29.03 2022

Kyberturvallisuuden asiantuntijat: rikollisia aliarvioivat yritykset vaarantavat varaansa ja maineensa

 Jos rakennusliikkeen johtaja tai verkkokaupan omistaja ajattelee, että kyberturvallisuus ei liity hänen liiketoimintaansa, hän erehtyy pahasti. Huomenna voi olla liian myöhäistä! Keskustelemme KPMG:n kyberturvallisuusasiantuntijoiden Igmar Ilvesin ja Mihkel Kukkin kanssa siitä, miksi yritysten on tärkeää tarkistaa ja tarvittaessa parantaa kyberturvallisuuttaan.

Nykyään kaikki yritykset, toimialasta riippumatta, käyttävät It-ratkaisuja liiketoimintansa tueksi, ja niiden, jotka eivät ole tekemisissä tietotekniikan kanssa päivittäin, kannattaa kuitenkin pysyä ajan tasalla digitaalisen maailman kehityksestä. "Otetaan esimerkiksi rakennusyritys tai mikä tahansa muu palveluntarjoaja – he tekevät suunnittelunsa It-ympäristössä. Heillä on myös verkkosivusto," KPMG:n kyberturvallisuusasiantuntija Igmar Ilves sanoi.
 KPMG:n kyberturvallisuuspalvelutoiminnan johtaja Mihkel Kukk lisäsi, että myös verkkokauppoja ja projektinhallintaympäristöjä, joiden liiketoiminta riippuu internetistä, on yhä enemmän. "Jos heidän järjestelmänsä joutuvat hyökkäyksen kohteeksi ja kaatuvat, heidän liiketoimintansa usein pysähtyy. Hyökkäyksen luonteesta riippuen palvelut eivät todennäköisesti toimi tuntikausia tai päiviä, ja pahimmassa tapauksessa It-järjestelmä on rakennettava kokonaan uudelleen."

Hyökkäys voi johtaa asiakastietojen, kassavirtatietojen ja muun arkaluontoisen tiedon joutumiseen kyberrikollisten käsiin, mikä vaarantaa koko yrityksen liiketoiminnan. Tilanne pahenee entisestään, jos rikolliset käyttävät kiristyshaittaohjelmia salaatakseen yrityksen kriittiset tiedot ja vaativat rahaa tietojen palauttamisesta. "Esimerkiksi yritykset säilyttävät usein liikesalaisuuksiaan, luottamuksellisia sopimuksiaan ja henkilötietojaan It-järjestelmässään. Riittämättömän kyberturvallisuuden vuoksi nämä ovat helppo saalis rikollisille.

Tunnetun kyberturvaohjelmisto- ja -laitteistoyrityksen Sophosin vuoden 2021 tutkimuksen tuloksien mukaan vain 8 prosenttia kiristyshaittaohjelmahyökkäyksen kohteeksi joutuneista yrityksistä saa tietonsa takaisin salaamattomassa muodossa suoritettuaan maksun salattujen tietojen palauttamiseksi. Tämä tarkoittaa, että suurimmalle osalle yrityksistä kiristyshaittaohjelmahyökkäyksen kohteeksi joutuneet tiedot ovat lopullisesti menetetty", Ilves selitti.

Yleisesti ottaen tietoturvan varmistamisen voidaan nähdä täyttävän seuraavat kolme tavoitetta: tietojen luottamuksellisuus, saatavuus ja eheys. Tietojen luottamuksellisuus tarkoittaa sitä, että tiedot ovat vain valtuutettujen henkilöiden saatavissa (esim. verkkokaupan käyttäjän tietoihin pääsee käsiksi vain käyttäjä, eivätkä valtuuttamattomat henkilöt). Tietojen saatavuus tarkoittaa, että ne ovat saatavissa milloin tahansa (esim. ne ovat aina saatavissa verkkokaupan verkkosivujen kautta, myös öisin). Tietojen eheydellä tarkoitetaan tietojen tarkkuutta, luotettavuutta ja ajantasaisuutta (esim. verkkokaupan verkkosivuilla näkyvät hinnat on tarkistettu, eivätkä pahantahtoiset toimijat voi muuttaa niitä). Jos yksi kolmesta pilarista joutuu hyökkäyksen kohteeksi, yritys jää epäsuotuisaan tilanteeseen. Tätä ei usein ajatella ennen kuin talo on tulessa.

