On olemassa kaksi tyypillistä kyberhyökkäystyyppiä, joiden uhriksi yritys, organisaatio tai kunta voi Suomessa joutua.
Nykyään yleisimpiä ja eniten puhuttuja kyberhyökkäyksiä ovat kiristyshaittaohjelmat erilaisine variaatioineen. Kiristyshaittaohjelmien "hyvä puoli" on se, että ne on yleensä todella helppo havaita. Kiristysohjelmien vaarana on, että kaikki yrityksen tiedostot, materiaalit, asiakirjat ynnä muut liiketoiminnalle oleelliset asiat, voivat kadota silmänräpäyksessä – maksoi kiristäjälle tai ei. Lähtökohtaisesti kiristäjälle maksaminen näissä tapauksissa on täysin riskibisnestä. Tiedostot saa palautettua tai sitten ei. Tietojen varmistaminen on aivan välttämätön varokeino tätä uhkaa vastaan. Muistakaa myös harjoitella palautuksia.
Toisen yleisen uhan, tietomurtojen, tyypillinen havainnointiaika voi olla kuukausia tai jopa puoli vuotta. Tietomurto on yleensä aluksi siis hyvinkin huomaamaton.
Molemmat uhat voivat rampauttaa yrityksen. Tunnettuja tapauksia ei tarvitse edes hakea kaukaa. Viime kesä oli näiden tapausten suhteen vilkasta aikaa. Kokemäen kaupunki joutui kiristyshaittaohjelman uhriksi, mistä se onneksi selvisi odotettua vähemmin vahingoin. Niin ei kuitenkaan aina käy. Yhtä lailla tuore tapaus on Lahden kaupungin tietomurto viime kesältä. Siinä kaupungille tuli pelkästään suoria kuluja lähes 700 000 euron edestä, minkä lisäksi mahdollisia välillisiä kuluja on vaikea arvioida. Muita julkisuudessa näkyneitä kyberhyökkäyksiä tapahtui esimerkiksi Porin ja Espoon kaupunkeja kohtaan.
Perinteiset kyberhyökkäykset ja tietoturvamurrot voivat tulla kalliiksi, vaikka niissä ei toiminnalle kriittistä immateriaali- ja materiaaliresursseja aina katoakaan.
Tietoturvan mittaamaton arvo
Tietoturvan tai sen puutteiden arvoa ei voi mitata pelkästään euroilla. Monella toimijalla on pelissä rahan lisäksi arvostus, luottamus ja maine, joiden menetyksen arvo voi olla vähintään yhtä suuri ja kriittinen kuin suorat kulut.
Vaikka yritys tai organisaatio voi luulla, ettei heillä ole mitään salattavaa, ei se tarkoita, etteikö niin kuitenkin olisi. Tietomurron seurauksena vääriin käsiin voi joutua hinnastoja, sähköposteja, tarjouksia, sopimuksia, käyttäjätunnuksia, salasanoja ja vaikka asiakastietoa.
Viimeisen kohdalla varsinkin pitäisi olla tarkkana – GDPR:ää ei säädetty vain muotoseikaksi, vaikka siltä välillä tuntuukin. Jos yrityksellä, organisaatiolla tai julkisella toimijalla on asiakkaista mitään henkilötietoja, ne ovat lähtökohtaisesti salattavaa tietoa.
Tietomurto ja menetetty maine Suomessa
Maineen menettäminen tietoturvan vuoksi on varsinkin brändeille suunnaton menetys. Jostain syystä Suomessa on paljon ilkeämpi suhtautuminen tietomurron kohteeksi joutuneita kohtaan kuin muualla – ja se heijastuu myös toimintaan.
Suomessa on vallalla sellainen huono periaate, että yritykset ja organisaatiot peittelevät tietomurron sattuessa mahdollisimman pitkään tapahtunutta. Meillä ei ole mallia sille, että myönnettäisi julkisesti tyriminen ja kehotettaisi muita ottamaan siitä opiksi.
Sen sijaan esimerkiksi Englannissa – osin lainsäädännöllisistäkin syistä – ei turhaan peitellä, vaan tullaan rehdisti esiin, kun on jotain sattunut, pyydetään anteeksi ja parannetaan omaa toimintaa.
Turhasta häpeästä olisi hyvä päästä eroon tietoturva-asioissa. Puolet tietoturvahyökkäyksistä ja -murroista tapahtuu siksi, että käy huono tuuri eli sattuu olemaan ‘tiellä’. Tällöin ei ole kyse kohdistetusta hyökkäyksestä, mutta mikäli jossakin on ovi, siitä kuljetaan, kun siitä sattuu pääsemään sisään. Löydettyä ovea käytetään hyödyksi ennemmin tai myöhemmin.
Lisäapua?
Varmista, ettei yrityksestänne löydy ovea kyberhyökkäyksille. Turvaa liiketoimintasi jatkuvuus! Tässä lisämateriaalia avuksesi:
Lataa maksuton opas tietoturvasta. Kaikki, mitä yritysten pitää aiheesta tietää.
Sinua saattaa kiinnostaa myös:
- Voiko kiristyshaittaohjelmilta eli ransomwarelta suojautua?
- Yrityksen tietoturva - Miten turvaan liiketoiminnan jatkuvuuden?
- Yritys ja palomuuri – Tarvitseeko yritykseni palomuuria?
- Tietojen varmistus toimii vakuutuksena liiketoiminnallesi
- Hyvä ja turvallinen sähköposti
Kysy suoraan asiantuntijalta:
Takaisin blogiin
Juha-Matti Heljaste toimii F-Securen tietoturva-asiantuntijana yritysmyynnissä. Rauhala OnCloud -palvelut on F-Securen luotettava kumppani tietoturva-asioissa.
