Vahvista tietoturvaa ja lievitä kybertuskaa.
Digiasema
Kyberasema
Vahvista tietoturvaa ja lievitä kybertuskaa.

Suomen kybertilanne yrityksen näkökulmasta – mitä kannattaa tehdä nyt, vaikka oma yritys ei olisi kriittinen toimija

Työntekijät katsovat tietokoneen näyttöä toimistossa. Etualalla pöydällä on muistivihkoja, ja taustalla näkyy lämmin, pehmeä valaistus.

Kyberturvasta puhutaan usein niin, että huomio kohdistuu suuriin organisaatioihin, viranomaisiin tai kriittiseen infrastruktuuriin. Samalla moni pk-yritys tai alueellinen toimija ajattelee, ettei oma organisaatio ole erityisen kiinnostava kohde. Tämä ajatus on kuitenkin vaarallinen.

Suomen tämänhetkinen kybertilanne koskee myös tavallisia yrityksiä. Hankkeen osallistumisissa alan tapahtumiin nousi toistuvasti esiin sama viesti: kyberrikollisuus, tekoälyyn liittyvät uhat, toimitusketjujen riskit, proaktiivisen tietoturvan tarve ja yritysten rooli rikostorjunnassa eivät koske vain kaikkein suurimpia toimijoita. Ne koskevat koko yrityskenttää.

Monen yrityksen suurin virhe ei ole heikko teknologia, vaan väärä oletus omasta merkityksettömyydestä. Yritys ei tarvitse yhteiskunnallisesti kriittistä roolia ollakseen hyökkääjälle kiinnostava. Riittää, että organisaatiossa on rahaliikennettä, asiakasdataa, tunnuksia, kumppanuuksia tai pääsy toisen organisaation järjestelmiin. Joskus hyökkääjälle riittää myös se, että yritys on riittävän pieni, kiireinen tai aliresursoitu.

Hankkeen aikana on nousut esiin ajatus digitaalisesta etulinjasta, hyökkäysten pysäyttämisestä ennen kyberkriisiä, henkilöstön roolista puolustuksen etulinjassa, tekoälyuhista, tuntemattomien uhkien havaitsemisesta ennen iskua, uhkamallinnuksesta sekä vakavan ja järjestäytyneen kyberrikollisuuden vaikutuksesta yrityksiin ja organisaatioihin. Tämä kokonaisuus kertoo yhdestä asiasta: yrityksen kannattaa tarkastella kyberturvaa osana normaalia liiketoiminnan jatkuvuutta, ei irrallisena IT-kysymyksenä.

 

Miksi myös tavallinen yritys on kiinnostava kohde?

Kyberrikollisuus ei aina etsi näkyvintä mahdollista kohdetta. Se etsii usein kohdetta, johon pääsee helpoimmin. Tavallinen yritys voi joutua hyökkäyksen kohteeksi ainakin neljästä syystä.

Ensimmäinen syy on raha. Laskutuspetokset, toimitusjohtajahuijaukset, tilisiirtoihin liittyvät väärinkäytökset ja kiristyshaittaohjelmat osuvat usein organisaatioihin, joissa prosessit ovat riittävän laajoja mutta suojaus ei ole vielä kypsällä tasolla.

Toinen syy on data. Asiakasrekisterit, sopimukset, henkilötiedot, tarjoukset ja projektiaineistot voivat olla hyökkääjälle arvokkaita.

Kolmas syy on toimitusketju. Yritys voi toimia reittinä isompaan kohteeseen. Jos organisaatiolla on kumppanuuksia, teknisiä integraatioita tai pääsy asiakkaan ympäristöihin, siitä tulee automaattisesti kiinnostavampi.

Neljäs syy on helppous. Jos hyökkääjä arvioi, että organisaatio reagoi hitaasti, koulutus on puutteellista ja tekninen näkyvyys heikkoa, hyökkäyksen kustannus on matala.

 

Mitä yrityksen kannattaa tehdä nyt?

Tilanne ei vaadi paniikkia, mutta se vaatii realismia. Yrityksen ei tarvitse tehdä kaikkea kerralla, mutta muutamasta asiasta kannattaa aloittaa.

 

Tunnista, mikä on oikeasti kriittistä

Kaikkea ei voi suojata samalla tasolla. Siksi ensimmäinen tehtävä on tunnistaa liiketoiminnan kannalta tärkeimmät palvelut, tiedot ja prosessit. Mikä pysäyttäisi toiminnan? Mistä seuraisi suurin mainehaitta? Missä käsitellään luottamuksellisinta tietoa?

Kun kriittiset kohteet on tunnistettu, suojaaminen muuttuu yleisestä puheesta käytännön priorisoinniksi.

 

Varmista, että henkilöstö osaa toimia

Yksi tapahtumista noussut keskeinen viesti oli, että tietoturva alkaa koulutuksesta ja henkilöstö toimii puolustuksen etulinjassa. Tämä on yritykselle erittäin konkreettinen oppi. Jos henkilöstö ei tunnista poikkeavaa viestiä, outoa pyyntöä tai epäselvää kirjautumistilannetta, tekninen suojaus ei yksin riitä.

