Yritysten kybervarautumisen tilanne ei ole muuttunut - uhat yleistyneet
Yritysten valmiudet tunnistaa kohdistettu kyberhyökkäys ovat heikot, ilmenee Helsingin seudun kauppakamarin selvityksestä. Selvitys tehtiin syksyllä 2019 yhteistyössä CyVantage LLC:n kanssa. Selvitys osoittaa, että niin yritysten kuin viranomaisten toiminnassa torjua kyberuhkia on paljon kehitettävää. Selvitys on kolmas, mikä aiheesta on tehty.
- Kauppakamarin ensimmäinen valtakunnallinen kyberuhkien selvitys tehtiin vuonna 2015. Sen jälkeen suurien yritysten kohdalla on tapahtunut jonkin verran kehitystä, mutta kaikissa muissa kokoluokissa tilanne ei juurikaan ole parantunut uhkien ja kehittämisen esteiden tunnistamisesta huolimatta, sanoo asiantuntija Panu Vesterinen Helsingin seudun kauppakamarista.
Selvityksen mukaan vain joka kahdeskymmenes yritys on nimennyt täysipäiväisen tietoturvallisuusvastaavan. Niiden osuus, jotka eivät ole vastuuttaneet yrityksessään tietoturvaa lainkaan, on kasvanut neljäsosaan kaikista vastaajista (26 %).
- Noin 40 prosenttia vastaajayrityksistä ei myöskään tiedä, mitä tunkeutuja haluaisi viedä heiltä ja tämä kertoo, ettei suojattavia arvoja tunneta. Kolmasosalla vastaajayrityksistä ei ole kyberturvallisuuden kannalta tärkeää kykyä tunnistaa hyökkäyksiä, eikä se ole yleistynyt lainkaan vuoden 2015 selvityksestä, Vesterinen jatkaa.
Viranomaisilla paljon tekemistä elinkeinoelämän tukemisessa
Viimeisen neljän vuoden aikana kyberturvallisuuteen liittyvien viranomaisten tunnettavuus elinkeinoelämän keskuudessa ei ole lisääntynyt lainkaan ja on yhä huonolla tasolla. Kolme neljästä vastaajayrityksestä (77 %) ei tunne sitä lainkaan tai tuntee sen melko huonosti. Kyberuhat ovat pahimmillaan kansallisen turvallisuuden uhka ja siksi viranomaisten on otettava näkyvämpi rooli elinkeinoelämän keskuudessa. Viranomaiset tarvitsevat lisää resursseja kyetäkseen palvelemaan elinkeinoelämää vastaavalla tavalla kuin monessa muussa maassa toimitaan.
Suuri määrä yrityksiä ei ole tehnyt neljän viimeisen vuoden aikana mitään kyberturvallisuuden kehittämiseksi
Kysyttäessä erikseen mitä yritykset ovat tehneet kyberturvallisuuden edistämiseksi viimeisen neljän vuoden aikana on yleisin vastaus yli kolmasosalla (36 %), että mitään ei ole tehty. Näin vastanneiden painopiste oli pienissä yrityksissä, mutta verkottuneessa tietoyhteiskunnassa yrityksen koolla ei ole väliä. Alihankintaketjut ovat tunnettu ja käytetty hyökkäysvektori lopulliseen kohteeseen pääsemiseksi.
- Hyökkäykset ovat yleistyneet ja kehittyneet, niitä tutkittaessa on kuitenkin käynyt selväksi, että vanha totuus, että rosvo menee siitä mistä on helpointa mennä, koskee myös digitaalista maailmaa. Suomessa on suuri määrä kyberturvattomia yrityksiä, jotka muodostavat suuren ja helpon hyökkäyspinta-alan kenelle tahansa pahoissa aikeissa olevalle taholle. Loppujen lopuksi kyse on kansallisesta turvallisuudesta, Vesterinen painottaa.
Henkilökunnan kouluttaminen yleisin tapa parantaa kyberturvallisuutta - suunnitelmat hyökkäysten varalta uupuvat yhä suurelta osalta yrityksiä
Yritykset ovat kouluttaneet henkilökuntaa (26 %), hankkineet kyberturvallisuusohjelmia (23 %), laatineet ohjeita (20 %) ja ostaneet palveluita kyberpalveluyrityksiltä (19 %). Valitettavasti suuri määrä yrityksistä ei kuitenkaan ole tehnyt näitä toimenpiteitä. Hyökkäyksen varalta tehdyt suunnitelmat uupuvat yhä joka toiselta yritykseltä. Kun hyökkäys tapahtuu, nämä suunnitelmat ovat toiminnan selkäranka. Niiden tärkeyden ymmärtää viimeistään, kun hyökkäyksen hetkellä ymmärretään, ettei niitä ole ja yrityksen tuloksen tekeminen keskeytyy.
Kyberturvallisuuteen liittyvän tiedon saamisessa hieman kehitystä – kuitenkin yhä haasteena
Luotettavan tiedon saaminen kyberuhista on olennaista yritysten varautumisessa. Tämä tieto kilpailee kaiken muun saatavilla olevan informaatiotulvan kanssa.
- Ei ole samantekevää, kuka tämän luotettavan tiedon tuottaa. Viranomaiset tuottavat paljon erilaista tietoa, mutta jostain syystä se ei tavoita sen suurempaa määrää yrityksiä kuin neljä vuotta sitten, Vesterinen toteaa.
Kehitystä on tapahtunut pienten ja keskisuurten yritysten keskuudessa, mutta lähteet ovat yhä moninaiset.
- Viranomaisten tulisi sisäistää roolinsa sekä toimivan tiedonjakamisen merkityksen. Sen jälkeen tulisi pyrkiä keskitettyyn viestintään, sillä muutoin on olemassa riski kilpalaulannasta, ristiriitaisesta ja painotukseltaan erilaisesta kyberturvallisuusviestinnästä. Aina tulee olemaan useita tiedonlähteitä, mutta on tärkeää nostaa luotettava ja markkinaneutraali viranomaisten viestintäkanava paremmin elinkeinoelämän tietoisuuteen, Vesterinen muistuttaa.