Luulitko, ettei tietomurto voi iskeä omaan yritykseen? Tietoturvaguru tunnistaa ilmiön: ”Kiinasta käsin ei voi murtautua varastoon mutta laskutusjärjestelmään voi”

Tuoreen Yrittäjägallupin mukaan 34 prosenttia yrityksistä arvioi tietomurrot suureksi tai melko suureksi riskiksi liiketoiminnalleen. Vain seitsemän prosenttia ei näe tietoturvassaan lainkaan riskejä.

– Ukrainan sota ja siihen liittyvä kyberoperointi korostaa myös pk-yritysten tietoturvatyön merkitystä. Pitää olla varautunut erilaisiin operaatioihin. Ei saa olla liian sinisilmäinen, Suomen Yrittäjien digi- ja koulutusasioiden päällikkö Joonas Mikkilä sanoo.

Gallupin tulosten perusteella 58 prosenttia yrityksistä pitää tietoturvasta huolehtimista erittäin tärkeänä. Melko tärkeäksi sen kokee 31 prosenttia yrityksistä.

Noin joka kymmenes yritys kertoo joutuneensa tietomurron tai sen yrityksen kohteeksi. Yli 10 henkilön yrityksistä ja teollisuusyrityksistä näin kertoo joka viides. Hieman yli puolet yrityksistä tietää, miten toimia tietomurron tapahduttua. Epävarmoja tai tietämättömiä on 41 prosenttia. 

– Tietomurto voi tulla yritykselle kalliiksi. Nopea ja tehokas reagointi rajaa vahinkoja. On tärkeätä tietää, miten toimia murron tapahduttua. Pk-yrityksiä on kannustettava varautumaan tietomurtoihin sekä opastettava toimimaan oikein niiden tapahduttua, Mikkilä toteaa. 

”Säästyy paljolta, kun miettii asiat heti alussa kuntoon”

Yrittäjänä vuoden toiminut hämeenlinnalainen Veikko Venemies päätti heti yritystä perustaessaan panostaa tietoturvaan. Venemiehen VWV Media keskittyy muun muassa videoiden tekemiseen, somemarkkinointiin ja verkkosivujen suunnitteluun.

– Olisi katastrofi, jos asiakkaiden tiedoille ja tärkeille dokumenteille tapahtuisi jotain. Olen kokenut alusta alkaen tärkeänä, että ne ovat turvassa. Yrittäjä säästyy paljolta, kun asiat miettii heti alussa kuntoon. Ei tarvitse jälkikäteen harmitella.

Venemies käyttää palavereissa ja julkisissa tiloissa surfatessaan VPN-palvelua, joka suojaa verkon ulkopuolisilta. Hänellä on käytössä NordVPN-palvelu, joka tarjoaa virtuaalisia yksityisverkkoja.

– Aina kun kone käynnistetään, palvelu aktivoi automaattisesti VPN-yhteyden ja vaihtaa ip-osoitetta. Osoitteen voi vaihtaa myös manuaalisesti, Venemies kertoo.

Googlen tietoturvapalveluista Venemies käyttää muiden muassa reCAPTCHA-palvelua, joka tarkistaa, onko käyttäjä aito henkilö vai robotti. Tällaiseen varmistukseen moni kuluttaja törmää esimerkiksi verkkokauppasivustoilla.

– Palvelu tekee ylimääräisen varmistuksen aina, kun admin-tunnuksilla kirjaudutaan verkkosivustolle. Sivuston muokkaaja tunnistetaan erilaisilla vaiheilla, vaikka hänellä olisi salasana ja käyttäjätunnus tiedossa. Näin varmistutaan, ettei botti tai hakkeri pääse järjestelmään, Venemies selvittää.

VWV Media on ottanut lisäksi käyttöön kaksivaiheisen tunnistautumisen kaikissa mahdollisissa palveluissa kuten Google Drivessa, sähköpostissa ja Applen iCloud-pilvipalvelussa.

