Kyberhyökkäyksen riski kasvaa yrityksissä, mutta liian harva varautuu – Yksi puute korostuu

Kyberrikollisuuden lisääntyessä rikolliset pyrkivät etsimään yrityksiä, joissa suojaustoimenpiteet eivät ole ajan tasalla. Vakuutusyhtiö Fennia varoittaa yrityksiä tietomurroista, tietojenkalastelusta ja palvelunestohyökkäyksistä, jotka ovat yleistyneet viime aikoina. Yhtiön mukaan tekoäly on tuonut kehitykseen oman lisänsä, ja esimerkiksi suomen kieltä käytetään yhä paremmin huijauksissa. Myös tietoon liittyvien vahingonkorvausriskien merkitys on korostumassa.

– Monet yrittäjät ajattelevat, että kyberrikollisuus tähtää vain tunnettuihin ja isoihin yrityksiin, eikä täten kosketa heitä itseään. Riski ulottuu kuitenkin kaikkiin yrityksiin, sillä tietotekniikkaa joutuu jokainen hyödyntämään enemmän tai vähemmän. Vaikka yritys olisi pieni ja sen nettisivut yksinkertaiset, se ei tarkoita, etteivätkö rikolliset olisi siitä kiinnostuneita. Rikollisia kiinnostavat kaikenkokoiset yritykset, jotka eivät ota uhkaa vakavasti, Artturi Mikkonen Fenniasta kertoo.

Poliisin tilaston perusteella tänä vuonna kuuden ensimmäisen kuukauden ajalla tapahtuneiden tietomurtojen määrä on samaa luokkaa kuin viime vuonna samaan aikaan.

Traficomin Kyberturvallisuuskeskuksen haittaohjelmahavaintojen mukaan haittaohjelmia raportoidaan satoja tuhansia joka vuosi. 

“Monet yrittäjät ajattelevat, että kyberrikollisuus tähtää vain tunnettuihin ja isoihin yrityksiin, eikä täten kosketa heitä itseään.”

Artturi Mikkonen, Fennia

Harvalla vakuutus

Suomen Yrittäjien vuonna 2022 tekemän kyselytutkimuksen mukaan tuhannet yritykset eivät näe tietomurroissa riskiä liiketoiminnalleen, ja yli puolet pitävät riskiä vähäisenä. Samalla kuitenkin 61 prosenttia yrityksistä kokee esteitä tietoturvan toteutumisessa. Tyypillisiä esteitä ovat osaamisen ja ajan puute sekä kustannukset.

Yritys voi varautua riskeihin nostamalla tietoturvatasoa, minkä lisäksi keinona on vakuuttaminen. Fennian asiantuntijan mukaan useimmilla yrittäjillä ei ole tietoturvariskejä kattavaa vakuutusta. Mikkosen mukaan syynä on todennäköisesti se, ettei tietoturvarikosten aiheuttamia mahdollisia vaikutuksia ja kustannuksia täysin ymmärretä.

– Tavalliset vakuutukset eivät usein kata digitalisaatioon liittyviä riskejä. Tietoturvavakuutus korvaa esimerkiksi liiketoiminnan keskeytymiseen tai tietojen ja ohjelmistojen palauttamiseen liittyviä vahinkoja, sekä luottamuksellisten tietojen paljastumisesta seuraavaa vahingonkorvausvastuuta, hän sanoo.

Kiristäminen korostuu

Viime vuosina kasvussa ovat olleet tietomurrot, joissa henkilöitä kiristetään varastetuilla ja arkaluontoisilla tiedoilla. Vastaavia ilmiöitä yrittäjillä voivat olla esimerkiksi asiakastietojen tai liikesalaisuuksien kalastelu ja niillä kiristäminen.

– Kyberkiristyksissä haittaohjelma voi esimerkiksi lukita laitteen, minkä jälkeen rikolliset vaativat lunnaita koneen avaamiseksi, Mikkonen kertoo.

Inhimilliset erehdykset korostuvat kyberhyökkäyksissä. Tyypillinen tapa voi olla esimerkiksi epähuomiossa sähköpostista avattu linkki, joka asentaa haittaohjelman laitteeseen. 

Kyberhyökkäys voi aiheuttaa pitkän keskeytyksen yrityksen toimintaan. Pahimmillaan se aiheuttaa vahinkoa myös asiakkaille, jos rikollinen pääsee käsiksi asiakastietoihin.

– Pienimmillään puhutaan joidenkin tuhansien tai kymmenien tuhansien eurojen vahingoista, mutta isommissa tapauksissa jopa miljoonista. Näistä voi helpostikin tulla yrityksille kohtalokkaita seuraamuksia, Mikkonen kertoo.

Mikkosen mukaan tietoturvariskin merkitystä yritystoiminnan kannalta ei aina ymmärretä tarpeeksi hyvin.

– Yritykset eivät yleensä ole esimerkiksi ennalta arvioineet tai laskeneet, millainen taloudellinen vaikutus tietoturvatapahtumilla yritykselle voisi olla, tai laatineet erityistä varautumissuunnitelmaa, hän toteaa.

Perussuojautumiskeinoihin kuuluvat palomuurit, automaattiset päivitykset, varmuuskopiointi sekä monivaiheinen tunnistautuminen. Nämä ovat Mikkosen mukaan usein kunnossa, mutta ne eivät välttämättä riitä.

Myös henkilöstön kouluttaminen, kriisisuunnitelmat ja tietoturvavakuutus ovat olennainen osa tietoturvariskeihin varautumista.

– On tärkeää varmistaa, että kriittisiin tietoihin pääsevät käsiksi vain ne henkilöt, jotka niitä oikeasti tarvitsevat työtehtäviensä takia. Henkilöstöä tulee myös säännöllisesti ohjeistaa tietoturvasta ja sen uhista, Mikkonen muistuttaa.