Kyberhyökkäyksessä yritysten tietokoneita ja -järjestelmiä vastaan hyökätään vahingoittamistarkoituksessa. Tiedetään, että vuonna 2017 yli neljäsosa suomalaisyrityksistä joutui hakkerointiyrityksen kohteeksi*.
Valtioiden rajat, sijainti tai pieni koko eivät suojaa enää ketään. Jokainen yritys on itse vastuussa omasta kyberturvallisuudestaan.
Laajamittaiset kyberhyökkäykset ovat tehneet näkyväksi järjestelmien haavoittuvuuden. Tuoreessa muistissa on esimerkiksi Iso-Britanniassa julkisen terveydenhuollon sairaalat halvaannuttanut Petya-virus, joka esti pääsyn potilastietojärjestelmiin.
Maailmalla on pysäytetty kokonaisia tehtaita, ja monien pankkien järjestelmiin on hyökätty. Itse Pentagonkaan ei ole säästynyt kyberrikollisuudelta.
Helsingin Kauppakamari on jo useamman vuoden ajan herätellyt suomalaisia yrityksiä varautumaan kyberuhkiin. Ajatus siitä, että olemme jotenkin turvassa kaukaisessa ja pohjoisessa Suomessa, on täysin väärä.
”Kyberuhka on todellinen, jos yritys hyödyntää tavalla tai toisella digitaalista tietoa ja tiedonsiirtoa toiminnassaan. Käytönnöllisesti katsoen lähes kaikki suomalaiset yritykset kuuluvat tähän joukkoon”, toteaa Helsingin seudun kauppakamarin tietoturvaan erikoistunut projektipäällikkö Panu Vesterinen.
Lunnasohjelma lukitsee koneen
Kyberuhka on tuonut mukanaan kokonaan uudenlaisen tilanteen: tietyn yrityskohteen sijaan hyökätään satunnaista yritysrypästä vastaan.
”Ransomware voi saastuttaa kymmeniä tuhansia tietokoneita hetkessä. Virusohjelma lukitsee koneen ja tekee siitä käyttökelvottoman. Jos jokaisen koneen avaamisesta joutuu maksamaan vaikkapa 300 euron lunnaat, voi laskea, millaisia rahavirtoja kyberrikollisuudessa liikkuu.”.
Missä määrin lunnaita maksetaan, on arvoitus, koska kiristyksen kohteeksi joutuneet yritykset eivät juuri mainosta asiaa. Maksuja ei myöskään voida jäljittää minnekään, koska ne hoidetaan bitcoineilla. Rikolliset jäävätkin vain harvoin kiinni.
Lunnasohjelman saastuttama kone huomataan, mutta haittaohjelmat saattavat toimia myös täysin huomaamattomasti.
Älykkäimmät haittaohjelmat piiloutuvat järjestelmiin ja poistavat jälkensä. Ne saattavat myös muuntautua, jolloin niitä on entistä hankalampi havaita. Pahimmillaan yrityksen toimintaa saatetaan vakoilla pitkään ilman, että kukaan huomaa mitään.
Esimerkiksi Pentagonin tietojärjestelmää vakoiltiin vuosia. On laskettu, että jos kaikki ulos vuodettu tieto olisi ollut paperilla ja lastattu autoihin, se olisi tarkoittanut ainakin kymmenen kilometriä pitkää rekkajonoa.
Turvallisuus on rakennettava itse
Internet on alustana turvaton, koska sitä ei ole alun perin rakennettu valtavia tietomääriä, kaupankäyntiä ja yritystoimintaa varten. Vesterisen mukaan tietoverkko perustui alussa luottamukseen ja siihen, että käyttäjät tunsivat toisensa.
”Valitettavasti yritykset ovat itse vastuussa omasta turvallisuudestaan. Perusasiat, kuten päivitykset ja palomuurit on oltava kunnossa, mutta se ei vielä riitä. Yrityksen tietojärjestelmä saattaa saastua, jos joku vahingossa klikkaa viattomalta näyttävää sähköpostin liitettä. Lisäksi haittaohjelmia siirtyy yritysten järjestelmiin myös fyysisten laitteiden, kuten muistitikkujen välityksellä”.
Mitä yritysten sitten pitäisi oikein tehdä ollakseen turvassa kyberuhkalta? Vesterinen lähestyy asiaa suorasukaisesti. ”Lähtökohtana yrityksessä täytyy olla ymmärrys siitä, että kyberhyökkäys saattaa tapahtua milloin tahansa. Olennaista on, että kun näin tapahtuu, yritys tietää mitä se tekee”.
Ensimmäisessä vaiheessa Vesterinen ohjeistaa yrityksiä pohtimaan ja luokittelemaan, millaista tietoa niillä on ja mikä tieto niille on kriittistä liiketoiminnan jatkuvuuden kannalta. Tämän jälkeen keskeistä on toimivan back up -järjestelmän rakentaminen.
”Yritysten pitää jo ennakolta simuloida tilanne, missä tietojärjestelmä ja -liikenne menetetään. Miten työtä jatketaan sen jälkeen turvallisesti? Yritys voi myös hankkia erilaisia hälytysjärjestelmiä, jotka ilmoittavat epäilyttävistä tilanteista. Kyberuhkan torjunnan voi hoitaa joko sisäisesti tai ulkoistaa asiantuntijalle”.
Koko maailma samassa veneessä
Kyberuhka lisääntynee lähivuosina merkittävästi. Vesterisen mukaan tähän houkuttelee pieni kiinnijäämisriski, suuret voitot, alati kasvava tiedon määrä ja yritysten huono varautuminen. On arvoitu, että jo kolmen vuoden päästä kyberturvallisuusosaajista on huutava pula.
”Kaikki on verkottunutta, toisiinsa kytkettyä ja osa yhtä suurta tiedon valtatietä. Olemme globaalisti samassa veneessä ja yritämme yhdessä pysyä pinnalla. Turvallisuus ei tule kenellekään ulkopuolelta annettuna. Jokaisen yrityksen täytyy itse ottaa vastuun omasta turvallisuudestaan”.
Helsingin seudun Kauppakamarin äskettäin tekemän kyselyn mukaan 44 prosenttia yrityksistä katsoo tietoon kohdistuneiden riskien kasvaneen edellisen vuoden aikana ja 43 prosenttia tunnistaa, että yrityksellä on jotain sellaista innovaatioihin, tuotteisiin tai asiakkaisiin liittyvää tietoa, joka saattaa kiinnostaa ulkopuolisia. Suojautumisen taso on kuitenkin edelleen riittämätön.
Olemme pieni ja hyvin verkottunut maa – riski, että jokin haittaohjelma pääsee saastuttamaan suuren määrän koneita, on iso. Meillä on vielä paljon tekemistä.
Vesterinen on kuitenkin myös optimistinen Suomen suhteen. ”Pienuus on meille valtti, koska toiminta ja yhteistyö on joustavaa ja asiat voidaan saada kuntoon nopeallakin aikataululla. Myös tietoverkko ja infra ovat kunnossa. Meillä on kaikki edellytykset nostaa selvästi kyberturvallisuuden tasoa Suomessa.
Panun teesit yrityksille kyberturvallisuuden parantamiseen
- Tutustu teemaan. Ajantasaista tietoa saa muun muassa Viestintäviraston Kyberturvallisuuskeskuksen verkkosivulta ja palveluntarjoajilta.
- Analysoi riskit. Mikä tieto on yritykselle niin kriittistä, että sen menettäminen halvaannuttaa liiketoiminnan?
- Turvaa jatkuvuus. Luo liiketoiminnan jatkumisen turvaava suunnitelma hyökkäyksen varalle.
*Keskuskauppakamari ja Helsingin seudun kauppakamari: Yritysten rikosturvallisuus 2017 -selvitys.
Kiinnostuitko? Tutustu Elisan Kyberturvapalveluihin.
Lue myös
Katsaus toteutuneisiin kyberturvauhkiin ja vallalla oleviin trendeihin – onko mikään muuttunut?
Kuinka varautua poikkeamiin kyberturvallisuudessa? Näin varmistat toimintakyvyn harjoittelemalla
Kaikki artikkelit