Tietoturva koskee ihan jokaista yritystä koosta ja toimialasta riippumatta. Teknologia kehittyy jättimäisillä harppauksilla eteenpäin. Sitä mukaa kun keksimme uusia tapoja suojautua, syntyy myös uusia tapoja väärinkäyttää palveluita. Millaiset uhat ovat tällä hetkellä pinnalla? DNA:n yritysliiketoiminnan verkko- ja pilvipalveluiden liiketoimintajohtaja Kaapro Kanto kertoo, miltä kyberturvallisuuden kenttä tällä hetkellä näyttää.
Kyberturvallisuus on muuttunut reilusti viimeisen viiden vuoden aikana: tekoäly on astunut kuvaan ryminällä, konttoreiden sijaan töitä tehdään enenevissä määrin kotona, haittaohjelmien tehtailu on ammattimaistunut ja hyökkäykset kohdistetaan yhä useammin toimitusketjun heikoimpaan lenkkiin. Kun yritykset nojaavat yhä enemmän pilvipohjaisiin sovelluksiin, myös sinne kohdistuu enemmän hyökkäyksiä – eikä kenelläkään ole varaa jättää hyökkäyksen mentävää aukkoa.
”Verkkorikollisuuden erityispiirre on se, että kaikki ovat potentiaalisia uhreja. Kyberrikollisten kenttä on laajentunut valtavasti ja hyökkäykset ovat aiempaa monipuolisempia. Rikolliset hyödyntävät nykyään automaatiota ja tekoälyä niin kohteiden taustojen selvittämiseen kuin hyökkäyksiin niiden tehokkuuden varmistamiseksi”, Kanto kertoo.
Aukosta tietoturvassa tulee kallis lasku
Korona-ajan myötä tietotyöläisille tutuksi tullut hybridityöskentely toi Kannon mukaan merkittäviä muutoksia yritysten tietoturva-arkkitehtuuriin. Aikaisemmin yrityksissä ajateltiin, että oma sisäverkko on turvallinen paikka. Nyt kun etänä ollaan jatkuvasti, ei ole enää sellaista asiaa kuin sisäverkko: työntekijät voivat työskennellä vaikka mökin terassilta käsin ja palvelut ovat pilvessä. Tämä tarkoittaa uudenlaisen arkkitehtuurin tarvetta. Käytännössä arkkitehtuuri perustuu ajatukseen, että luottamusta ei voida antaa automaattisesti millekään verkon osalle tai käyttäjälle – ei edes yrityksen omalle henkilöstölle tai laitteille.
”Tärkein askel kyberhyökkäyksiltä suojautumisessa on tuntea yrityksen oma toimintaympäristö ja siihen liittyvät riskit. Kun ennen aikaan suojautumiseen riitti yksinkertainen palomuuri ja vahva salasana, nyt suojausmekanismien tulee olla kattavat. Painopiste on myös siirtynyt havainnointiin ja reagointiin. Jos hyökkäys osuu kohdalle ja pahin tapahtuu, on erittäin kallista, kun tuotantolaitos pysähtyy tai verkkokauppa lamaantuu”, Kanto selittää.
Uhat eivät ole enää yksittäisiä tapahtumia – kyberresilienssi kilpailutekijänä
Kyberresilienssi, eli kyky havaita, reagoida ja toipua kyberuhista, on noussut yritysten kriittiseksi kilpailutekijäksi, sillä liiketoiminnan jatkuvuus voi vaarantua hetkessä.
Myös geopolitiikka vaikuttaa yrityksiin. Suomen sijainti Venäjän naapurissa ja NATO-jäsenyys ovat korostaneet maan roolia. Aiemmin tuntematon pikkuvaltiomme ei päässyt sen suuremmin valokeilaan eikä myöskään rikollisten kartalle. Nyt hyökkäysten takana saattaakin olla valtiollinen toimija, jonka tarkoituksena on pahimmassa tapauksessa lamauttaa koko yhteiskunta.
Kun kyberrikollisuus ei enää ole vain taloudellista, valtiolliset toimijat voivat käyttää kyberhyökkäyksiä osana laajempaa geopoliittista strategiaansa. Tällöin myös yhteiskunnan kriittiset palvelut, kuten sairaalat ja kunnalliset toimijat, ovat alttiina.
”Jatkuva valvonta ja kyberresilienssin kasvattaminen on nyt erittäin tärkeää, sillä uhat eivät ole enää yksittäisiä tapahtumia, vaan jatkuva ilmiö. Hyökkäykset voivat olla pitkään huomaamattomia ja esimerkiksi kiristyshaittaohjelmat voivat kyteä järjestelmissä viikkoja ennen aktivoitumistaan. Tietoturva ei ole vain tekninen haaste, vaan keskeinen osa vastuullista ja kestävää liiketoimintaa”, Kanto sanoo.
Rikolliset eivät ilmoita itsestään etukäteen. Siksi jatkuva valvonta ja kyberresilienssin kasvattaminen eivät ole valinnaisia toimenpiteitä, vaan elinehto kaikille organisaatioille. Entistä parempi kyberturvallisuus alkaa siitä, että jokainen yrityksen työntekijä ymmärtää tietoturvan koskettavan heitä. Tietoturva luo myös pohjan jatkuvuudelle: kun yritys on tunnistanut mahdolliset riskit ja niihin liittyvät uhat, on niitä vastaan helpompi suojautua.
