Kyberturvallisuus ja kyberhyökkäykset – monien mielessä nämä viittaavat edelleen johonkin kaukaiseen ja sotilaalliseen, joka ei kosketa keskivertoyritystä tai -ihmistä.
Todellisuus on kuitenkin aivan jotain muuta: hyökkäyksen kohteina ovat tavallisten ihmisten tietokoneet ja järjestelmät, heidän tietojaan varastetaan, kovalevyjä salataan ja vaatimuksia esitetään kiristysohjelmien kautta. Yritysten pitäisi olla tietoisia näistä riskeistä ja ryhtyä toimiin kyberturvallisuuden kautta tällaisista hyökkäyksistä syntyvien vaurioiden estämiseksi.
Tämä artikkeli pohjautuu Viron tietojärjestelmäviranomaisen (RIA) kyberturvallisuusarvion “Kyberturvallisuus 2019” materiaaleihin (https://www.ria.ee/sites/default/files/content-editors/kuberturve/kuberturvalisus-2019.pdf).
Ennen kaikkea vastuussa on omistaja
Yritysjohtajien on syytä tiedostaa, että kyberturvallisuus ei ole vain yrityksen IT-osastolle tai tietokonejärjestelmistä vastaavalle henkilölle kuuluva asia. Järjestelmän tai laitteen kyberturvallisuus on ennen kaikkea omistajan (yksilön tai yrityksen) vastuulla.
”Se on ennen kaikkea johdon asia, joka päättää liiketoiminnan toimista ja sijoituksista”, korostaa Uku Särekanno, Viron tietojärjestelmäviraston johtaja ”Kyberturvallisuus 2019” -arviossa.
Mitä riskejä kyberturvallisuuden sivuuttaminen tuo mukanaan?
RIA:lle tehtyjen ilmoitusten määrä kertoo siitä, että Viron kyberavaruuden tilanne on muuttumassa entistä kriittisemmäksi. Vuonna 2018 RIA sai lähes kaksinkertaisen määrän ilmoituksia (17 440 ilmoitusta) verrattuna aiempaan vuoteen, sisältäen 3 390 tapausta, jotka vaikuttivat data- tai tietojärjestelmiin (”Kyberturvallisuus 2019”).
Yritysten on tiedostettava, että kyberturvallisuuden sivuuttaminen voi olla tuhoisaa niin tuotteille kuin palveluille. Yrityksen maine voi kärsiä merkittävää vahinkoa – kuvitelkaa tilanne, jossa sivustonne tai tietokonejärjestelmänne on “hakkeroitu”, ja nykyiset tai potentiaaliset asiakkaanne huomaavat tämän. Tai tilanne, jossa haittaohjelma lähetetään teidän sähköpostiosoitteestanne liikekontakteillenne. Tämä kaikki voi tarkoittaa asiakkaiden ja heidän mukanaan tuomien tulojen menettämistä. Miettikää, kuinka paljon tuottoa menettäisitte esimerkiksi niiden päivien aikana, jotka teidän pitäisi käyttää haittaohjelman aiheuttamien ongelmien vuoksi menetettyjen tietojen palauttamiseen.
Epäluotettavat laitteet voivat tehdä vahinkoa
RIA:n kyberturvallisuusarviosta paljastuu, että kesällä 2018 huomattiin, että tiettyjä pienyritysten ja kotikäyttäjien internet-reitittimiä saatettiin käyttää pahansuovan toiminnan piilotteluun, tietojen varastamiseen sekä myös esimerkiksi kryptovaluutan siirtoon.
”Julkaisimme varoituksen kertoaksemme käyttäjille tarpeesta päivittää kyseiset ohjelmistot”, RIA kertoo. ”Kesällä julkaistuista varoituksista huolimatta olemme toistuvasti havainneet laitteita yksityisissä ja julkisissa verkoissa, jotka käyttävät tätä samaa haavoittuvaa, päivittämätöntä ohjelmistoa.”
Epäluotettava sähköposti
Suuri osa yritysten välisestä kommunikaatiosta tapahtuu sähköpostilla, joten tämän osa-alueen turvallisuuteen on kiinnitettävä entistä enemmän huomiota.
RIA:n mukaan suuri osa virolaisten yritysten ja instituutioiden sähköpostiosoitteista on kuitenkin edelleen helposti väärennettävissä. Tämä tarkoittaa, että sähköpostin välityksellä voidaan lähettää haittaohjelmia tai pyytää lähettämään rahaa väärille tileille. ”Osa sähköpostipalvelinten turvallisuusprotokollista ja teknologioista on monta vuotta vanhaa, mutta niitä ei silti ole päivitetty”, kerrotaan RIA:n kyberturvallisuusarviossa.
Epäluotettavat verkkosivustot
Yritykset sivusto on yrityksen sähköinen käyntikortti. Esiin nousee kuitenkin usein tilanteita, joissa verkkopalvelinten ja sivustojen ohjelmistoja ei ole päivitetty tai turvallisuuskäytäntöjä ei ole toimeenpantu, jolloin näiden palvelinten ja sivustojen turvallisuus on vaarantunut.