Kyberturvallisuuden tilanne on odotettua huonompi

"On melko yleistä, että asiakkaan yrityksen kyberturvallisuusarvioinnin jälkeen selviää, että tilanne on paljon huonompi kuin asiakas ajatteli", Kukk sanoi.

Ilves lisäsi, että ensimmäinen askel on tehdä perusteellinen haastattelu asiakkaan kanssa selvittääkseen, kuinka hän näkee yrityksensä kyberturvallisuuden ja kybersuojauksen tason. "Ensin kartoitamme tilanteen ja teemme sitten teknisen testin nähdäksemme, miten asiat toimivat todellisuudessa. Olemme usein havainneet, että kyberturvallisuuden taso ei täysin tai osittain vastaa asiakkaan käsitystä tai odotuksia," Ilves kertoi.

Kukkin mukaan on kummallista, että Virossa on tapana mainostaa maata digitaalisesti edistyneenä valtiona, missä on käytössä paljon innovatiivisiä ratkaisuja, kun taas yrityspuolella kyberturvallisuusala kokee vakavaa aliinvestointia. "Poikkeuksia toki löytyy, mutta monissa yrityksissä It-alalla on vain yksi kokopäiväisesti tai osa-aikaisesti työskentelevä toimihenkilö, joka hoitaa muiden tehtävien ohella kyberturvallisuusasioita. Valitettavasti tämä ei riitä, koska heillä ei ehkä ole tarpeeksi aikaa käsitellä turvallisuuskysymyksiä muiden velvollisuuksiensa lisäksi."

It-tuen ulkoistaminen ei tarkoita, että kyberturvallisuuden varmistaminen sisältyisi oletusarvoisesti hintaan, Kukk lisäsi. It-tukea tarjoava urakoitsija suorittaa sopimuksessa määritellyt päätehtävät, kun taas kyberturvallisuutta tukitoimintona ei yleensä mainita sopimuksessa. Tämä johtuu lähinnä yritysten virheellisestä oletuksesta, että heidän ostamansa It-tukipalvelut kattavat kaikki tietoturvaan liittyvät asiat. "Asiakkaalle tulee usein yllätyksenä, että yrityksensä turvallisuustaso ei ole sieltä parhaimmasta päästä."

Monet joutuvat tietojenkalasteluhyökkäysten uhreiksi

Ilveksen mukaan yleisin tapa hyökätä yrityksiin on tietojenkalasteluhyökkäykset – kyberrikolliset onnistuvat iskemään kyntensä 60–80 prosenttiin kohteistaan. "Tietojenkalasteluhyökkäys voi olla osa kohdennettua hyökkäystä, jossa yritetään vaikuttaa tiettyyn kohteeseen – esimerkiksi tietyn yrityksen toimihenkilöön – erityisellä sähköpostiviestillä rikollisen eduksi. Viime aikoina on tullut melko yleiseksi, että yritys saa väärennetyn laskun", hän sanoi.

Se voi tuntua aidolta vaikkapa teleyrityksen laskulta, jossa sanotaan, että asiakas ei ole maksanut useiden tuhansien eurojen laskua. "Tämä on hyvin yksinkertainen tapaus. Kirjanpitäjä tietää yrityksen olevan kyseisen teleyrityksen asiakas ja maksaa laskun. Laskussa voi kuitenkin olla ulkomainen tilinumero, joten rahat menevät väärälle tilille. Niiden takaisinsaanti jälkeenpäin on melko vaikeaa," Kukk selitti.

