Kuten vanha sanonta kuuluu: tilaisuus tekee varkaan. Tämän vuoksi pienemmätkään yritykset eivät ole suojassa netissä vaanivien hämärähemmojen rötöksiltä. Tänä päivänä kyberrikolliset eivät valitse uhrejaan toimialan tai koon perusteella, vaan helppouden. Miten pk-yritys voi parantaa tietoturvaansa yksinkertaisesti ja vähäisin resurssein?
”Keskimääräisen yrityksen suurin haaste tietoturvan suhteen on resurssien vähyys. Pienyrittäjillä harvoin on liikaa aikaa, rahaa tai osaamista käsissään. Samalla tämä on kuitenkin myös mahdollisuus: kun erilaisia tietojärjestelmiä on vähän, niin paletti on yksinkertainen ja helpommin hallittavissa”, kertoo Kyberturvallisuuskeskuksen johtava asiantuntija Juhani Eronen.
Monissa pk-yrityksissä teknologia- ja sovellusympäristö on kasvanut vähän sattumanvaraisesti. Erilaisia ohjelmistoja on ostettu milloin kenenkin toimesta ties mihin tarpeisiin. Loppujen lopuksi tilanne saattaa eskaloitua siihen, että kenelläkään yrityksessä ei ole selkeää näkymää sotkuiseen järjestelmäviidakkoon.
”Mitä vähemmän järjestelmiä on, sitä vähemmän ongelmille on piilopaikkoja. Yllättävän monella yrityksellä ei ole kunnollista näkyvyyttä siihen, mitä järjestelmiä on käytössä ja kuka niistä vastaa.”
Kun järjestelmiä ja palveluntarjoajia on paljon, kukaan ei välttämättä hallitse kokonaisuutta. Kun yrityksellä on selkeä käsitys siitä, mitä järjestelmiä käytetään, missä data sijaitsee ja kuka mistäkin vastaa, on helpompaa reagoida nopeasti, jos jotain tapahtuu.
Heikkouksista tulee rikollisten hyllytuote
Kyberhyökkäykset eivät useimmiten ole kohdennettuja – ne ovat opportunistisia. Tämä tarkoittaa sitä, että jos takaovi jää auki, sitä todennäköisemmin joku kävelee siitä sisään. Samaan aikaan kyberrikollisuus on ammattimaistunut ja toimii kuin mikä tahansa muu liiketoiminta. Erilaisten työkalujen saatavuus on madaltanut kynnystä osallistua rikolliseen toimintaan – nyt mukaan pääsee, vaikka ei osaisi itse koodata riviäkään.
”Yhdeksänkymmentäviisi sadasta verkossa piilevästä uhasta on opportunistisia. Tämä on perustilanne, mihin ihan kaikkien tulee varautua. Jos tietoturva on heikolla tolalla, niin joku käyttää sitä hyväkseen. That’s the way it is”, Eronen toteaa.
Kyberuhat kehittyvät samaa tahtia, kuin suojaavatkin teknologiat. Tämän vuoksi kyberuhista ja kyberturvallisuuden tilasta on hyvä pysyä kärryillä. Erosen mukaan viime aikojen isoimmat hyökkäykset on toteutettu yksinkertaisella reseptillä: etäkäyttöjärjestelmään on päästy internetin kautta sisään.
”Kun joku tällainen heikkous löytyy, siitä tulee kyberrikollisille hyllytuote. Hetken aikaa kaikki toimijat käyttävät samaa taktiikkaa. Nämä trendit vaihtelevat jatkuvasti ja siksi niistä kannattaakin olla tietoinen, silloin pysyy paremmin kartalla. Esimerkiksi Kyberturvallisuuskeskuksen Kybersää tarjoaa ajankohtaista tietoa tietoturvasta.”
Suojaa kalleimpasi
Tietoturvaa on aina hyvä lähteä rakentamaan yrityksen kruununjalokiven ympärille. Tällä tarkoitetaan yrityksen liiketoiminnan kannalta kriittisintä resurssia, sellaista tietoa, palvelua tai toimintoa, jonka varassa yrityksen toiminta keskeisesti lepää. Toisilla tämä voi olla verkkokauppa, mutta yhtä hyvin myös ajanvarausalusta tai asiakasrekisteri.
”Kun tietoturva on käytännönläheistä ja sille on yhteiset periaatteet, ollaan jo pitkällä. Loppujen lopuksi kaikki perustuu siihen, ettei tehdä itsestä helppoa maalia. Kun johtoa myöten ollaan yhteisymmärryksestä siitä, mitä tehdään ja mistä huolehditaan, ollaan jo hyvällä mallilla”, Eronen sanoo.
Kuinka yritykselle rakennetaan toimiva tietoturvakokonaisuus? Entä miten etätyö ja pilvipalvelut vaikuttavat yrityksen tietoturvaan? DNA:n Tietoturva pk-yrityksille: riskit, regulaatiot ja ratkaisut -webinaarissa tarjoilemme huippuasiantuntijoiden johdolla ymmärrettävää puhetta tietoturvasta ja siitä, millaisilla ratkaisuilla sen kanssa pääsee jo hyvin alkuun. Juhani Erosen lisäksi kyberturvatietoutta tarjoilee DNA:n yritysliiketoiminnan verkko- ja pilvipalveluiden liiketoimintajohtaja Kaapro Kanto.
Ilmoittaudu mukaan maanantaina 19.5. klo 10 järjestettävään webinaariin! Webinaari on tarkoitettu jokaiselle, joka haluaa ymmärtää yrityksensä tietoturvaa entistä paremmin – ilman teknistä taustaakin.