Tietokoneresurssien käyttäminen kryptovaluutan siirtämiseen
Median käyttäjiltä ei todellakaan ole jäänyt huomaamatta kryptovaluutan suosion (ja hinnan) nousu vuoden 2017 lopulla. RIA:n mukaan rikolliset ovat pyrkineet löytämään entistä parempia tapoja siirtää kryptovaluuttaa tällä tavoin.
Koska kryptovaluutan “louhintaan” tarvitaan suurimmaksi osaksi energiaa ja prosessoriresursseja, “julkisesti tiedossa olevat haavoittuvuudet (kuten kotien reitittimet), joiden ohjelmistoja ei ole päivitetty, tarjosivat hyökkääjille helppoja tapoja käyttää muiden ihmisten tietokoneresursseja”, RIA raportoi. Viraston mukaan tämä trendi kasvoi entisestään vuoden 2018 ensimmäisellä puoliskolla.
Hyökkäys kohdistuu heikoimpaan lenkkiin, ei arvokkaimpaan
Pienen yrityksen johtaja tai yksittäinen ihminen saattaisi kysyä: miksi kukaan hyökkäisi minua kohtaan, koska tiedoissani ei ole mitään arvokasta tai salaista?
RIA korostaa sitä faktaa, että järjestelmään hyökätään usein heikoimman lenkin kautta, ei arvokkaimman. Tilastotietojen mukaan “useimmissa kyberhyökkäyksissä ei mitenkään kiinnitetä huomiota käyttäjän henkilöllisyyteen, vaan kohteena ovat umpimähkään kaikki suojaamattomat laitteet ja käyttäjätilit”, RIA huomauttaa.
Arkaluontoisten tietojen käsittelyyn on kiinnitettävä erityistä huomiota
Arkaluontoisten tietojen käsittelyyn liittyvistä ongelmista on tullut erityisen tärkeitä hiljattain käyttöön otetun kyberturvallisuuslainsäädännön yhteydessä.
RIA korostaa, että kyberturvallisuus on ensimmäinen tärkeä askel henkilötietovuotojen ehkäisemisessä. ”Tämä tarkoittaa, että tarvittavia toimenpiteitä käytetään systemaattisesti – tämä on jälleen asia, johon organisaatioiden johtajien on tartuttava. Henkilötietoja säilyttävien ja käsittelevien järjestelmien riskejä on jatkuvasti lievennettävä, ohjelmistoja on päivitettävä sekä on siirryttävä käyttämään uusia, turvallisempia toimintatapoja organisaation koosta riippumatta” (”Kyberturvallisuus 2019”).
Mitä etua kyberturvallisuuden huomioimisesta on?
Kyberturvallisuuden ja ajantasaisten turvallisuusstandardien huomioiminen vie takuulla yrityksen aikaa ja rahaa. Se kuitenkin kertoo myös siitä, että kyseinen yritys on vastuullinen ja välittää, sekä on ajan tasalla kyberturvallisuuden uusimmista käänteistä.
Tekemällä töitä kyberturvallisuuden eteen jokainen yritys kantaa oman kortensa kekoon Viron kyberturvallisuusmaineen ylläpitämisessä. Yksikään yritys ei missään tapauksessa halua jättää hyödyntämättä Viron mainetta kehittyneenä e-valtiona omaksi edukseen. Tällöin tätä mainetta pitää myös tukea oman toiminnan osalta.
Huomion kiinnittäminen kyberturvallisuuteen ei useinkaan ole vaikeaa: kun ohjelmistosta kehitetään uusi versio tai turvastandardia päivitetään, vastuullinen tapa toimia on korvata vanha versio uudella. Vastaavasti myös sähköpostitilit, verkkopalvelimet, käyttöjärjestelmät ja kommunikaatiokanavat on päivitettävä.
On äärimmäisen tärkeää kiinnittää huomiota kyberturvallisuuteen ennen kuin ennen kuin mitään on tapahtunut. Yleensä ihmiset ja yritykset toimivat juuri päinvastoin, mutta ryhtymällä ennakoiviin toimenpiteisiin vahingot jäävät pienimmiksi.
Kyberturvallisuuslain toimeenpano
Kyberturvallisuuslaki hyväksyttiin Virossa vuonna 2018. Sen myötä elintärkeitä palveluita, kuten terveydenhuoltoa, sähköä tai henkilöllisyystodistusten tunnistamista tarjoavien yritysten on myös kiinnitettävä enemmän huomiota kyberturvallisuuteen.
Verkkokauppojen, hakukoneiden ja muiden sähköisten palveluntarjoajien on myös kiinnitettävä huomiota asiakkaidensa tietojen kyberturvallisuuteen. Asianmukainen lainsäädäntö määrittää, miten kyberturvallisuuden riskejä pitäisi tunnistaa ja mitä turvallisuusvaatimuksia niiden ehkäisemiseksi on käytettävä.