Asiantuntijat sanovat, että on olemassa yksinkertaisia vinkkejä, joiden avulla voit välttää joutumasta tällaisten huijausten uhriksi.

Kirjanpitoprosessien tulee olla kunnossa, jotta kirjanpitäjä tietää tarkalleen, mille tileille siirrot on tehtävä. Jos siirtoja pyydetään tuntemattomille tileille, kirjanpitäjän tulee tarkistaa nämä tiedot useita kertoja. "Kirjanpitäjän tarvitsee vain soittaa teleyritykseen kysyäkseen laskusta ja tarkistaakseen, onko tilinumero todella muuttunut.

Tämä on nopein tapa saada selville, onko yrityksen tiedoissa todella tapahtunut muutos vai onko kyseessä tietojenkalasteluhyökkäys," Kukk sanoi.

Alennustarjous voi olla hyökkäys

Kyberrikolliset saattavat tietojenkalasteluhyökkäystä suorittaessaan soveltaa satunnaista kohdistusta ja lähettää erityisesti laadittuja sähköpostiviestejä suurelle määrälle vastaanottajia siinä toivossa, että jotkut kohteista klikkaavat viestissä olevaa linkkiä. He voivat esimerkiksi lähettää joukkosähköpostiviestin tunnetun yrityksen puolesta käyttäen sen logoa ja muita muotoiluelementtejä, jotka viittaavat siihen, että kyseessä on laillinen sähköpostiviesti. "Se voi sisältää tarjouksen, jossa on alennuskoodi, ja vastaanottajia pyydetään kirjautumaan verkkoympäristöön, missä kysytään heidän salasanojaan", Kukk kuvaili.

Ilves antoi toisenkin esimerkin siitä, kuinka hakkerit voivat saada haltuunsa yrityksen toimihenkilöiden tiedot. "Tietojenkalasteluviesteissä käytetään yrityksen symboleja ja yrityksessä todella työskentelevän henkilön yhteystietoja eli tietoja, joita verkkorikolliset ovat löytäneet julkisista lähteistä ja sosiaalisessa mediassa. Toimihenkilö voi esimerkiksi saada henkilöstöpäälliköltä sähköpostiviestin, jossa kerrotaan, että yritys on päättänyt maksaa tänä vuonna bonuksia. Koska toimihenkilön tiedot on kuitenkin päivitettävä uudessa It-ympäristössä, jotta bonus voidaan maksaa, toimihenkilön tulee klikata liitteenä olevaa linkkiä ja todentaa itsensä uudessa ympäristössä."

Koska viesti näyttää tulevan henkilöstöpäälliköltä, pahaa-aavistamaton toimihenkilö klikkaa linkkiä ja ohjataan yrityksen verkkosivustolle, joka näyttää aidolta, mutta ei ole sitä. Bonuksen saamiseksi toimihenkilöä pyydetään kirjautumaan väärennetylle verkkosivustolle syöttämällä henkilötietonsa, käyttäjätunnuksensa ja salasanansa. Joskus verkkorikolliset voivat päästä tietojenkalasteluhyökkäyksen kautta kohdeyrityksen tietoverkkoon ja siihen liitettyihin laitteisiin. Pahimmassa tapauksessa tämä antaa heille mahdollisuuden päästä käsiksi ei vaan yhden toimihenkilön, vaan koko yrityksen tietoihin.

Miten estää kyberhyökkäyksiä?

"Tärkein asia on henkilöstön tietoisuuden lisääminen", Ilves sanoi. Yritysten ja niiden toimihenkilöjen on osattava suojautua tietojenkalasteluhyökkäyksiltä. Tietoisuutta on lisättävä kaikilla osastoilla: ei ole väliä oletko It-asiantuntija vai kirjanpitäjä – jokainen voi joutua tietojenkalasteluhyökkäyksen uhriksi. Tietoisuutta voidaan lisätä koulutuksen, tiedotuskampanjoiden ja käytännön esimerkkien avulla. "Tietoturvallisuuskoulutuksen suorittaminen kerran vuodessa tai jopa harvemmin ei riitä lisäämään ja ylläpitämään henkilöstön tietoisuutta", hän varoitti.

Asiantuntijoiden mukaan koulutus- tai tiedotuspäiviä tulisi järjestää vähintään kaksi kertaa vuodessa. Koulutuksen lisäksi yrityksellä tulee olla kattavampi strategia: It-osaston tai tietoturvasta vastaavien tulee lähettää henkilökunnalle säännöllisesti tietoturva-aiheisia uutiskoosteitä ja varoituksia (esim. tietojenkalasteluviestien menetelmistä kertovat sähköpostiviestit). Kukk kehui yrityksiä, jotka järjestävät kolmesta neljään tiedotuskoulutusta vuodessa. "Näissä yrityksissä toimihenkilöjen määrä, jotka eivät ajattele liikaa ja klikkaavat huolimattomasti linkkejä, putoaa noin viiteen prosenttiin. Tämä on huomattava parannus verrattuna 60–80 prosenttiin ennen koulutusta.

"Toiseksi tärkein asia hyökkäysten ehkäisyssä on teknisten toimenpiteiden käyttöönotto. Tällaisilla toimenpiteillä voidaan esimerkiksi valvoa, mistä sähköpostiosoitteista viestit lähetetään. Jos kyseessä on verkkotunnus, josta yritys ei ole koskaan vastaanottanut sähköpostiviestejä tai on vastaanottanut viestejä harvoin, järjestelmä varoittaa käyttäjää olemaan varovainen sähköpostiviestin liitteitä avattaessa tai linkkejä klikattaessa", Ilves sanoi. Esimerkiksi, jos viesti näyttää aidolta ja se näyttää tulleen verkkotunnuksesta @eesti.ee, josta yritys usein saa sähköpostiviestejä, mutta se onkin lähetetty sähköpostiosoitteesta, joka käyttää verkkotunnusta @eesti.de, automaattinen kalasteluviestien torjuntaratkaisu ilmoittaa käyttäjälle välIttömästi, että viesti on epäilyttävä.

Asiantuntijoiden mukaan monet yrittäjät ja yritysten johtajat uskovat, että hakkereilla ei ole syytä hyökätä heidän kimppuunsa, koska heiltä ei ole mitään varastettavaa. "Heidän mielestään toimintansa ei ole yleisesti ottaen erityisen mielenkiintoista, mutta kuten aiemmin sanoin, rahaa voidaan varastaa mistä tahansa, vaikka summat olisivatkin pieniä. Monet hyökkäykset ovat satunnaisia. Jos menet heidän tielleen, he tulevat luoksesi," Kukk selitti.

Ajattele kyberturvallisuutta talon rakentamisena

"Puhuessani siitä, mikä on tärkeintä, rinnastaisin kyberturvallisuuden talon rakentamiseen. Ensimmäisenä rakennat perustan. Tai pikemminkin ennen sitä pitää hoitaa paperit kuntoon," Ilves sanoi.

Sinun on harkittava huolellisesti, mihin talosi rakennat, mitä oikeudellisia menettelyjä siihen liittyy, mitä materiaaleja käytät, kuinka monta kerrosta talossasi on, miten se eristetään ja niin edelleen. Samaa lähestymistapaa tulisi käyttää tietoturvan ja kyberturvallisuuden toteutussuunnitelmaa ja strategiaa laatiessa.

"Tietoturvan ja kyberturvallisuuden tärkeyden tiedostamisen tulisi alkaa johtotasolta. Johdon tulee ymmärtää, että tietoturva on välttämätöntä yrityksen ydintoiminnasta ja koosta riippumatta. Tämä koskee myös pieniä yrityksiä – myös heidän tulee olla tietoisia mahdollisista tietoturvariskeistä, jotka voivat vaikuttaa merkittävästi heidän liiketoimintaansa. Neuvomme on – ennalta ehkäiseminen on helpompaa kuin jälkeenpäin hoitaminen. Seuraavaksi yrityksen on asetettava strategiset tavoitteet ja laadittava tietoturvaan liittyvä dokumentaatio. Ensin tulee laatia strategia, joka sisältää tietoturvatavoitteet ja kuvauksen siitä, miten nämä tavoitteet tukevat yrityksen päätoimintaa. Sitten yrityksen johto voi päättää, miten nämä tavoitteet saavutetaan ja mihin suunnataan rahat ensin."

Kun tietoturvan strategiset tavoitteet ovat selvillä, yritys voi tuottaa yksityiskohtaisempaa dokumentointia. Seuraava askel on yrityksen It-varojen kartoittaminen, mukaan lukien käytössä olevat laitteet ja niiden sijainti, kaapelien sijainti, käytössä olevat tietojärjestelmät, yrityksen arvokkaimmat tiedot; kuka vastaa laitteista, tiedoista ja tietojärjestelmistä, ja niin edelleen. "Tulee pitää mielessä, että tietoturvan parantamiseksi on ryhdyttävä konkreettisiin toimiin. Satunnaisten toimenpiteiden välttämiseksi yrityksen tulee kehitellä tietoturvapolitiikka ja asiaankuuluvat menetelmät, jotka kuvaavat, miten asioiden pitäisi toimia yrityksessä. Tietoturvapolitiikan tulee perustua ensisijaisesti yrityksen strategisiin tietoturvatavoitteisiin, mutta on varmasti hyödyllistä seurata myös alan parhaita käytänteitä ja kansainvälisesti tunnustettuja standardeja," Ilves totesi.

Kirjallisen dokumentaation, mukaan lukien yrityksen johdon hyväksymät asiaankuuluvat menetelmät, tulee olla kaiken tietoturvatoiminnan perusta. Näin varmistetaan, että yrityksen avainhenkilöt ymmärtävät tietoturvatavoitteet ja ovat tietoisia siitä, miten ne saavutetaan. Tietoturvadokumentaatiossa tulee myös määritellä teknisten turvatoimenpiteiden toteuttamisen periaatteet.

Kukkin mukaan tehokkain tapa varmistaa yrityksen It-infran tekninen turvallisuus on tietoturvakorjausten oikea-aikainen asennus, monitekijätodennuksen (englanniksi multi-factor authentication) soveltaminen ja laitteiden turvallinen konfiguraatio parhaiden käytänteiden mukaisesti.

"Tietokoneiden ohjelmistot on päivitettävä säännöllisesti. Päivitykset korjaavat usein ohjelmiston tietoturva-aukkoja, ja ne tulee asentaa heti, kun valmistaja julkaisee päivityksen. Olisi kuitenkin hyvä idea asentaa päivitykset ensin testiympäristöön niiden toimivuuden varmistamiseksi", Ilves lisäsi.

Kun menetelmät ovat käytössä, tulee tehdä yrityksenlaajuinen riskiarviointi yritykseen vaikuttavien riskien kartoittamiseksi ottaen erityisesti huomioon niiden toteutumisen todennäköisyyden ja mahdolliset vaikutukset ydintoimintaan. "Riskiarviointi on tärkeä myös kustannusten optimoinnin kannalta. Tietoturvaan myönnettävän rahoituksen määrien tulee olla riskiperusteisia ja suurin osa resursseista tulee kohdentaa sinne, missä riskit ovat suurimmat ja todennäköisimmin toteutuvat. Kaikkien mahdollisten turvatoimien täysimääräinen toteuttaminen, myös pienellä todennäköisyydellä ilmenevien riskien osalta, olisi selvästi liian kallista jopa suurille yrityksille", Ilves sanoi.

