mutta se vaatii tietyn määrän sitoutumista ja monien ihmisten työpanosta. Se ei ole pelkästään IT-osaston tai jonkun turvallisuusintoilijan heiniä. Yritysten tulisi jatkuvasti kouluttaa henkilökuntaansa tietoturvaan liittyvissä asioissa ja kertoa, mitä saa tehdä ja mitä ei.
Suurimmat suuryritysten kohtaamat IT-uhat
Ransomware
Ransomware on nopeasti yleistyvä uhka. Siinä käyttäjä huijataan asentamaan haittaohjelma tietokoneelle tai puhelimelle, minkä jälkeen ohjelma lukitsee laitteen. Käyttäjä saa näytölle viestin, jossa käsketään maksaa lunnaat, tai muuten tiedostoihin ei enää pääse käsiksi.
Toimitusjohtajaviesti (CEO/CFO fraud)
Tässä joku esiintyy yrityksen johtajana ja lähettää sen jälkeen viestin talousosastolle. Viestissä sanotaan, että tietty summa pitää siirtää jollekin nimenomaiselle tilille.
Sabotaasihyökkäykset
Hyökkäysten tarkoituksena on tuhota tiedot, mukaan lukien turvallisuusjärjestelmät ja varmuuskopiot. Se tarkoittaa sitä, että yrityksen on käytännössä mahdoton saada tietojaan takaisin. Tämä näyttää ulospäin samalta kuin ransomware-ohjelma, mutta hyökkäys on rakennettu siten, että tietoja ei voi saada takaisin.
Phishing-hyökkäykset
Rikolliset yrittävät esiintyä yrityksen toimintaan liittyvien henkilöiden nimillä, minkä vuoksi oikeat viestit on vaikea erottaa huijausviesteistä. Tällöin työntekijät napsauttavat todennäköisemmin vaarallisia linkkejä tai avaavat vaarallisia liitetiedostoja.
Jonas Leijonin 3 vinkkiä yritysten IT-turvallisuudesta huolehtimiseen
- Päivitä vanhat ohjelmistot tai sovellusten vanhat versiot puhelimissa, tableteissa ja tietokoneissa.
- Kertasalasanat ovat hyvä ratkaisu. Minä käytän MFA:ta (Multi-Factor Authentication, monimenetelmäinen todentaminen), joka on hyvä tapa suojata salasanat valtuuttamattomalta käytöltä.
- Järjestelmää tai tuotetta hankittaessa aseta turvallisuusvaatimuksia ja edellytä, että toimittajalla on päivitysten ja korjausten hallintaan, häiriöidenhallintaan sekä turvalliseen kehitykseen liittyviä periaatteita. Anna riippumattoman yrityksen suorittaa haavoittuvuustesti, joka osoittaa niiden olemassaolon.
Anne-Marie Eklund Löwinderin neuvot suuryrityksille ja niiden työntekijöille
- Käytä eri salasanoja eri tileillä. Vaihda salasanat useasti.
- Älä napsauta sähköpostiviesteissä olevia linkkejä vaan selvitä, kuka on lähettänyt viestin ja miksi.
- Älä jaa sosiaalisessa mediassa näkemiäsi asioita tarkistamatta. Käytä maalaisjärkeä ja lähdekritiikkiä, jos kyse on mahdollisten valeuutisten kaltaisista asioista.
- Yrityksellä pitää olla muutakin kuin pelkkä turvallisuusratkaisu. Sen on huolehdittava monikerroksisesta suojasta ja mielellään rajoitettava järjestelmän käyttöoikeuksia sekä jakaa verkko osiin, niin että väärinkäyttötilanteissa vahinko rajoittuu pienemmälle alueelle.