Välinpitämättömyys tietoturvasta maksaa entistä enemmän yrityksille
Grafiikat ovat hyödyllisiä, havainnollisia: siis käyrä yrityksiin kohdistuneiden kyberrikosten määrän kasvusta on karua katsottavaa. Jossakin vaiheessa näytti, että tilanne yleisessä tietoturvassa olisi jo osin hallinnassa, mutta sitten maailmanmitassa taas repsahti. Tämä maksaa, ja Suomi kun ei ole lintukoto, vaan kulkee keskiarvojen yläpuolella tietoturvarikosten kustannuksissa.
Tietoturvan kohentaminen yrityksissä ei ole suuri investointi
Jos yrityksessä sen omien sivustojen ja verkkopalvelujen perusasiat laitetaan kuntoon, ei puhuta vielä isostakaan tai kalliista urakasta. Tietoturvaohjelmistojen asennus joko/tai vanhan turvalliseksi päivitys koneissa ja älypuhelimissa tulee tärkeysjärjestyksessä ykkösenä. Datan varmuuskopiointi taas saadaan rutiininomaiseksi tavaksi kevyellä koulutuksella. Kyseessä on varsin pikku investointi siihen nähden, mitä maksaa, jos asiat jätetään rempalleen – ja isku tulee hetkellä, kun sitä vähiten odottaa. Se vain menee niin – nykyaikana – että joku kutsumaton tulee takaovesta, jos se jää repsottamaan auki.
Olen myös kysynyt, onko teillä tapana jättää auton ovet auki yöksi tai avain moottoripyöränne virtalukkoon?
Ai, ei ole?
Entä onko yrityksessänne tietojärjestelmää suojattu kyberhyökkäyksiltä?
Ai ei ole.
Tämäpä outoa, koska järjestelmän takaporttien tieturvan testaus ja koputtelu on jopa todennäköisempää, kuin että auton ovia käydään yöllä kokeilemassa, josko tuo olisi vietävissä.
Tietomurroista aiheutuneet kustannukset ovat nousussa
Amerikkalaisen Ponemon Instituten tuoreen v. 2019 seurantarapotin mukaan tietomurroista aiheutuneet kustannukset ovat nousseet globaalisti 12 prosenttia viimeisen 5 vuoden aikana. Kun taas pohjoismaista tehdyn tutkimuksen mukaan tietomurroista aiheutuneet kustannukset ovat nousseet 20 prosenttia viimeisen vuoden aikana. Olemme kärkiryhmää. Toisin laskien kyberrikollisuudesta aiheutuvat tappiot ovat keskimäärin 2 miljoonaa euroa vuodessa per organisaatio.
Varautumisen taso pohjoismaissa ei ole laadultaan hyvä ja vakaa
Kyberrikollisuuteen erikoistunut työelämäprofessori Jarno Limnéll Aalto-yliopistosta toteaa, että hyvinkin välinpitämätön asenneilmasto elää ja voi hyvin, valitettavasti. Viesti ei ole mennyt perille yrityksissä. Limnéll on itse kohdannut yliokaista suhtautumista kyberuhkiin – Sellainen asenne tulee kyllä ennemmin tai myöhemmin kalliiksi, Limnéll jatkaa. IBM Finland lataa lisää löylyä: kestää keskimäärin 200 päivää tajuta tapahtunut kyberrikos ja koota tieto, mitä hyökkäyksessä on tapahtunut. Seuraavaksi ”toipuminen” rikoksen uhriksi joutumisesta kestää vielä 70 vuorokautta päälle. Karuja arvioita. Tuonkin ajan, kun voisi käyttää turvalliseen bisnekseen – ja tietoturvan voi aina jättää ammattilaisten huoleksi.
Niin paljon kuin asioista on puhuttu, ja hyvää tietoturvakulttuuria juurrutettu yritysten ja organisaatioiden rutiineiksi, ei se (vielä) ole kantanut hääviä hedelmää. Uhkat eivät rajoitu koneisiin: yritys tarvitsee usein kokonaisen turvallisuussuunnitelman, jonka laatijalta lakipäivityksen myötä vaaditaan turvallisuusvalvojan erikoisammattitutkintoa. Monissa tapauksissa riskit täytyy arvioida kokonaisvaltaisesti. Tekninen tietoturva on hyvä alku, sitten tulee mm. se, että turvastandardit täyttyvät kulunvalvonnassa. Rakennuksen ulkopuolisissa datayhteysliittymissä ynnä muusta tulee tehdä vastaava turvaselvitys.
