- Suomessa on vihdoin herätty kyberriskien vakavuuteen myös johtajien tasolla. Vielä ollaan kuitenkin niin sanotulla awareness-tasolla. Jotain tarttis tehdä, mutta harva silti tekee riittävästi”, kiteyttää CGI:n kyberturvallisuusjohtaja Jan Mickos nykytilanteen.

Tutkimukseen vastanneista 89 prosenttia arvioi kyberhyökkäyksen, tietomurron tai -vuodon vaikutukset haitallisiksi tai erittäin haitallisiksi. 86 prosenttia puolestaan kokee kyberriskien kasvaneen viimeisen vuoden aikana ja lähes yhtä moni arvioi myös kyberuhkiin varautumisen tarpeen kasvaneen.

Kyberhyökkäykset kasvussa

Jan Mickos, CGI:n kyberturvallisuusjohtaja.

Vastaajista 15 prosenttia kertoo oman organisaationsa olleen tietomurron- tai vuodon kohteena viimeisen kahden vuoden aikana. Kaksi kolmesta todennäköisenä, että heidän edustamansa organisaatio on ollut kyberhyökkäyksen kohteena kenenkään siitä tietämättä. Oman organisaation joutumista kyberhyökkäyksen kohteeksi seuraavan vuoden aikana pitää todennäköisenä 74 prosenttia vastaajista.

Korkeaa uhkatietoisuutta vasten tarkasteltuna on huomiota herättävää, että vain puolet kertoo kyberturvallisuudesta huolehtimisen olevan tietoturvaan erikoistuneen tahon käsissä ja vain 29 prosenttia sanoo organisaatiolla olevan kyberturvallisuusstrategian.

- Tulokset kyberturva-asioiden organisoinnista ja strategioiden puuttumisesta viestivät riittämättömästä varautumisesta. Ne ovat indikaatioita riskien ymmärtämisen, tunnistamisen ja hoitamisen mallien puutteellisuudesta, analysoi Mickos.

Epärealistiset arviot omasta havainnointikyvystä yleisiä

Selkeä enemmistö vastaajista Kuitenkin uskoo organisaationsa kykyyn tunnistaa kyberhyökkäykset. Jopa erityisen hankalasti tunnistettavien edistyneiden hyökkäysten (Advanced Persistent Threat, APT) tunnistamiskykyynsä luotti jopa 40 prosenttia vastaajista. Edistyneille hyökkäyksille on kansainvälisten tutkimusten mukaan tyypillistä, että ne ehtivät jatkua useita satoja päiviä ennen paljastumistaan ja lähes aina tieto niistä saadaan organisaation ulkopuolisilta tahoilta.

Suurin ristiriita kansainvälisiin tutkimuksiin onkin siinä, että Suomessa tietomurron- tai vuodon kohteeksi joutuneista peräti 74 prosenttia arvioi murron tai vuodon havaitsemisen tapahtuneen puolen vuoden sisällä niiden alkamisesta. Koska suurimmalla osalla suomalaisista organisaatioista resurssit erityisesti edistyneiden hyökkäysten havaitsemiseen ovat puutteelliset, indikoi tulos sitä, että organisaatioiden IT-ympäristöissä on todennäköisesti paljon tunnistamatonta ulkopuolista liikennettä ja tapahtumavirtaa.

- Suomalaisten luottamus omaan kyberkyvykkyyteen on epärealistisen korkea. Lähes jokainen luulee kuuluvansa siihen 6 prosentin joukkoon, joka kykenee tunnistamaan hyökkäyksen itse. Tässä on sama dilemma kuin siinä, että enemmistö autoilijoista kokee olevansa keskimääräistä parempia kuljettajia, havainnollistaa Mickos.

Investoinnit turvallisuuteen laahaavat jäljessä

Epäsuhta riskitietoisuuden ja varautumisen välillä näkyy myös investointeja koskevissa vastauksissa. Varautumistarpeen toteamisesta huolimatta vain reilu kolmannes aikoo tehdä jotain investointeja ja vain pieni joukko merkittäviä investointeja turvallisuuden parantamiseen.

- Erityisen huolissani olen yhteiskunnallisesti kriittisten toimialojen, kuten terveydenhuollon sekä energia- ja vesihuollon tilanteesta. Kyse on julkisista tai julkisomisteisista monitoimittajaympäristöistä, joissa tapahtuvat vahingot säteilevät laajalle. Siksi etenkin näillä aloilla kyberturvallisuuden johtamine pitäisi olla hyvin organisoitua ja johdettua, sanoo Mickos.

Riskinä liiketoiminnan keskeytyminen

Todennäköisimmiksi kyberhyökkäysten aiheuttamiksi vahingoiksi vastaajat nimesivät henkilöstö- tai asiakastietojen varastamisen, aineettoman omaisuuden menettämisen, tuoton menettämisen, liiketoiminnan keskeytymisen ja vahingonkorvausvastuun laukeamisen. Myös rikosoikeudellinen vastuu, kansallisen turvallisuuden vaarantuminen ja markkinaosuuden menetys koettiin melko mahdollisiksi vahinkotyypeiksi.

- Kyberriskeistä on kasvanut kaiken toiminnan uusi normaali, toimialasta riippumatta. Tämä on digitalisoitumisen varjopuoli, joka on vain hyväksyttävä yhtenä investointikohteena siinä missä vakuutuksetkin. Toistuvat, uutiskynnykset ylittäneet esimerkit niin Suomesta kuin maailmalta ovat osoittaneet, että kyse ei ole vain foliohattujen peloista vaan merkittävistä liiketoimintariskeistä, joiden realisoituminen tarkoittaa usein miljoonavahinkoja ja ylimmän johdon vaihtorulettia.

Mickosin mukaan nykypäivänä kyse on jatkuvasta kilpajuoksusta, jossa ei enää riitä pelkkä tekninen varustautuminen. Koska kaikki on murrettavissa, kyse on siitä, kuinka hyvin vahinkoihin varaudutaan paitsi ennaltaehkäisyn myös nopean palautumisen kannalta.

- Suomessa luottamus teknisiin laitteisiin on perinteisesti ollut vahvaa. Mutta enemmän pitää kiinnittää huomiota siihen, miten vahinkojen laajuus minimoidaan. Tässä keskeistä on kyky havaita hyökkäykset ja palauttaa toimintakyky normaaliksi nopeasti. Ja se ei onnistu ilman riittäviä asiantuntijaresursseja, olivatpa ne omaa väkeä tai palveluna ostettuja, vetää Mickos yhteen trendimuutoksen.

Tilannekuva Suomesta

Pontimena tutkimuksen tekemiseen oli halu selvittää Suomessa toimivien yritysten ja julkisten organisaatioiden kyberturvan tilaa ja kokemuksia. Toistaiseksi valtaosa aihepiirin tutkimuksesta on ollut voittopuolisesti ulkomaista ja etenkin Pohjois-Amerikasta.

CGI:n tutkimukseen osallistui 200 vastaajaa julkishallinnon alalta, pankki- ja vakuutusalalta, kaupan, palvelujen ja kuljetusten toimialalta, teollisuudesta ja muun muassa energia- ja vesitoimialalta. Tutkimus toteutettiin verkkokyselynä viime marraskuun ja maaliskuun välisenä aikana.

Tutkimusraportin on ladattavissa osoitteesta:

www.cgi.fi/kybertutkimus