”Ei osata odottaa, että sattuu omalle kohdalle”

WithSecuren tietoturvajohtaja Mikko Hyppönen vertaa tietoturvaa perinteiseen rikollisuuteen.

– Yritykset lukitsevat ovia, asentavat valvontakameroita ja tilaavat palveluita vartiointiliikkeiltä. Samalla tavalla pitäisi suhtautua verkkorikollisuuteen. Rikollisuus ei ole enää maantieteestä riippuva asia. Kiinasta käsin toimivat rosvot eivät voi murtautua yrityksen varastoon, mutta voivat viedä rahaa yrityksen verkkolaskutusjärjestelmästä.

”Investoinnit tietoturvaan maksavat itsensä takaisin, kun jokin riski ei toteudu. Siten voidaan saavuttaa merkittäviä säästöjä.”

Mikko Hyppönen

Hyvin ja huonosti menestyvien yritysten välinen ero on Hyppösen mukaan siinä, miten hyvin yritys osaa hyödyntää teknologiaa omassa toiminnassaan ja tietoturvassa. Hän muistuttaa, että yhä useampi yritys on tavalla tai toisella myös ohjelmistoyritys.

– Erilaiset järjestelmät ovat yhä kiinteämpi osa yritysten  operatiivista toimintaa. Niitä pitää suojella. Asiaa voisi verrata vakuutuksiin. Palovakuutus on järkevä investointi, joka maksaa rahaa. Varautuminen tietoturvariskeihin on samanlaista. Kukaan ei toivo, että niitä tapahtuu, mutta niihin pitää varautua. Investoinnit tietoturvaan maksavat itsensä takaisin, kun jokin riski ei toteudu. Siten voidaan saavuttaa merkittäviä säästöjä.

Uransa aikana Hyppönen on kiertänyt lukuisissa yrityksissä, jotka ovat joutuneet kyberiskun kohteeksi tai joista on vuotanut tietoja ulkopuolelle. Hänen mukaansa kyseisissä yrityksissä ollaan aina yhtä ihmeissään.

– Yhdessäkään yrityksessä ei ole osattu odottaa, että näin kävisi omalle kohdalle. Aina luullaan, että tietoturvariskit konkretisoituvat vain muiden yritysten kohdalla.

Hyppönen peräänkuuluttaa ylimmän johdon tarttumista tietoturvan kehittämiseen. 

– Kun mennään johtoryhmän ja hallituksen tasolle, nämä asiat eivät useinkaan ole keskustelun aiheena ennen kuin vasta sitten, kun jotain on jo tapahtunut. Yritykset ovat digitaalisia, ja niiden turvaaminen on ylimmän johdon vastuulla.

Yli puolet pitää tietoturvan tasoa hyvänä

Yrittäjien Joonas Mikkilän mukaan pk-yritysten tietoturvallisuus perustuu pitkälti asianmukaisten tietojärjestelmien valintaan.

– Eri sovellusten ja toimittajien arvioiminen on pienemmälle yritykselle usein haastavaa. Yritykset tarvitsevat parempia tapoja vertailla järjestelmien ja palveluntarjoajien kybersuojan tasoa. 

Yrittäjägallupin mukaan yrityksistä 56 prosenttia arvioi tietoturvansa tason hyväksi ja 15 prosenttia erinomaiseksi. Loput eivät ole yhtä vakuuttuneita. Merkittävimpiä esteitä tietoturvan toteuttamisessa ovat gallupin mukaan osaamisen puute ja tietoturvan kustannukset. 

– Ihminen on usein tietoturvan heikoin lenkki. Digitaalisia työtapaturmia ehkäistään parhaiten henkilöstön osaamista ja digiturvakulttuuria vahvistamalla, Mikkilä muistuttaa. 

Kantarin tutkimuksessa haastateltiin 1 049 pk-yritysten edustajaa. Tutustu tarkempiin tuloksiin tästä. 

Yrittäjägallupin tiedonkeruu tehtiin 9.–15.2.2022 eli juuri ennen Ukrainan sotaa.