Yrittäjän muistilista: Näin suojaudut hyökkäyksiltä verkossa

Tietojen kalastelu ja verkkohyökkäykset ovat jokaisen yrityksen riesana. Niitä vastaan voi kuitenkin varautua. Ja jos pahin tapahtuu, silloin on aika toimia.

Tietojen kalastelua ja palvelunestohyökkäyksiä tapahtuu koko ajan, mutta onneksi palomuurit nappaavat hyökkäysyrityksistä suurimman osan. Esimerkiksi Kyberturvallisuuskeskus tekee haittaohjelmista kuukausittain tuhansia havaintoja.

Fennian underwriterin Artturi Mikkosen mukaan hyökkäysten uhkataso on yhä korkea, eikä tilanne ole helpottumassa.

– Pahimpia ovat kiristyshaittaohjelmat. Kun haittaohjelma pääsee järjestelmiin, se pyrkii keräämään arjessa käytettäviä tietoja, kuten asiakastietoja. Sen jälkeen yritystä aletaan kiristää tai tiedot vuodetaan. Yleisimmässä skenaariossa kiristyshaittaohjelmat kryptaavat eli salaavat yrityksen tiedot ja ”avainta” vastaan kiristetään rahaa, hän kertoo.

Mitä ovat pk-yrityksen tärkeimmät varautumiskeinot?

Lista on lyhyt, mutta tehokas: laitteiden ja ohjelmistojen ajantasainen päivitys, palomuurit, liiketoiminnan kannalta keskeisten tietojen varmuuskopiointi tuotantojärjestelmistä erillisiin järjestelmiin, monivaiheiset tunnistautumiset, henkilöstön kouluttaminen, kriisisuunnitelmat ja tietoturvavakuutus.

Kouluta henkilökuntaa säännöllisesti

Päivitykset, palomuurit, varmuuskopiointi ja monivaiheinen tunnistautuminen ovat perusasioita, jotka ovat lähes kaikissa yrityksistä kunnossa.

Sen sijaan henkilökunnan kouluttaminen on yhä puutteellista. Tietoturvasta ja uhista tulisi puhua työntekijän perehdytysvaiheen jälkeen säännöllisesti. Lisäksi ohjeistuksen täytyy olla selkeä. Yksi riskialttein ajanjakso on kesä, jolloin yrityksessä saattaa työskennellä kesätyöntekijöitä.

Mikkonen sanoo, että yrityksen henkilökunta on paitsi yrityksen vahvin myös heikoin lenkki.

– Erilaiset tietovuodot johtuvat helposti inhimillisistä virheistä tai laiminlyönneistä. Tietoja lähetetään esimerkiksi sellaisille henkilöille, joille niitä ei kuulu lähettää. Tärkeintä on varmistaa, että kriittisiin tietoihin pääsevät käsiksi vain ne henkilöt, jotka niitä oikeasti tarvitsevat työtehtäviensä takia, hän tähdentää.

Kriisisuunnitelmien pitää olla valmiina

Mitä, jos jotain tapahtuu? Yrityksellä pitää olla valmis kriisi- ja jatkuvuuden hallintasuunnitelma, mikäli se joutuu verkkohyökkäyksen kohteeksi. Kenen vastuulla on alkaa selvittää tilannetta? Miten hyökkäyksestä tiedotetaan henkilökuntaa, asiakkaita, muita sidosryhmiä ja viranomaisia? Miten varmistetaan toiminnan jatkuvuus?

– Verkkohyökkäykseen on syytä reagoida välittömästi. Yrityksen jatkuvuuden hallinta on tärkeää, samoin laki velvoittaa ilmoittamaan hyökkäyksestä viranomaisille 72 tunnin sisään, jos henkilötietoja on varastettu tai jos on tapahtunut muu henkilötietoja vaarantava tietoturvapoikkeama, joka aiheuttaa uhan rekisteröityjen oikeuksille, Mikkonen listaa.

Yrityksen kannattaa ottaa tietoturvavakuutus

Henkilökunnan tietoisuuden lisääminen on yksi asia, toinen oleellinen osa varautumista on täydentää turvaa vakuutuksella.

Mikkosen mukaan tietoturvavakuutus on vain muutamalla prosentilla yrityksistä, vaikka alkuvuodesta sen kysyntä on kasvanut. Esimerkiksi Fennian tietoturvavakuutuksen avulla yritys varautuu kuluihin ja minimoi vahinkoja, joita syntyy haittaohjelmista, palvelunestohyökkäyksistä, tietovarkaudesta tai inhimillisistä virheistä.

Lue lisää, mitä tietoturvavakuutus voi korvata ja mitä tarkoittaa Tietoturva-apu 24h.

– Tavalliset vakuutukset eivät usein kata digitalisaatioon liittyviä riskejä, sillä niitä on tyypillisesti kehitetty toisenlaisten riskien, kuten tulipalojen, erilaisten rikkoutumisten ja muiden aineellisten vahinkotapahtumien varalle. Yrityksen keskeytysvakuutus on tästä hyvä esimerkki, Mikkonen sanoo.

Tarkasta sopimukset palvelukumppanin kanssa

Ulkoistettu it-kumppanuus ei tarkoita ongelman ulkoistamista. Asiantuntija muistuttaa, että ulkoinen palvelukumppani toimittaa sellaista palvelua, josta on sovittu.

– Esimerkiksi tietoturvapoikkeamatilanteet eivät välttämättä sisälly palveluun tai niiden hoitamisesta laskutetaan erikseen. Erityisesti yrittäjän kannattaa tarkastaa oman palvelusopimuksen vastuukysymykset ja palvelun sisältö, Mikkonen kertoo.