29.06 2022

Virolaisten yritysten johtajat pitävät tietoturvaa ja kyberturvallisuutta tärkeänä

 Virolaisten yritysten johtajat pitävät tietoturvaa ja kyberturvallisuutta tärkeänä ja heidän mukaan on melko todennäköistä, että kyberhäiriöiden riski toteutuu.

Vuoden 2022 ensimmäisellä neljänneksellä KPMG Baltics teki yhteistyössä virolaisen Äripäev-talouslehden kanssa johtavien virolaisten yritysten joukossa riippumattoman tutkimuksen tietoturvasta ja kyberturvallisuudesta. Kyselyn päätavoitteena oli selvittää yritysten asenteita tietoturvaan ja kyberturvallisuuteen sekä se, miten yritykset takaavat tietoturvansa ja kyberturvallisuutensa. Tutkimuksen motiivina oli maailman nykyisen poliittisen, terveydenhuollon ja taloudellisen tilanteen epävakaus, joka on epäilemättä vaikuttanut tietotekniikan ja erityisesti kyberturvallisuuden alaan. Kyselyllä haluttiin kiinnittää huomiota tietoturvan tärkeyteen ja erityisiin heikkouksiin tällä alueella, jotta yritykset tiedostaisivat mahdolliset uhat ja olisivat paremmin valmiita vastaamaan niihin.
 Kysely toteutettiin kahdessa vaiheessa. Ensimmäisessä vaiheessa haastateltiin Viron 300 suurimman työnantajan yritysjohtajia. Tutkimuksen toinen vaihe oli omistettu terveydenhuoltoalalle, ja siinä haastateltiin terveydenhuoltoalan laitosten ja organisaatioiden johtajia. Terveydenhuoltoalaa käsiteltiin tutkimuksessa erikseen, koska alalle on asetettu arkaluonteisten henkilötietojen käsittelyn vuoksi tiukemmat tietosuojavaatimukset.

Kyselyn tulokset vahvistavat, että valtaosa virolaisista yritysjohtajista pitää tietoturvaa ja kyberturvallisuutta tärkeänä ja heidän mukaan on tänään melko todennäköistä, että kyberhäiriöiden riski toteutuu. Lisäksi tuloksista käy ilmi, että kyberhäiriöt ovat myös suoraan vaikuttaneet suureen osaan yrityksiin. Yritysjohtajat vahvistavat, että tietoturvaloukkausten määrä on lisääntynyt merkittävästi viimeisen vuoden aikana. Samaan aikaan vain alle puolet vastaajista arvioi kykynsä varmistaa tietoturva ja kyberturvallisuus olevan riittävä.

300 suurimman työnantajan kyselyn tilastot saatujen vastausten perusteella ovat seuraavat: 90 % vastaajista on huolissaan mahdollisista tulevista häiriöistä, 54 % on menettänyt aikaa kyberhäiriöiden takia ja 41 % on kärsinyt taloudellisia tappioita kyberhäiriöiden takia.

Terveydenhuollon yritysten ja organisaatioiden kyselyn tilastot eroavat kuitenkin selvästi suurimpien työnantajien kyselyn tilastoista: 85 % kyselyyn vastanneista terveydenhuoltoalan yrityksistä on huolissaan mahdollisista kyberhäiriöistä, kun taas vain 10 % vastaajista on menettänyt aikaa kyberhäiriöiden takia. Yksikään Viron terveydenhuoltoalan yritys ei ole kärsinyt taloudellisia tappioita kyberhäiriöiden takia. Terveydenhuoltoalan yritysten ja suurimpien työnantajien tilastolliset erot johtuvat todennäköisesti kolmesta mahdollisesta syystä:

  • Mahdolliset rikolliset ei ole eettisistä syistä kiinnostuneet hyökkäämään terveydenhuoltoalan yrityksien kimppuun;
  • Terveydenhuoltoalan yritysten suojatoimenpiteet ovat tehokkaampia kuin muiden yritysten;
  • Hyökkäyksiä on jo tapahtunut, mutta terveydenhuoltoalan yritykset eivät yksinkertaisesti ole pystyneet havaitsemaan niitä.

Merkittävä on se, että yli puolet vastaajista ilmoitti vastuun tietoturvasta yrityksessään olevan yhteistyökumppanin. Vaikka näin voikin olla, ei voida jättää huomiotta, että KPMG:n kokemuksen mukaan usein oletetaan virheellisesti, että It-palveluja tarjoavan kumppanin tulisi automaattisesti ottaa vastuu myös yrityksen kyberturvallisuudesta. Käytännössä tämä tarkoittaa sitä, että It-järjestelmien hallintaa ulkoistamalla yrityksen johto odottaa palveluun sisältävän myös It-järjestelmien turvallisuuden varmistamisen (esim. laitteiden ja sovellusten turvallisen konfiguroinnin, oletussalasanojen vaihtamisen, säännöllisen salasanojen vaihtamisen, suojatun verkon segmentoinnin, johdonmukaisen tietoturvakorjausten asentamisen laitteisiin ja sovelluksiin, luvattomasti pystytetyn tukiaseman havaitsemisen (englanniksi Rogue Access Point), tietoturva-aukkojen tarkistuksen jne.). Siten vastuu tietoturvasta siirtyy ikään kuin yritykseltä kumppanille. Todellisuudessa It-palveluja tarjoava kumppani suorittaa vain ne tehtävät, jotka on määritelty sopimuksessa. It-palveluiden hallintasopimus ei pääsääntöisesti sisällä velvoitetta taata tietoturva. Usein vasta kyberhäiriön tapahtuessa yritykset ymmärtävät, että niiden ulkoistettu palvelu ei todellakaan täytä heidän turvallisuusodotuksiaan. Lisäksi yritysjohtajien on tärkeää ymmärtää, että perimmäinen vastuu tietojärjestelmiensä turvallisuudesta on heillä, vaikka It-palveluja tarjoavan kumppanin kanssa solmittu sopimus sisältäisi kaikkia mahdollisia turvallisuuteen liittyviä velvoitteita.