Yrityksen kannattaa tehdä ainakin nämä:

  • opettaa henkilöstölle yleisimmät huijaus- ja kalastelutilanteet
  • tehdä ilmoittamisesta helppoa
  • harjoitella, mitä tehdään, kun jotain epäilyttävää havaitaan

 

Tee hyökkäyksen alku näkyväksi

Kyberturvallisuuden ongelma ei usein ole se, etteikö jotain tapahtuisi, vaan se, ettei tapahtunutta huomata ajoissa. Usein yrityksiin tapahtuneet hyökkäykset huomataan vasta 180–287 päivän kuluttua.

Käytännössä tämä tarkoittaa sitä, että yrityksen pitäisi pystyä vastaamaan ainakin kolmeen kysymykseen:

  • näemmekö kriittisten järjestelmiemme poikkeamat
  • tiedämmekö, kuka reagoi ensimmäisenä
  • tiedämmekö, mitä tehdään ensimmäisen tunnin aikana

Yritysten ei tulisi tuudittautua ajatukseen, että he olisivat ”liian pieniä” tai ”näkymättömiä” rikollisille. Kiristyshaittaohjelmaryhmät käyttävät hyödykseen automaattisia työkaluja joilla etsivät jatkuvalla syötteellä verkosta yrityksiä, joihin olisi helppo hyökätä.

 

Ota tekoäly käyttöön hallitusti

Tekoäly näkyy jo nyt yritysten arjessa, mutta sen käyttö tuo mukanaan myös uusia riskejä. Tapahtumissa esiin nousivat sekä tekoälyuhat että tarve sovittaa yhteen innovaatiot, yksityisyys ja turvallisuus. Yrityksen kannalta tämä tarkoittaa, että tekoälyä ei kannata ottaa käyttöön ilman pelisääntöjä.

Hyvä alku on määritellä:

  • mitä työkaluja saa käyttää
  • mitä tietoa niihin ei saa syöttää
  • milloin ihminen tarkistaa lopputuloksen
  • kuka vastaa käytön linjauksista

 

Harjoittele johtamista, älä vain tekniikkaa

Poikkeamatilanteessa ongelma ei yleensä ole pelkästään tekninen. Usein vaikeinta on päättää nopeasti, kuka johtaa, mitä viestitään ja miten liiketoiminta pidetään käynnissä. Siksi yrityksen kannattaa harjoitella myös johtoryhmätasolla. Jos kriittinen järjestelmä ei toimi maanantaiaamuna, kuka tekee päätökset? Milloin tilanne eskaloidaan? Milloin asiakkaille kerrotaan?

Kyberresilienssi ei rakennu vain suojauksesta, vaan päätöksentekokyvystä.

 

Mikä on sopiva minimitaso?

Kaikki yritykset eivät tarvitse raskasta turvallisuusorganisaatiota, mutta jokainen yritys tarvitsee perustason, jonka varaan voi rakentaa. Käytännöllinen minimitaso voisi sisältää:

  • ajantasaiset päivitykset ja perussuojauksen
  • monivaiheisen tunnistautumisen
  • varmuuskopiot ja palautuksen testauksen
  • henkilöstön säännöllisen koulutuksen
  • selkeän ilmoitus- ja reagointimallin
  • näkyvyyden kriittisimpiin järjestelmiin
  • vähintään kevyen uhkamallinnuksen tärkeimmille prosesseille

 

Tämän tason saavuttaminen on jo merkittävä parannus verrattuna tilanteeseen, jossa organisaatio luottaa siihen, ettei “meille kuitenkaan käy mitään”.

Nyt tärkein kysymys ei ole, olemmeko kriittinen toimija

Yritykselle tärkein kysymys ei ole, lasketaanko se virallisesti kriittiseksi toimijaksi. Tärkeämpi kysymys on tämä: jos poikkeama tapahtuisi huomenna, huomaisimmeko sen ajoissa, tietäisimmekö mitä tehdä ja pystyisimmekö jatkamaan toimintaa?

Suomen kybertilanne ei ole vain viranomaisten tai suuryritysten asia. Se on myös tavallisten yritysten arkea. Siksi jokaisen organisaation kannattaa parantaa näkyvyyttään, kouluttaa henkilöstöään, selkeyttää vastuitaan ja rakentaa perustason kyberresilienssiä jo nyt.

Sisältö on osa Kaakkois-Suomen ammattikorkeakoulun Kyberturvan tulevaisuus Kymenlaaksossa -hanketta, jota rahoittaa Kymenlaakson Liitto Euroopan unionin Oikeudenmukaisen siirtymän rahastosta (JTF).

Kyberasemalta löydät ajankohtaisia sisältöjä, verkkokoulutuksia, podcasteja, videoita ja tapahtumia oman ja yrityksesi tieto- ja kyberturvallisuuden vahvistamiseen: www.kyberasema.fi

Tsekkaa hankkeen aikana luotuja koulutusvideoita!

Jos aihe jäi askarruttamaan ja haluat tietää lisää, tutustu kyber- ja tietoturva-asiantuntija Janne Niinisaaren koulutusvideoihin yrityksen kyberturvasta.

Katso videot tästä alta 👇