Helsingin seudun kauppakamarin Yrityksiin kohdistuvat kyberuhat 2016 -tutkimus on jatkoa puolitoista vuotta sitten tehtyyn vastaavaan selvitykseen. Silloin paljastui, että yritykset tunnistavat ja torjuvat kyberhyökkäyksiä hyvin heikosti.
– On huolestuttavaa, että varautuminen kyberuhkiin ei ole yleistynyt puolentoista vuoden aikana. Vain suuret yritykset ovat parantaneet tietoturvansa tasoa, sanoo asiantuntija, DigiCyber-hankkeen projektipäällikkö Panu Vesterinen Helsingin seudun kauppakamarista.
Joka viides yritys ei huomioi toiminnassaan tietoturvaa mitenkään, mikä on avannut valtavan etumatkan kyberrikollisille. Hyökkäykset kuitenkin yleistyvät jatkuvasti eikä yksikään yritys voi olettaa, etteikö hyökkääjä olisi heistä kiinnostunut.
– Yrityksistä 75 prosentilla ei ole minkäänlaista suunnitelmaa hyökkäysten varalle. Varautumissuunnitelma on ainoastaan joka kolmannella yrityksistä, joista puolestaan vain kolme prosenttia on kokeillut suunnitelmien toimivuutta harjoittelemalla.
Myös vastuuttamisessa vakavia puutteita
Myös tietoturvallisuuden vastuuttamisessa on vakavia puutteita.
– Yrityksistä kaksi kolmasosaa ei ole vastuuttanut tietoturvallisuutta lainkaan tai niillä ei ole nimettyä vastuuhenkilöä. Useissa yrityksissä tietoturva-asioita hoidetaan oman toimen ohella tai vastuu on annettu jollekin yksikölle vailla nimettyä vastuuhenkilöä, Vesterinen kertoo.
Yrityksistä 40 prosenttia arvioi, että kolmas taho, kuten operaattori, ilmoittaisi heille havainnosta.
– Operaattorit tarkkailevat ja suodattavat haitallista liikennettä. Tietoturvaa ei kuitenkaan voi jättää sen varaan, vaan yritysten on ryhdyttävä toimenpiteisiin teknologian, osaamisen ja toimintamallien osalta, Elisan johtaja Anna-Mari Ylihurula.
Vastuuttamisen tärkeyttä korostaa reilun vuoden päästä voimaan tuleva tietosuoja-asetus.
– Osa yrityksistä ei edes tunne tietosuoja-asetusta, joka astuu voimaan toukokuussa 2018. Nyt on kuitenkin jo korkea aika aloittaa selvitys siitä, miten se vaikuttaa yritysten toimintaan. Vastuu asetuksesta selvän ottamiseen on yrityksillä itsellään.
Kyberhyökkäykset uhkaavat kansantaloutta
Kyberhyökkäykset eivät koske vain yksittäisiä yrityksiä, vaan ensimmäistä kertaa historiassa yritysten turvallisuuteen kohdistuva uhka voi haavoittaa kokonaista toimialaa tai vakavimmillaan kansantaloutta.
Samanaikainen hyökkäys esimerkiksi pankkitoimintaan, logistiikkaan ja energiantuotantoon haittaa merkittävästi talouden ja yhteiskunnan toimintaa.
– Hyökkäyksillä voidaan sekä kiristää yrityksiä että sabotoida niiden tuotannollisia prosesseja. Yritykset tarvitsevatkin lisää tietoa tuotantoprosessiensa merkityksestä rikollisuuden kohteena sekä siitä, miten niihin kohdistuvat hyökkäykset haittaavat yhteiskuntaa, Vesterinen sanoo.
Tutkimuksessa haastateltiin yhteensä 754 yritystä, joista isoja (yli 200 henkeä työllistäviä) on 91 kpl, pk-yrityksiä (5–199 henkeä) 457 kpl ja mikroyrityksiä (1–4) 206 kpl. Selvitys on osa Helsingin seudun kauppakamarin ja Uudenmaan ELY-keskuksen rahoittamaa DigiCyber-hanketta.