Luulitko, että kyberhyökkäyksissä katoaa vain salasanoja? Tässä viisi ison rahan riskiä

Vaikka kyberuhat ovat tiedossa, niiden torjunnassa olisi tuoreen tutkimuksen mukaan rutkasti kehittämisen varaa. Tuore tutkimus erottaa verkkohyökkäyksen merkittävimmät seuraukset, joiden pitäisi motivoida jokaisen työntekijän huolehtimaan tietoturvasta.

talous
Kansainvälisen kyberturvallisuuskonferenssin lavasteita Potsdamissa Saksassa.
Ralf Hirschberger / EPA

1. Henkilöstö- tai asiakastietojen varastaminen

Mikäli organisaatio joutuu kyberhyökkäyksen kohteeksi, tämä johtaa vastaajien mielestä suurella todennäköisyydellä henkilöstö-tai asiakastietojen päätymiseen vääriin käsiin. Vastanneista lähes 80 prosenttia piti tätä todennäköisenä hyökkäyksen aiheuttamana vahinkona.

Tietotekniikkayhtiö CGI:n tutkimukseen vastanneista 15 prosenttia kertoo oman organisaationsa olleen tietomurron- tai vuodon kohteena viimeisen kahden vuoden aikana. Kaksi kolmesta pitää todennäköisenä, että heidän edustamansa organisaatio on ollut kyberhyökkäyksen kohteena kenenkään siitä tietämättä. Oman organisaation joutumista kyberhyökkäyksen kohteeksi seuraavan vuoden aikana pitää todennäköisenä kolme neljästä vastaajasta.

2. Aineettoman omaisuuden menettäminen

Yli puolet tutkimukseen vastanneista arvioi, että aineettoman omaisuuden menettäminen on kyberhyökkäyksen todennäköinen seuraus. Esimerkkinä aineettomasta omaisuudesta voidaan mainita patentit ja tietojärjestelmistä löytyvä informaatio.

– Kyberriskeistä on kasvanut kaiken toiminnan uusi normaali, toimialasta riippumatta. Tämä on digitalisoitumisen varjopuoli, joka on vain hyväksyttävä yhtenä investointikohteena siinä missä vakuutuksetkin. Toistuvat, uutiskynnykset ylittäneet esimerkit niin Suomesta kuin maailmalta ovat osoittaneet, että kyse ei ole vain foliohattujen peloista vaan merkittävistä liiketoimintariskeistä, joiden realisoituminen tarkoittaa usein miljoonavahinkoja ja ylimmän johdon vaihtorulettia, arvioi CGI:n kyberturvallisuusjohtaja Jan Mickos.

3. Tuoton menettäminen

Koska kyberhyökkäykset ja erityisesti hankalasti tunnistettavat edistyneet hyökkäykset (Advanced Persistent Threat, APT) ovat vaikeasti tunnistettavissa, seurauksena voi olla tietylle ajanjaksolle jaksotetun tulon eli tuoton menettäminen. Tätä piti todennäköisenä reilut 40 prosenttia vastanneista.

Ongelmana on se, että organisaatioiden edustajien käsitykset oman organisaation kyvyistä tunnistaa turvallisuusuhkia ovat epärealistisen korkealla. Jopa erityisen hankalasti tunnistettavien edistyneiden hyökkäysten tunnistamiskykyynsä luotti reilusti yli kolmannes vastaajista.

– Lähes jokainen luulee kuuluvansa siihen kuuden prosentin joukkoon, joka kykenee tunnistamaan hyökkäyksen itse. Tässä on sama dilemma kuin siinä, että enemmistö autoilijoista kokee olevansa keskimääräistä parempia kuljettajia

4. Liiketoiminnan keskeytyminen

Suomessa on vähitellen alettu ymmärtää, kuinka merkittävä uhka kyberhyökkäyksen mahdollisuuteen liittyy. Tästä kertoo osaltaan se, että 40 prosenttia vastanneista arvioi hyökkäyksen todennäköiseksi seuraukseksi liiketoiminnan keskeytymisen.

Vaikka arvioidut seuraukset ovat vakavia, vain harva yritys investoi tutkimuksen mukaan merkittävästi turvallisuuteen. Vastaajista vain reilu kolmannes aikoo tehdä jotain investointeja ja vain reilu kymmenen prosenttia merkittäviä investointeja turvallisuuden parantamiseen.

– Suomessa on vihdoin herätty kyberriskien vakavuuteen myös johtajien tasolla. Vielä ollaan kuitenkin niin sanotulla tietoisuuden tasolla. Jotain tarttis tehdä, mutta harva silti tekee riittävästi, Mickos kiteyttää.

5. Vahingonkorvausvastuun laukeaminen

Viidenneksi todennäköisimpänä kyberhyökkäyksen seurauksena vastaajat pitävät vahingonkorvausvastuun laukeamista. Kolmannes vastaajista arvioi tämän olevan kyberhyökkäyksen sattuessa todennäköistä.

Olennaista hyökkäyksen sattuessa on vahinkojen laajuuden minimointi. Se edellyttää varautumisen ja suunnittelun lisäksi investointeja. Koska kaikki on murrettavissa, kyse on siitä, kuinka hyvin vahinkoihin varaudutaan paitsi ennaltaehkäisyn myös nopean palautumisen kannalta.

– Suomessa luottamus teknisiin laitteisiin on perinteisesti ollut vahvaa. Mutta enemmän pitää kiinnittää huomiota siihen, miten vahinkojen laajuus minimoidaan. Tässä keskeistä on kyky havaita hyökkäykset ja palauttaa toimintakyky normaaliksi nopeasti. Ja se ei onnistu ilman riittäviä asiantuntijaresursseja, olivatpa ne omaa väkeä tai palveluna ostettuja, Mickos korostaa.

CGI:n tutkimukseen osallistui 200 vastaajaa, joista johdon edustajia oli 49 prosenttia ja asiantuntijoita 36 prosenttia. Vastaajista 38 prosenttia työskenteli IT-tehtävissä, 33 prosenttia liiketoimintatehtävissä ja 14 prosenttia tietoturvatehtävissä. Tutkimus toteutettiin verkkokyselynä viime marraskuun ja maaliskuun välisenä aikana.