Lisäksi kyselyn tulokset osoittavat, että riippumattoman tahon tekemät tietoturvatarkastukset (esim. pentestaukset tai tekniset tietoturvallisuustarkastukset) ovat melko harvinaisia virolaisyrityksissä. Valitettavasti tällaisia tarkastuksia tehdään erityisen vähän terveydenhuollon yrityksissä, vaikka siellä voisi voimassa olevien tiukempien vaatimuksien vuoksi odottaa enemmän tarkastuksia. Voi hyvinkin olla, että riippumattomien tarkastusten puutteen vuoksi monet kyberhäiriöt jäävät havaitsematta ja yrityksen johdolla on väärä käsitys, ettei heillä kyberhäiriöitä olisi ollutkaan. Samaan aikaan kyberrikollisilla voi olla pääsy yrityksen tietojärjestelmiin ja he saattavat jo myydä henkilötietoja tai liikesalaisuuksia sisältäviä sähköisiä asiakirjoja "pimeillä markkinoilla".

Tietoturva ja kyberturvallisuus ovat nykyään tärkeämpiä kuin koskaan. KPMG suosittelee, että kyberturvallisuusasioita hoitetaan ennakoivasti ja systemaattisesti, nykytilanne kartoitetaan (mieluiten yhteistyössä riippumattoman tahon kanssa) ja varaututaan pahimpiin skenaarioihin (esim. kiristyhaittasohjelmahyökkäys organisaation koko It-infraa vastaan, joka voi lamauttaa yrityksen koko liiketoiminnan). Kyselyn tulokset osoittavat, että yritysten kyberturvallisuus on kaukana ihanteellisesta. Ennen kaikkea pitäisi luopua ajattelutavasta, että "verkkorikolliset eivät ole kiinnostuneita meistä, joten tuskin joudumme hyökkäyksen kohteeksi" ja keskittyä tilanteen parantamiseen jo tänään, sillä huomenna voi olla liian myöhäistä.

KPMG Baltics OÜ:n ja Äripäev-lehden tekemä riippumaton tutkimus löytyy TÄÄLTÄ

KPMG: tekoäly ei voi korvata lääkäriä

KPMG:n kyberturvallisuuspalvelutoiminnan johtaja Mihkel Kukk sanoo, että tekoäly ei voi korvata te..

Valtion rahoitusta yritysten kyberturvallisuuden parantamiseen 

Viron yritystoiminnan kehityssäätiö EAS:n ja KredExin yhdistynyt organisaatio yhdessä Viron tietoj..

Kyberturvallisuuden kypsyystason arviointi on kustannustehokkain tapa tunnistaa tietoturvan ja kyberturvallisuuden haavoittuvuudet

KPMG:n mukaan, joka on yksi arviointipalvelun tarjoajista, kustannustehokkain tapa yrityksille ja ..

Tietoturva voidaan varmistaa korkealla laadulla vain pätevän tietoturvapäällikön johdolla

Miksi tietoturvallisuus on tärkeää ja mikä on sen päätarkoitus yrityksen liiketoiminnassa? Vastaus..

Milloin viimeksi teit pentestauksen verkkosovelluksellesi?

Lähes jokainen yritys on tavalla tai toisella kyberrikollisten kohteena. KPMG:n kyberturvallisuude..

KPMG: Tekoäly ja koneoppiminen ovat kova pähkinä murrettavaksi yritysten kyberturvallisuudelle

KPMG:n maailmanlaajuisen Cyber Trust Insights 2022 -tutkimuksen mukaan tekoäly (AI) ja koneoppimin..

Käännä uhat mahdollisuuksiksi

Varmista, että yrityksesi liiketoimintaympäristö on turvallinen ja kestävä! Autamme sinua rakentamaan kestävää ja luotettavaa digitaalista maailmaa myös muuttuvien uhkien edessä.

KPMG Baltics OÜ

+372 626 8700
cyber@kpmg.ee
Ahtri 4, 10151 Tallinna, Viro
 ${item.title}
KPMG Baltics KPMG Global Tietosuojatiedot
Email again:

HR-analyysi 

HR-analyysi keskittyy kyberturvallisuuden heikoimman lenkin – käyttäjän, toimihenkilön – osaamisen kartoittamiseen ja lisäämiseen.
Email again:

Uhka-analyysi

Uhka-analyysi on taktinen ja tekninen palvelu, jonka avulla yritys saa nopean yleiskuvan ulkoisista uhista.
Email again:

Kypsyysanalyysi

Auttaa suunnittelemaan IT-investointeja sekä jatkotoimenpiteitä pullonkaulojen vähentämiseksi ja paremman tietoturvan varmistamiseksi.
Email again: