”Kyberturvallisuus on jatkuva prosessi, jota ei kannata laiminlyödä”
Yritysten liiketoiminta kytkeytyy yhä tiiviimmin tietoverkkoihin, minkä vuoksi verkossa vaanivat uhat on tiedostettava ja niihin on myös varauduttava. Kyberturvallisuuteen on syytä panostaa, sillä tietoturvan laiminlyönti voi aiheuttaa monenlaisia ikävyyksiä ja pahimmillaan vaarantaa koko yritystoiminnan jatkuvuuden.
Kyberturvallisuuteen panostaminen saatetaan varsinkin keskisuurissa ja pienissä yrityksissä mieltää ylimääräiseksi kulueräksi, vaikka todellisuudessa kyse on yritystoiminnan turvaamisen kannalta välttämättömästä investoinnista.
– Kyberturvallisuuden merkitys tiedostetaan hyvin isoissa yrityksissä, joilla on usein omat it-osastonsa tai jotka ovat ulkoistaneet it-asiat joko osin tai kokonaan ulkopuoliselle palveluntarjoajalle. Sen sijaan liian moni pk-yritys menee eteenpäin toivotaan parasta -mallin varassa, mihin sisältyy suuria riskejä, Turun yliopistossa tietoliikennettä ja kyberturvallisuustekniikkaa opettava Antti Hakkala sanoo.
Varsinkin yhden hengen mikroyrityksissä ydinliiketoiminnan pyörittäminen vie usein kaiken ajan, jolloin kyberturvallisuusstrategioiden miettiminen jää sivuun. Näin ei kuitenkaan pitäisi olla, sillä jos tietoturva pettää, asioiden korjaaminen on vaikeaa tai joskus jopa mahdotonta.
– Riippuu pitkälti toimialasta, kuinka kohtalokasta tietoturvan pettäminen on. Jos yhden miehen timpurifirma hoitaa asiat sähköpostilla ja käyttää kirjanpitoyritystä, ei uhkavektoreita ole kovinkaan paljon. Tilanne on aivan toinen, jos kyse on vaikkapa yhden hengen suunnittelutoimistosta, jonka koko ydinliiketoiminta on verkossa.
Uhkamallinnus auttaa hahmottamaan riskit
Tietotekniikan laitoksella työskentelevä Hakkala korostaa, että kyberturvallisuudesta huolehtiminen on jatkuva prosessi. Kyberturvallisuus ei siis ole tuote, jonka voi ostaa, asentaa ja sen jälkeen unohtaa.
– Jokaisen yrityksen pitäisi tehdä oman liiketoimintansa pohjalta riskiarvio ja uhkamallinnus. Niiden avulla saadaan käsitys siitä, minkälaisia uhkia yritykseen voi kohdistua, kuinka vakavia ne ovat ja kuinka realistista niiden toteutuminen on.
Hakkalan mukaan eri skenaariot pitää käydä huolellisesti läpi ja selvittää, miten järeitä toimia uhkien torjuminen vaatii ja miten niiden toteutuessa toimitaan.
– Huolellinen varautuminen vähentää liiketoiminnan keskeytymisen, taloudellisen menetyksen ja maineen vaarantumisen riskiä. Kyberturvallisuus on ennen kaikkea riskien hallintaa, asiantuntija korostaa.
Verkkorikolliset kehittävät jatkuvasti uusia hyökkäysmenetelmiä löytääkseen uusia haavoittuvuuksia, minkä vuoksi myös kyberturvallisuus vaatii jatkuvaa päivitystä. Pitämällä huolta ajantasaisesta tietoturvasta yritys voi suojautua erilaisten kyberuhkien, kuten tietojen kalastelun, käyttäjien manipuloinnin sekä erilaisten haitta- ja kiristysohjelmien aiheuttamilta vahingoilta.
– Kyberturvallisuutta pitää ylläpitää, täydentää ja kehittää jatkuvasti. On syytä olla tietoinen riskeistä ja miettiä asioita turvallisuus edellä, jotta välttyy ikävyyksiltä.
Hakkala kehottaa miettimään, mitä tapahtuisi, jos kaikki koneelle tallennetut tiedot menetetään ja varmuuskopiot ovat jääneet ottamatta.
– Vitsit ovat varmasti vähissä, jos yrityksessä on vaikkapa kaksi kuukautta sitten aloitettu uuden tuotteen kehittäminen ja varmuuskopiot on otettu viimeksi kolme kuukautta sitten.
– Kyberturvallisuus ei ole tuote, jonka voi ostaa, asentaa ja sen jälkeen unohtaa, Turun yliopiston tietotekniikan laitoksella työskentelevä Antti Hakkala sanoo.
Varautumisella torjutaan pahimmat uhkakuvat
Joutuessaan verkkohyökkäyksen kohteeksi kyberturvallisuuden laiminlyönyt yritys voi pahimmillaan joutua verkkorikollisten armoille. Maailmalta löytyy lukemattomia esimerkkejä yrityksistä, joiden liiketoiminnan verkkorikolliset ovat onnistuneet lamauttamaan.
– Hakkerit murtautuvat yrityksen palvelimelle, varastavat datan, kryptaavat kaiken ja pyytävät miljoonien lunnaita. Ransomware-ryhmät ovat kehittäneet hakkeroinnista suoranaista liiketoimintaa: ne varastavat ja kryptaavat datan, minkä jälkeen ne myyvät kryptatun datan purkupalvelua. Jos yritys ei maksa purkuavaimesta, se jää hakkereiden panttivangiksi, Hakkala kertoo.
– Ongelmien korjaaminen on tällaisissa tilanteissa usein mahdotonta, joten ainoa keino välttyä tämänkaltaisilta tilanteilta on ennalta varautuminen eli kyberturvallisuudesta huolehtiminen.
