PK-yritysten tietoturvassa on vielä parantamisen varaa
Selvitimme, millaisia uhkia PK-yritysten tietoturvaan kohdistuu, kuinka niihin on varauduttu ja kuinka suojautua entistä paremmin.
Tekeville voi sattua
Työtiimi voi nykyisin toimia melkein missä vain. Projekteja hallitaan ilman paperipinoja, potilastietoja siirrellään sovellusten kautta, eikä koulussa lueta enää oppikirjoja vaan omaksutaan digitaalista sisältöä. Valitettavasti on kuitenkin niin, että virtuaaliseen työympäristöön kohdistuu myös kyberturvallisuusuhkia.
Moni pieni tai keskisuuri eli PK-yritys hallinnoi useita tietoverkkoja ja laitteita, joihin liittyy monenlaisia riskejä. Onko yrityksesi varautunut torjumaan kyberhyökkäyksen, jos sellainen sattuu? Sharp kysyi asiasta PK-yritysten tietotekniikasta vastaavilta 11:ssä Euroopan maassa. Kyselyyn osallistui 5 770 vastaajaa monilta eri toimialoilta mukaan lukien koulutus, terveydenhuolto, rakentaminen, juridiikka ja markkinointi.
Tutkimuksemme mukaan suurin osa PK-yrityksistä on jo siirtynyt toimintaa tehostaviin online-järjestelmiin, hybridimalleihin ja sovelluksiin, joiden ansiosta ne kokevat varautuneensa tulevaisuuteen. Yritysten tietoturvassa on silti puutteita. Kasvavasta riskistä huolimatta moni PK-yritys ei aio kasvattaa tietoturvabudjettiaan.
Varautumisen ja uhkien välinen ristiriita muodostaa tilaisuuden kyberrikollisuudelle.
Ymmärrä uhkat
Toimialasta ja palveluvalikoimasta riippumatta tietoturva on haavoittuvainen ja olennainen osa digitalisoitumista. On hienoa voida työskennellä etänä ja pitää tiimin kanssa yhteyttä milloin tahansa sekä tehostaa työnkulkua automatiikan avulla. Mutta mitä enemmän verkkoon kytkettyjä laitteita ja palveluita yrityksellä on, sitä useampaa kautta sen kimppuun voidaan hyökätä.
Liiketoiminnan näkökulmasta pilvipalvelut eli verkkoon tallennetut tiedot ovat helpottaneet kaikenlaisten yritysten ja organisaatioiden tiedonhallintaa. Potilastiedot saa näkyviin yhdellä napautuksella, koetulokset näkyvät sovelluksen kautta, ja työpaikkakartoitukset toteutetaan digitaalisesti. Tämä kuitenkin tarkoittaa, että tiedot ovat myös muiden pilvipalvelujen käyttäjien ja asennettujen sovellusten käytettävissä. Yritysten on ryhdyttävä verkkorikollisten estotoimiin, henkilöstön on tiedostettava uhkat, ja yrityksillä on oltava toimintasuunnitelmat kyberhyökkäyksen varalta.
Valitettavasti moni yritys ei tiedosta todellisia riskejä tai niiden vakavuutta. Moniko yrityksen työntekijöistä tietää, mikä on haittaohjelma tai kiristysohjelma tai mitä on phishing?
Varautuminen ei ole yhtä kuin toimintavalmius
Tilastot osoittavat, että kyberhyökkäyksien määrä kasvaa huimaa vauhtia. Ei ole helppoa pysyä tilanteen tasalla, koska verkkorikolliset kehittyvät koko ajan ovelammiksi. Pienehkö yritys on vaarassa, jos sen digipuolustuksessa on pienikin aukko. Yksi salasana voi olla heikko tai osa datasta salaamatonta, ja juuri tällaiseen rakoon hakkeri iskee.
Sharpin kyselyn mukaan 79 prosenttia eurooppalaisista pienyrityksistä kokee olevansa riittävän varautunut tietoturvauhkiin. Sehän kuulostaa hyvältä, mutta lähes yhtä moni eli 68 prosenttia sanoo epäilevänsä yrityksensä kykyä selviytyä tietoturvahyökkäyksestä. Ja vaikka riski kasvaa, vain 41 prosenttia sanoo lisänneensä tietoturvakoulutuksia hybridityömallin käyttöönoton jälkeen, vaikka henkilöstö on hajaantuneena useisiin toimipaikkoihin, jotka voivat olla hyvinkin erillään ja toimia suojaamattomien verkkoyhteyksien kautta. Käsitys tietoturvan riittävyydestä vaihtelee maittain, joten eurooppalaisista PK-yrityksistä 67–86 prosenttia uskoo olevansa varautunut tietoturvauhkiin
Onko yrityksesi varautunut uhkiin?