Kukkin mukaan on tärkeää ymmärtää, että turvallisuus ei ole asia, jota suojataan vain kerran. "Ihmiset haluavat usein ratkaisun, jossa he tekevät jotain kerran, joten heidän ei tarvitsisi käsitellä asiaa kovin paljon seuraavan viiden tai kymmenen vuoden aikana. Koska tilanne kyberympäristössä muuttuu hyvin nopeasti, tällainen ajattelutapa on kaukana kestävästä."

Kukk suosittelee kokeilemaan erilaisia riskiskenaarioita, varmistaen johdon ja yrityksen taloudesta vastaavien toimihenkilöiden ottamista mukaan, jotta voidaan analysoida, kuinka paljon rahaa yritys menettäisi tietyn hyökkäyksen toteutuessa. "Näin tulee selväksi, että tiettyjen skenaarioiden toteutuessa yhtiö menettäisi paljon rahaa tai kärsisi mainevauriosta. Siksi olisi järkevää analysoida, mitä turvatoimia tulisi toteuttaa ja kuinka paljon rahoitusta tälle alueelle tulisi myöntää," Kukk ehdotti.


Igmar Ilves
Vanhempi kyberturvallisuusneuvoja
KPMG Baltics OÜ

Mihkel Kukk
Kyberturvallisuuspalvelutoiminnan johtaja
KPMG Baltics OÜ

KPMG: tekoäly ei voi korvata lääkäriä

KPMG:n kyberturvallisuuspalvelutoiminnan johtaja Mihkel Kukk sanoo, että tekoäly ei voi korvata te..

Valtion rahoitusta yritysten kyberturvallisuuden parantamiseen 

Viron yritystoiminnan kehityssäätiö EAS:n ja KredExin yhdistynyt organisaatio yhdessä Viron tietoj..

Kyberturvallisuuden kypsyystason arviointi on kustannustehokkain tapa tunnistaa tietoturvan ja kyberturvallisuuden haavoittuvuudet

KPMG:n mukaan, joka on yksi arviointipalvelun tarjoajista, kustannustehokkain tapa yrityksille ja ..

Tietoturva voidaan varmistaa korkealla laadulla vain pätevän tietoturvapäällikön johdolla

Miksi tietoturvallisuus on tärkeää ja mikä on sen päätarkoitus yrityksen liiketoiminnassa? Vastaus..

Milloin viimeksi teit pentestauksen verkkosovelluksellesi?

Lähes jokainen yritys on tavalla tai toisella kyberrikollisten kohteena. KPMG:n kyberturvallisuude..

KPMG: Tekoäly ja koneoppiminen ovat kova pähkinä murrettavaksi yritysten kyberturvallisuudelle

KPMG:n maailmanlaajuisen Cyber Trust Insights 2022 -tutkimuksen mukaan tekoäly (AI) ja koneoppimin..

Käännä uhat mahdollisuuksiksi

Varmista, että yrityksesi liiketoimintaympäristö on turvallinen ja kestävä! Autamme sinua rakentamaan kestävää ja luotettavaa digitaalista maailmaa myös muuttuvien uhkien edessä.

KPMG Baltics OÜ

+372 626 8700
cyber@kpmg.ee
Ahtri 4, 10151 Tallinna, Viro
 ${item.title}
KPMG Baltics KPMG Global Tietosuojatiedot
Email again:

HR-analyysi 

HR-analyysi keskittyy kyberturvallisuuden heikoimman lenkin – käyttäjän, toimihenkilön – osaamisen kartoittamiseen ja lisäämiseen.
Email again:

Uhka-analyysi

Uhka-analyysi on taktinen ja tekninen palvelu, jonka avulla yritys saa nopean yleiskuvan ulkoisista uhista.
Email again:

Kypsyysanalyysi

Auttaa suunnittelemaan IT-investointeja sekä jatkotoimenpiteitä pullonkaulojen vähentämiseksi ja paremman tietoturvan varmistamiseksi.
Email again: