Moni yrittäjä kantaa riskin tietoturvasta yksin – ja se voi tulla hänelle kalliiksi
14.8.2024
Kyberrikollisuus lisääntyy jatkuvasti, ja erityisesti tekoäly kiihdyttää kehitystä. Rikollisia kiinnostavat kaikenkokoiset yritykset, jotka eivät ole suojautuneet kunnolla.
Tietomurrot, haittaohjelmien levittäminen, tietojenkalastelu ja palvelunestohyökkäykset ovat kyberrikollisuuden muotoja, jotka yleistyvät jatkuvasti. Verkkorikolliset keksivät koko ajan uusia tapoja huijata ihmisiä. Tekoäly on tuonut tähän kehitykseen oman lisänsä, ja esimerkiksi suomen kieltä käytetään yhä paremmin huijauksissa. Myös tietoon liittyvien vahingonkorvausriskien merkitys on korostumassa.
– Monet yrittäjät ajattelevat, että kyberrikollisuus tähtää vain tunnettuihin ja isoihin yrityksiin, eikä täten kosketa heitä itseään. Riski ulottuu kuitenkin kaikkiin yrityksiin, sillä tietotekniikkaa joutuu jokainen hyödyntämään enemmän tai vähemmän. Vaikka yritys olisi pieni ja sen nettisivut yksinkertaiset, ei se tarkoita, etteivätkö rikolliset olisi siitä kiinnostuneita. Rikollisia nimittäin kiinnostavat kaikenkokoiset yritykset, jotka eivät ota uhkaa vakavasti, ja heitä on tekniikan kehittyessä yhä helpompi löytää, Fennian underwriter Artturi Mikkonen kertoo.
Suomen Yrittäjien vuonna 2022 tekemän kyselytutkimuksen mukaan tuhannet yritykset eivät näe tietomurroissa riskiä liiketoiminnalleen, ja yli puolet pitävät riskiä vähäisenä. Samalla kuitenkin 61 prosenttia yrityksistä kokee esteitä tietoturvan toteutumisessa. Tyypillisiä esteitä ovat osaamisen ja ajan puute sekä kustannukset.
Yksi keino varautua riskeihin on vakuuttaminen, jolloin taloudellinen riski jaetaan vakuutusyhtiön kanssa. Useimmat yrittäjät kantavat kuitenkin tietoturvariskin yksin, eli heillä ei ole tietoturvariskejä kattavaa vakuutusta. Mikkosen mukaan syynä on todennäköisesti se, ettei tietoturvarikosten aiheuttamia mahdollisia vaikutuksia ja kustannuksia täysin ymmärretä.
– Tavalliset vakuutukset eivät usein kata digitalisaatioon liittyviä riskejä. Tietoturvavakuutus korvaa esimerkiksi liiketoiminnan keskeytymiseen tai tietojen ja ohjelmistojen palauttamiseen liittyviä vahinkoja, sekä luottamuksellisten tietojen paljastumisesta seuraavaa vahingonkorvausvastuuta, sanoo Mikkonen.
Tietomurrot ja niiden yritykset vuosittain 2020—2024
Tietomurtojen määrä on kasvanut viime vuosina. Tänä vuonna kuuden ensimmäisen kuukauden ajalla tapahtuneiden tietomurtojen määrä on samaa luokkaa kuin viime vuonna samaan aikaan, mutta tapausten määrä vaihtelee kuukausittain paljon, eikä tämän vuoden lopullista määrää pysty vielä ennustamaan. Lähde: Poliisin tilastot
Suomalaisissa tietoverkoissa olevien tietokoneiden haittaohjelmatartuntojen määrä 2019—2023
Traficomin haittaohjelmahavainnot kuvaa suomalaisissa tietoverkoissa olevien tietokoneiden haittaohjelmatartuntojen määrää. Määrä vaihtelee vuosittain, mutta liikkuu sadoissa tuhansissa joka vuosi. Lähde: Traficomin Kyberturvallisuuskeskus
Tämän päivän kyberhyökkäyksissä korostuu kiristäminen
Case Vastaamo -tyyppiset tietomurrot, joissa henkilöitä kiristetään varastetuilla, arkaluontoisilla tiedoilla, yleistyvät jatkuvasti. Vastaavia ilmiöitä yrittäjillä voivat olla esimerkiksi asiakastietojen tai liikesalaisuuksien kalastelu, ja niillä kiristäminen.
Myös etenkin kiristyshaittaohjelmat ovat kasvussa.
– Kyberkiristyksissä haittaohjelma voi esimerkiksi lukita laitteen, minkä jälkeen rikolliset vaativat lunnaita koneen avaamiseksi, Mikkonen kertoo.
Inhimilliset erehdykset korostuvat tämän päivän kyberhyökkäyksissä. Tyypillinen tapa voi olla esimerkiksi epähuomiossa sähköpostista avattu linkki, joka asentaa haittaohjelman laitteeseen. Huijausviestejä on yhä useammin vaikea erottaa aidoista viesteistä, varsinkin jos ne lukee kiireellä.
Kyberhyökkäys voi aiheuttaa pitkän keskeytyksen toimintaan, ja aiheuttaa myös asiakkaille vahinkoa.Verkkorikoksen uhriksi joutunut yrittäjä nimittäin altistaa myös asiakkaansa asiakastietojen menettämisen kautta.
– Pienimmillään puhutaan joidenkin tuhansien tai kymmenien tuhansien eurojen vahingoista, mutta isommissa tapauksissa jopa miljoonista. Näistä voi helpostikin tulla yrityksille kohtalokkaita seuraamuksia, Mikkonen kertoo.
Varautuminen tietoturvauhkiin edellyttää ennen kaikkea henkilöstön perehdyttämistä
Mikkosen mukaan tietoturvariskin merkitystä yritystoiminnan kannalta ei aina ymmärretä tarpeeksi hyvin.
– Yritykset eivät yleensä ole esimerkiksi ennalta arvioineet tai laskeneet, millainen taloudellinen vaikutus tietoturvatapahtumilla yritykselle voisi olla, tai laatineet erityistä varautumissuunnitelmaa, hän toteaa.
Perussuojautumiskeinoihin kuuluvat palomuurit, automaattiset päivitykset, varmuuskopiointi sekä monivaiheinen tunnistautuminen. Nämä ovat Mikkosen mukaan usein kunnossa, mutta ne eivät kuitenkaan välttämättä riitä.
Myös henkilöstön kouluttaminen, kriisisuunnitelmat ja tietoturvavakuutus ovat olennainen osa tietoturvariskeihin varautumista.
Fortinetin teettämän tuoreimman kyselytutkimuksen mukaan Yhdysvalloissa lähes 90 prosenttia IT-johtajista uskoo, että osaamisvaje on aiheuttanut kyberturvallisuushäiriöitä heidän organisaatioissaan. Luku on kasvanut viimeisten vuosien aikana, mikä kertonee siitä, että kyberturvaosaamisen ja -taitojen puute tuntuu vuosi vuodelta enemmän. Mikkosen mukaan sama ilmiö näkyy myös Suomessa.
– On tärkeää varmistaa, että kriittisiin tietoihin pääsevät käsiksi vain ne henkilöt, jotka niitä oikeasti tarvitsevat työtehtäviensä takia. Henkilöstöä tulee myös säännöllisesti ohjeistaa tietoturvasta ja sen uhista, Mikkonen muistuttaa.
Tietoturvavakuutuksen avulla yritys puolestaan varautuu kuluihin ja minimoi vahinkoja, joita syntyy haittaohjelmista, palvelunestohyökkäyksistä, tietovarkaudesta tai inhimillisistä virheistä.
Kyberhyökkäysten eri muodot
Kyberhyökkäyksiä ovat monet verkossa tapahtuvat huijaukset, joiden tavoitteet, kohteet ja toimintatavat vaihtelevat.
Tietomurto tarkoittaa tunkeutumista tietojärjestelmään. Rikoslaki määrittelee tietomurron toiminnaksi, jossa käytetään käyttäjätunnusta luvattomasti tai tietojärjestelmän turvajärjestely ohitetaan järjestelmään murtautumiseksi. Tietomurto ja sen yritys ovat aina rikoksia, joista tulee tehdä rikosilmoitus poliisille.
Tietojenkalastelu eli phishing on tunnetuin tapa yrittää tietojärjestelmän kirjautumistietojen varastamista. Yksi tapa toteuttaa phishing-hyökkäys on lähettää käyttäjälle sähköpostia jonkin luotettavan tahon, kuten pankin, nimissä.
Palvelunestohyökkäykset pyrkivät lähettämään kohteena olevaan laitteeseen tai palvelimeen niin paljon verkkoliikennettä, että kohteen toiminta häiriintyy tai estyy kokonaan.
Auttoiko tämä sinua?
Jaa