Yritykset kokevat tietojenkalastelun ja haittaohjelmat suurimpina kyberuhkina

Kauppakamarin ja Avarn Security Oy:n kyberturvaselvityksessä nousee vahvasti esiin yritysten huoli tietojenkalastelusta ja haittaohjelmista. Yli kaksi kolmasosaa yrityksistä kokee tietojenkalastelun (phishing) tai haittaohjelmahyökkäykset suurimpina kyberuhkina.

“Vihamieliset valtiot ja muut rikolliset käyttävät haittaohjelmia laajasti. Mikä tahansa yritys saattaa vaarantaa yhteiskunnan resilienssiä, sillä luottamuksellista tietoa voidaan varastaa ja digitaalisia tuhotöitä valmistella yrityksen tietoverkossa tai sen kautta. Jokaisella yrityksellä onkin digitaalisen liiketoiminnan mukanaan tuoma vastuu. Laiminlyönnit kyberturvassa voivat viime kädessä olla kansallisen turvallisuuden kysymys”, arvioi projektipäällikkö Panu Vesterinen Helsingin seudun kauppakamarista.

Verkkotunkeutumisia vaikea tunnistaa yrityksissä

Yritysten keskuudessa on Vesterisen mukaan puutteita tunnistaa verkkotunkeutumisia. Kaikilla yrityksillä ei ole riittäviä resursseja tunkeutumisten hahmottamiseen ja juuri se mahdollistaa huomaamattoman tiedonkeruun.

”Viidesosa yrityksistä (21 prosenttia) ei tunnista niiden verkkoon tehtyjä tunkeutumisia eikä tiedä millaista tietoa tunkeutuja (36 prosenttia) haluaisi hakea heidän tietoverkostaan. Lisäksi lähes kolmasosa (28 prosenttia) yrityksistä luottaa kolmanteen tahoon, esimerkiksi operaattoriin tai palveluntarjoajaan, ilmoitustahona. Kun tiedostaa rikollisen motiiveja ja tavoitteita, yritysten on helpompi suojata tietoverkkoaan ja siellä olevia tietoja. Kyberrikolliset etsivät luottamuksellista tietoa ja reittejä lopulliseen kohteeseen myös alihankkijoiden kautta. Kriittisen infran yritysten on tärkeää tunnistaa tämä, kun yritykset varautuvat itseensä kohdistuviin, oman toimitusketjunsa aiheuttamiin kyberuhkiin”, Vesterinen sanoo.

Hänen mukaansa lähes kolmasosa kyberturvakyselyyn vastanneista yrityksistä katsoo, että yhtiön sisäinen uhka on merkittävä kyberuhka. Oma työntekijä voi toimia pitkäänkin tietoverkossa siten, ettei sitä erota normaalista työhön kuuluvasta verkkokäyttäytymisestä ja työntekijän on esimerkiksi helppo kytkeä annettu muistitikku tietokoneeseen yrityksen toimitiloissa palomuurin sisäpuolella. Noin kolmasosa vastaajista (32 prosenttia) nosti esille palvelunestohyökkäykset, joita on tänä vuonna nähty Suomessa normaalia enemmän.

Uhkahorisontti laajentunut

Yli puolet (52 prosenttia) vastaajista kokee Venäjän aloittaman hyökkäyssodan sodan lisänneen kybertuhkatilanteita. Yli neljäsosa (28 prosenttia) kokee hybridivaikuttamisen kohteeksi joutumisen uhan lisääntyneen ja neljäsosa (24 prosenttia) arvioi, että valtiollisten toimijoiden vihamielinen toiminnan uhka on kasvanut.

”Myös Covid-19 pandemia loi yllättäen uudenlaisia haasteita yritysturvallisuudelle esimerkiksi äkkinäisen ja laajamittaisen etätyöhön siirtymisen kautta. Puolet (51 prosenttia) vastaajista kokee etätöiden lisänneen tietoturvariskejä. Näistä haasteista selviäminen vaati nopeaa ja joustavaa reagointia sekä uudenlaisten menetelmien käyttöönottamista ratkaisukeskeisesti”, sanoo kehityspäällikkö Petteri Korsow Avarn Security Oy:stä.

Tiedot ja asenteet yhä esteinä kyberturvalle

Kauppakamari toteutti ensimmäisen kyberuhkaselvityksen jo vuonna 2015. Seitsemässä vuodessa tiedon saatavuus ja työntekijöiden osaaminen nousevat yhä kärkiesteiksi kyberturvallisuuden kehittämiselle. Syyskuussa 2022 toteutetun kyselyn mukaan yritykset tarvitsevat myös lisää tietoa kyberuhkista ja turvallisuusmenetelmistä.

”Kyberturvallisuus on jatkuvaa kilpajuoksua rikollisten osaamisen kehittymisen kanssa ja siksi laajempaa tiedonjakoa yrityssektorin kanssa on kehitettävä voimakkaasti. Puolet (50 prosenttia) vastaajayrityksistä pitää työntekijöiden tietotaidon ylläpitoa suurimpana esteenä kyberturvallisuuden kehittämiselle”, kertoo Korsow. Hän sanoo, että kolmasosa yrityksistä (34 prosenttia) ei löydä riittävästi tietoa kyberuhista ja yli kolmasosa (40 prosenttia) pitää työntekijöiden piittaamattomuutta esteenä kyberturvallisuuden kehittämiselle. ”Jokainen yritys voi vaikuttaa kyberturvallisuuden kokonaisuuteen. On tärkeää, että kyberuhkiin ja varautumiseen liittyvä selkokielinen tieto saavuttaa yritykset laajemmin kuin tähän mennessä”, Korsow jatkaa.

Kyberturvallisuutta pitää johtaa

Vesterinen painottaa, että johdon sitoutumisen kyberturvallisuuteen pitää olla sataprosenttista ja vastuiden selviä.

”Onko organisaation johdolla tarpeeksi työkaluja osoittaa johtajuuttaan myös kyberturvallisuudessa vai mennäänkö siinä helposti vain asioiden johtamiseen ja myönnetään rahoitusta sekä resursseja teknisten kyvykkyyksien kasvattamiseen ja parantamiseen?”, Vesterinen kysyy. Organisaation yksi tärkeimmistä voimavaroista kyberturvallisuuden turvaamisessa ovat ihmiset. Vesterisen mukaan ihmiset tulee saada innostumaan, ei pakottaa, osallistumaan yrityksen turvallisuuskulttuurin kehittämiseen. ”Johtajuus tulee sataprosenttisesta sitoutumisesta kyberturvallisuuteen”, Vesterinen linjaa.

Helsingin seudun kauppakamarin ja Avarn Securityn yrityksiin kohdistuvat kyberuhat -selvitys syyskuussa 2022. Vastaajina oli 258 suomalaisyritystä. Kyberturvakyselyyn vastanneista yrityksistä 50 prosenttia edustaa palveluita, 14 prosenttia kauppaa, 10 prosenttia teollisuutta ja rakennusalaa 6 prosenttia. Vastanneista yrityksistä 75 prosenttia oli henkilömäärältään pieniä yrityksiä, jotka työllistävät alle 50 henkilöä. Vastaajista 10 prosenttia oli keskisuuria yrityksiä, joiden palveluksessa on 50–200 työntekijää. Suuria yli 200 henkilöä työllistäviä vastaajia oli 15 prosenttia.