Onko yrityksesi digitaalinen puolustus ajan tasalla kasvavaan uhkaan nähden? Kyselyn perusteella uhka tosiaankin kasvaa. Jos yrityksesi on mielestäsi riittävästi varautunut, päivitetäänkö sen kyberturvallisuusstrategioita todellisten riskien mukaan? Seuraavassa osiossa esitellään tuloksia PK-yrityksille lähetetystä kyselystä.
Onko yrityksesi varautunut uhkiin?
Onko yrityksesi digitaalinen puolustus ajan tasalla kasvavaan uhkaan nähden? Kyselyn perusteella uhka tosiaankin kasvaa. Jos yrityksesi on mielestäsi riittävästi varautunut, päivitetäänkö sen kyberturvallisuusstrategioita todellisten riskien mukaan? Seura
Tietoturvauhka ei enää tarkoita sitä, että työntekijä vastaa huijausviestiin tai syöttää salasanansa huijaussivustolle. Nämäkin uhat ovat silti edelleen todellisia, ja 32 prosenttia PK-yrityksistä onkin joutunut tietojenkalastelun ja 31 prosenttia haittaohjelman kohteeksi, joten etäyhteyksien kautta työskentelevät eivät ehkä ole niin tietoisia riskeistä kuin luulevat olevansa.
Pienyritysten, joilla ei ole erillistä IT-osastoa, on olennaista varmistaa, että koko henkilöstö tiedostaa ”kybervaarat” ja saa riittävästi tietoa tietoturvasta. Tämä koskee kaikkia autonkuljettajista rakennustyömaalla puurtaviin sekä johtotason henkilöstöön, joka voi hoitaa työasioita kahvilan tai ravintolan yleisen verkon kautta
Kyselyn mukaan vähän alle 80 prosenttia PK-yrityksistä kokee tietoturvabudjettinsa riittäväksi. Koska noin 30 prosenttia yrityksistä on joutunut virushyökkäyksen kohteeksi eikä monillakaan ole riittävän vankkaa puolustusta, tämän täytyy olla optimistinen arvio. Ei pidä vähätellä hyökkäyksen seurauksia yrityksen maineelle, taloudelle ja asiakasuskollisuudelle.
Vain 44 prosenttia yrityksistä aikoo kasvattaa tietoturvabudjettiaan tänä vuonna, mikä heijastelee yleistä taloustilannetta. Kannattaa kuitenkin muistaa, ettei kyberturvallisuuteen investointi välttämättä tarkoita, että pitää käyttää entistä enemmän rahaa; jo budjetoidun rahan voi ehkä käyttää entistä järkevämmin. Oikea ratkaisu tarjoaa yritykselle täyden suojan eikä maksa maltaita.
Nykyisin uhkia on joka taholla, eikä yritys välttämättä pysty tunnistamaan, missä ne piilevät. Vaikka lähes 80 prosenttia PK-yrityksistä uskoo henkilöstönsä saavan riittävästi tietoturvakoulutusta, aukkoja löytyy: lähes 19 prosenttia yrityksistä on kokenut tietoturvahyökkäyksen yhteisen tulostusjärjestelmän kautta. Moni ei usko, että hakkeri voi tunkeutua yrityksen järjestelmään tulostukseen, skannaukseen ja dokumenttienhallintaan tarkoitetun laitteen kautta.
Tämä on erittäin hyvä esimerkki PK-yrityksen haavoittuvuudesta. Vaikka noin 20 prosenttia joutuu hyökkäyksen kohteeksi, vain 5 prosenttia on huolissaan tästä uhasta. Koska noin 30 prosentilla ei ole käytössä tulostimet kattavaa tietoturvaa, on selvää, että työntekijöitä pitää kouluttaa tiedostamaan tällainenkin riski.
Varautumisesta valmiuteen ja riskinhallintaan
PK-yritys ei voi olla täysin varautunut kyberhyökkäykseen ennen kuin se on järkeistänyt käsityksensä ja ymmärryksensä tietoturvasta sekä budjettinsa suojaustoimiin. Kyberturvallisuuteen liittyy isoja riskejä: jos tulee hyökkäys, siihen on vaikutusten lieventämiseksi suhtauduttava riittävän kattavalla ja strategisella tasolla. Tämä tarkoittaa, että on koulutettava henkilöstöä ja valvottava verkkoa ja järjestelmiä vuorokauden ympäri.
Varautuminen ei saa vaikuttaa liiketoimintaan eikä aiheuttaa kohtuuttomia kustannuksia. Sharpilla on tarjota kattava valikoima vakio- sekä lisätietoturvaratkaisuja, joiden avulla yritys voi rakentaa riittävän digitaalisen puolustuksen, ja meiltä saa kaiken tarvittavan asiantuntemuksen, valvonnan ja palautteen yrityksen tietoturvan varmistamiseksi.
Näin pidät yrityksen suojattuna
Sharpin Security Hubissa on lisää tietoa PK-yritysten tietoturvariskeistä ja -ratkaisuista.