Page 1

Yrityksiin kohdistuvat

kyberuhat 2016

Helsinki 13.12.2016


HELSINGIN SEUDUN KAUPPAKAMARI

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

Joulukuu 2016

Helsingin seudun kauppakamari Kalevankatu 12, 0010 Helsinki


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

2

SAATTEEKSI

Selvitys on osa Helsingin seudun kauppakamarin ja ELY-keskuksen rahoittamaa DigiCyber -hanketta. Yli seitsemän ja puolensadan suomalaisyrityksen johto on antanut luottamuksellisesti tähän selvitykseen arvokkaita tietoja ja näkemyksiä yrityksiin kohdistuviin kyberuhkiin liittyvistä asioista. Olemme kiitollisia yritysjohdon merkittävästä panoksesta ja siitä luottamuksesta, jota he ovat osoittaneet kauppakamarille antamalla tietoa. Tämä Helsingin seudun kauppakamarin ”Yrityksiin kohdistuvat kyberuhat 2016”selvitys painottuu yritysten tietoverkkoon kohdistuviin tunkeutumisiin ja niihin varautumiseen. Selvitykseen on lisätty joitain uusia kysymyksiä ja vaihtoehtoja. Ne ovat tulleet DigiCyber -hankkeen ohjausryhmän jäseniltä, jotka ovat Elisa Oyj, F-Secure Oyj Kesko Oyj ja Nixu Oyj. Elisa Oyj on antanut arvokasta apua selvityksen toteutusvaiheessa ja julkistamisessa. Yritykset tarvitsevat tietoa ja opastusta aiheesta kyetäkseen varautumaan siihen. Helsingin seudun kauppakamari pitää tärkeänä synnyttää ja ylläpitää keskustelua yritysten kybertietoisuuden parantamiseksi.

Helsingissä 13.12.2016

Helsingin seudun kauppakamari


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

3

SISÄLLYS

1 JOHDANTO .................................................................................................................... 5 2 KYBERTURVALLISUUDESTA ................................................................................... 6 3 SELVITYKSEN TULOKSIA: YRITYKSIIN KOHDISTUVAT UHAT JA VARAUTUMISEN ESTEET ..................................................................................................... 7 KYSYMYS 1. Mitkä seuraavista vaihtoehdoista ovat suurimmat kyberturvallisuuden uhat suomalaisille yrityksille?.............................................................................................................. 8 KYSYMYS 2. Mitkä ovat kolme suurinta estettä tehokkaan kyberturvallisuuden toteuttamisessa? ......................................................................................................................... 13 TIETOA KYBERTURVALLISUUDESTA – OSA 1..................................................................... 18 4 SELVITYKSEN TULOKSIA: YRITYKSIIN KOHDISTUVAT TUNKEUTUMISET 20 KYSYMYS 3. Mitkä seuraavista vaihtoehdoista ovat raskaimmat seuraukset kyberhyökkäyksistä?................................................................................................................... 20 KYSYMYS 4. Miten organisaationne havaitsisi yrityksenne tietoverkossa käynnissä olevan tunkeutumisen?........................................................................................................................... 23 KYSYMYS 5. Minkälaista tietoa luulette tunkeutujien etsivän?................................................. 27 KYSYMYS 6. Minkä tyyppistä tietoa olette menettäneet tietoverkkotunkeutumisten vuoksi? .... 29 KYSYMYS 7. Tietääkö henkilökuntanne miten toimia, jos he epäilevät tunkeutumista tietojärjestelmiinne?................................................................................................................... 31 KYSYMYS 8. Organisaation tietoverkon tai -järjestelmän luvaton/rikollinen käyttö? .............. 33 KYSYMYS 9. Havaitsisiko organisaatio tietoverkon tai -järjestelmän luvattoman/rikollisen käytön? ....................................................................................................................................... 35 TIETOA KYBERTURVALLISUUDESTA – OSA 2..................................................................... 37 5 SELVITYKSEN TULOKSIA: VIRANOMAISTEN ROOLI JA TIEDON SAATAVUUS .......................................................................................................................... 40 Viranomaisten toiminnan merkitys yrityksille............................................................................ 40 KYSYMYS 10. Miten hyvin tunnette suomalaisten viranomaisten roolia ja toimintaa kyberuhkiin liittyen? ................................................................................................................... 42 KYSYMYS 11. Oletteko saaneet jostakin käytännöllistä tietoa kyberuhkiin liittyen? ................ 44 KYSYMYS 12 Helpottaisiko tiedonsaantianne kyberturvallisuusasioista, jos Kyberturvallisuuskeskuksella olisi oma internetsivut? .............................................................. 46 KYSYMYS 13 Viranomaisten resurssien riittävyys yrityssalaisuuksien tutkinnassa? ............... 47 KYSYMYS 14 Pitäisikö yrityssalaisuusrikoksista annettavien rangaistusten olla ankarampia? .................................................................................................................................................... 49 KYSYMYS 15 Miten hyvin tunnette EU:n tietosuoja-asetuksen? ............................................... 50 TIETOA KYBERTURVALLISUUDESTA – OSA 3..................................................................... 52 6 SELVITYKSEN TULOKSIA: VARAUTUMINEN – VASTUUT, SUUNNITELMAT JA HARJOITUKSET ................................................................................................................ 54 KYSYMYS 16. Miten organisaationne on järjestänyt tietoturvallisuusvastuut johtotasolla?.... 54 KYSYMYS 17. Kenelle tietoturvavastuullinen henkilö raportoi organisaatiossa ...................... 57 KYSYMYS 18. Onko teillä käytössä käytännössä toimivia suunnitelmia tunkeutumisten varalle? .................................................................................................................................................... 59 KYSYMYS 19. Mitä asioita suunnitelmiin on sisällytetty? ......................................................... 61


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

4

KYSYMYS 20. Oletteko koskaan harjoitelleet suunnitelmienne toimivuutta jollakin seuraavista tavoista? ..................................................................................................................................... 64 KYSYMYS 21. Onko teillä vahvistettua koulutus- ja harjoitusohjelmaa kyberturvallisuuteen liittyen?....................................................................................................................................... 66 KYSYMYS 22. Ovatko kyberuhkiin liittyvät harjoitukset osa muihin liiketoimintaa uhkaaviin uhkiin liittyvää harjoittelua?...................................................................................................... 67 KYSYMYS 23. Oletteko varautuneet kyberuhkiin seuraavin tavoin konkreettisesti tai suunnitelmilla? ........................................................................................................................... 69 TIETOA KYBERTURVALLISUUDESTA – OSA 4..................................................................... 71 7 JOHTOPÄÄTÖKSET.................................................................................................... 73 LÄHTEITÄ JA LISÄTIETOA ................................................................................................. 75 LIITE: SELVITYKSEN KYSYMYSLUETTELO .................................................................. 77


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

1

5

JOHDANTO Selvityksessä tutkitaan suomalaisten yritysten käsityksiä niihin kohdistuvista kyberuhista ja niihin varautumisesta. Selvitys perustuu 754 suomalaisen yrityksen antamiin vastauksiin. Taloustutkimus toteutti kyselyn Helsingin seudun kauppakamarin toimeksiannosta. Yritykset vastasivat kyselyyn yhden viikon aikana lokakuussa 2016. Tulokset on esitetty taulukkoina, joista yksittäisen vastaajan mielipide ei käy ilmi. Selvityksen ovat laatineet projektipäällikkö Panu Vesterinen Helsingin seudun kauppakamarista ja Chris Fogle CyVantage Llc:stä. Uusia kysymyksiä ja vastausvaihtoehtoja ehdottivat hankkeen ohjausryhmän jäsenet Elisa Oyj, F-Secure Oyj, Kesko Oyj ja Nixu Oyj. Kyselyyn vastanneista 754 yrityksestä 50 prosenttia edustaa palveluita, 25 prosenttia teollisuutta ja 16 prosenttia kauppaa. Rakennusalan yrityksistä on vastaajista 10 prosenttia. Kolme neljäsosaa (74 %) vastanneista yrityksistä on henkilömäärältään pieniä yrityksiä, jotka työllistävät alle 50 henkilöä. Kahdeksasosa (13 %) vastaajista on keskisuuria yrityksiä, joiden palveluksessa on 50 - 200 työntekijää. Suuria yrityksiä, jotka työllistävät yli 200 henkilöä, oli noin kymmenesosa (12 %) vastaajista. Useimmat vastaajat olivat yritysten toimitusjohtajia (38 %), yrittäjiä tai omistajia (34 %) tai muita johtajia (11 %). Asiantuntijatehtävissä olevia vastaajia oli kuusi prosenttia. Päällikkötason tehtävissä vastaajista oli yksitoista prosenttia. Vastaajajoukon rakenne kertoo, että kysely on jälleen tavoittanut yritysten päätöksentekijät – turvallisuuden kehittämisen kannalta ratkaisevan ryhmän. Heitä vastaajista oli yhteensä 83 prosenttia. Selvitykseen on liitetty lainauksia eri lähteistä. Kaikissa lainauksissa on mainittu lähde. Lähdeluetteloon on lisäksi koottu lisätietoa yrityksen turvallisuustoiminnan tueksi. Selvityksessä on kursiivilla lainauksia yritysten vapaamuotoisista vastauksista. Selvityksen tavoitteena on tukea ja kehittää yritysten omaa riskienhallintatyötä. Kysely on käytännössä tarkistuslista, jonka läpikäymällä yritysten päättäjät saivat käsityksen erilaisista uhista ja siitä miten uhkiin voi varautua. Aiheen käsittely tässä selvityksessä ei ole teknistä. Selvityksen kysymykset laadittiin tarkoituksella siten, etteivät ne ole ammattilaisia ja asiantuntijoita varten, vaan yritysjohdolle. Tavoite oli herättää yritysjohdon edustajat ajattelemaan aihetta ja ymmärtämään liiketoimintaan kohdistuva uhka.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

2

6

KYBERTURVALLISUUDESTA

Koskaan aiemmin liike-elämään ei ole kohdistunut riskiä, joka toteutuessaan voi yhtäaikaisesti vaikeuttaa useiden yritysten liiketoimintaa ja jopa kansantalouden toimintaa. Edellisen selvityksen jälkeisen puolentoista vuoden aikana fyysisen ja digitaalisen maailman yhdistyminen on vain kiihtynyt. Yhä useammat yritykset lisäävät digitaalista liiketoimintaa ja altistuvat sen myötä yhä enemmän kyberuhille. Digitaalinen liiketoiminta avaa yrityksille valtavia kasvumahdollisuuksina, mutta samalla myös riskejä. Georgia Institute of Technologyn tekemän Emerging Cyber Threats Report 2016 – selvityksen mukaan yritykset keräävät kuluttaja-asiakkaistaan yhä enemmän yksityisyyteen liittyvää tietoa altistaen sen hyökkäyksille. Tätä tietoa rikolliset voivat helposti myydä ja käyttää hyväkseen. Yritysten tulee suojata luottamuksellisia tietojaan, mutta Emerging Cyber Threats Report 2016 –tutkimuksen mukaan vuoteen 2020 mennessä maailmassa on 1,5 miljoonan kyberammattilaisen puute. Nykyiset koulutusohjelmat eivät kykene tuottamaan riittävästi tekijöitä digitaalisen liiketoiminnan suojaamiseksi. Yritystasolla kyberturvallisuutta voisi määritellä toiminnaksi, jolla suojataan liiketoimintaa keskeytyksiltä ja yrityksen tietoverkossa olevaa tietoa siihen kohdistuvilta hyökkäyksiltä. Hyvä tapa lähestyä kyberturvallisuutta on käsitellä sitä riskienhallinnan ja liiketoiminnan jatkuvuuden kautta. Tällöin varautumisessa säilyy yritystoiminnan näkökulma ja vältetään teknologian ottaminen kärjeksi. Teknologisia ratkaisuja tarvitaan, mutta liiketoiminta ja ihmiset tulee ottaa huomioon varauduttaessa. Pelkkä teknologia ei yritystä turvaa. Kyberuhkien huomioiminen ja niihin varautuminen tarvitsevat taustalle toimivan tietoturvallisuuden, sekä hallinnollisen ja teknisen. Näihin liittyvää tietoa löytyy kauppakamarin kustantamista kirjoista ”Yrityksen turvallisuusopas” ja ”Turvaa logistiikka”. Jos tietoturvallisuuden perusteita ei ole hoidettu, voi kyberuhkiin varautuminen olla tehotonta.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

3

7

SELVITYKSEN TULOKSIA: YRITYKSIIN KOHDISTUVAT UHAT JA VARAUTUMISEN ESTEET

Liiketoiminnan digitalisoitumisen myötä uusien tietoteknisten ratkaisujen riskit saattavat käydä ilmi vasta käyttöönottamisen jälkeen. Tämän sai kokea itä-suomalainen kiinteistöpalveluyritys, jonka palvelimeen kohdistui palvelunestohyökkäys. Palvelin kaatui ja joitain taloja jäi vailla lämmintä vettä ja lämmitystä. Jos yritys olisi tiennyt toimintansa olevan haavoittuvaista, olisi se varmasti suunnitellut toimintansa toisin välttääkseen seurauksen. Kyberturvallisuuskeskuksen ohjeessa ”Palvelunestohyökkäysten ehkäisy ja torjunta”, kerrotaan seuraavaa: ”Kun pääsyä tietoihin tai tietojenkäsittelyyn vaikeutetaan pahantahtoisesti, on kyse palvelunestohyökkäyksestä. Tavallisesti palvelunestohyökkäykset ovat hajautettuja: lukuisat hyökkääjän hyväksikäyttämät tietokoneet lähettävät kohteeseen tietoliikennettä, joka saa kohteen toiminnan hidastumaan merkittävästi tai kokonaan pysähtymään. Hajautetut palvelunestohyökkäykset (DDoS) ovat internetin arkipäivää. Netin avoimen luonteen vuoksi niiden estäminen kokonaan on käytännössä mahdotonta, mutta jokainen nettiin kytketyn palvelun omistaja ja ylläpitäjä voi tehdä jotakin palvelunsa häiriösietoisuuden parantamiseksi. Varautuminen ei ole pelkästään tietotekniikkaa, vaan myös sopimista ja suunnittelua. Tämä ohje jakautuu kolmeen osaan. Ohjeen pääosa "Palvelunestohyökkäyksiltä suojautuminen" käsittelee palvelunestohyökkäyksiä ilmiönä ja esittelee keinoja, joilla hyökkäyksiin voi varautua hyvän sään aikana. Liitteessä 1 esitellään palvelunestohyökkäysten tekniikkaa puolustajan näkökulmasta. Sitä voidaan päivittää aina, kun hyökkäysten tekniikassa tapahtuu merkittävää kehitystä. Liitteessä 2 on tiiviit toimintaohjeet palvelunestohyökkäyksen kohteeksi joutuneelle.”

Kyberturvallisuuskeskuksen sivuilla on paljon käytännön ohjeita, joita yritykset voivat hyödyntää suojautuessaan digitaalista liiketoimintaansa uhkaavilta kyberuhilta.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

8

KYSYMYS 1. Mitkä seuraavista vaihtoehdoista ovat suurimmat kyberturvallisuuden uhat suomalaisille yrityksille?

Phishing- ja haittaohjelmahyökkäykset Puolet kaikista vastaajista (47%), pitää phishing- tai haittaohjelmahyökkäyksiä suurimpana uhkana suomalaisille yrityksille. Toimialoittain niitä pidetään uhkana seuraavasti: teollisuus 47%, rakentaminen 41%, kauppa 58% ja palvelut 44%. Suurten vastaajayritysten keskuudessa phishing- tai haittaohjelmahyökkäys on vasta kolmanneksi suurin (35%) ongelma. Aihe on säännöllisesti julkisuudessa Kyberturvallisuuskeskuksen ansiosta ja tapauksista voidaan toistuvasti lukea eri medioista. Yrityksen luottamuksellisen tiedon vuotaminen


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

9

Toiseksi suurimmaksi uhaksi (36%) nousi tänä vuonna uutena vaihtoehtona lisätty yrityksen luottamuksellisen tiedon vuotaminen. Toimialoittain tätä vaihtoehtoa pidetään uhkana seuraavasti: teollisuus 35%, rakentaminen 32%, kauppa 29% ja palvelut 39%. Myös suurten vastaajien keskuudessa se on toiseksi yleisin uhka (38%). Yritysten tietoisuus luottamuksellisen tiedon vuotamisesta uhkana on merkittävä asia kyberturvallisuuden kannalta. Tiedon luokittelu ja suojattavan tiedon tunnistaminen ovat kyberturvallisuustoiminnan perusteita. Yritys joka ei ole luokitellut tietojaan, ei voi tietää mitä sen kannattaa suojata ja mihin sen kannattaa kohdistaa ponnistuksena. ”Meidän pienen yritystoiminnan alle 10k€/v IT ratkaisut ( = kirjanpito veroilmoitukset ja laskutus) ovat koti-PC ssä. Uhkana on että joku pääsee niitä EXELeitä sotkemaan, ja sitä varten kaikista kotikoneen tärkeistä tiedoista on säännöllisesti otetut varmuuskopiot. Suurimmat tietoturvaa uhkaavat tekijät ovat kuitenkin olleet kovalevyjen hajoamiset.”

Yhtiön sisäinen uhka Kolmanneksi suurimpana uhkana (27%) vastaajayritykset pitävät sisäistä uhkaa omien työntekijöiden taholta. Vastausvaihto ei eritellyt työntekijöiden tahallista ja tahatonta toimintaa. Toimialoittain tätä pidetään suurimpiin kuuluvana uhkana seuraavasti: teollisuus 27%, rakentaminen 32%, kauppa 22% ja palvelut 26%. Kaksi viidestä suuresta yrityksestä (40%) piti yhtiön sisäistä uhkaa suurimpana uhkana. ”Tiettävästi yksi tietokone on saastunut pahasti ja syynä työntekijän huolimattomuus. Yksi työntekijä on yllätetty IPR-varkaudesta sattumalta, mikä on saanut meidät ajattelemaan että meillä sisäinen uhka on yhtä iso kuin ulkoa tuleva.”

Yhdysvaltaisessa Netdiligence 2015 Cyber Claims Study -tutkimuksessa yhteensä 22% prosenttia kybervakuutusten nojalla tehdyistä korvausvaatimuksista johtui oman henkilökunnan tahallisista tai tahattomista teoista. ”Lähinnä tulee mieleen että ihmiset joutuvat väärille sivuille klikattuaan tuntemattomia linkkejä tai ladattuaan vahingossa lisäohjelmia.” ”Pari käyttäjää on avannut sähköpostin liitetiedoston, josta lunnasvaatimus-virus on päässyt koneelle. Kyseessä on ollut "vale-DHL"-viesti, jonka avaaminen on ymmärrettävää, koska meille tulee myös lähes saman näköisiä oikeita viestejä.”

Palvelunestohyökkäykset Joka viides vastaaja (22%) kokee palvelunestohyökkäykset vakavana uhkana. Toimialoittain tätä uhkaa painotetaan seuraavasti: teollisuus 17%, rakentaminen 18%, kauppa 19% ja palvelut 27%. Palvelunestohyökkäykset saattavat olla harhautuksia, joilla saadaan kohteen huomio kiinnittymään harhautuksena tehtyyn palvelunestohyökkäykseen tietoverkossa tapahtuvan muun hyökkäystoiminnan suojaamiseksi. ”0-päivän viruksen pääseminen ympäristöön, epäonnistunut DDoS hyökkäyksen rajoitus.”


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

10

Kyberturvallisuuskeskus on tehnyt ”Palvelunestohyökkäysten ehkäisy ja torjunta (Ohje 3/2016)” -ohjeen palvelunestohyökkäyksistä ja niiden torjumisesta. Opas löytyy osoitteesta: https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvaohjeet.html

Lunnasohjelmat Tänä vuonna selvitykseen lisätty vaihtoehto lunnasohjelmista (ransomware) on joka viidennen yrityksen (20%) mielestä huomattava uhka. Toimialoittain tätä pidetään uhkana seuraavasti: teollisuus 24%, rakentaminen 14%, kauppa 26% ja palvelut 17%. Kolmasosa (29%) suurista vastaajayrityksistä pitää lunnashaittaohjelmia vakavimpien uhkien joukossa. ”Sisäverkkoon tunkeutumiset ja mm. lunnasohjelma on pystytty todennetusti estämään nykyaikaisella verkon suojauksella, kyse on enemmänkin halusta torjua verkkouhat kuin siitä ettei niitä olisi tarjolla”

Lunnashaittaohjelmat ovat yleistyneet viime vuosien aikana ja ne ovat hyvin tuottoisia rikollisille. Liiketoiminnan jatkuvuuden kannalta yksi varautumistoimenpide on riittävän usein tehty ja riittävän laajojen back up -kopioiden ottaminen. Hyökkäyksen tapahduttua liiketoimintaa voidaan jatkaa, vaikka tiedot muutoin ovat hyökkääjän kryptauksen sulkemia. Yrityksen on kuitenkin kokeiltava back up- kopioiden palauttaminen. Muutoin hyökkäyksen sattuessa voi käydä nolo tilanne, mikäli tiedostoja ei saadakaan käyttöön back up -kopioista tai niihin ei ole väärien asetusten vuoksi tallentanut liiketoiminnan kannalta kaikkia olennaisia tietoja. ”Kiristysohjelma asentunut yhdelle koneelle jolloin serverillä olevat ohjelmat lukkiutuivat.” ”Kiristyshaittaohjelmia on päässyt verkkoon useita kertoja” ”Menetimme tietokoneen, koska olisi pitänyt maksaa excelin uudelleen avaamisesta” ”Kerran on haittaohjelma päässyt sisäverkkoon, jossa lunnasohjelma onnistui salakirjoittamaan 2 PCtä sekä osan palvelimella olevista tiedoista.”

Tietoa lunnasohjelmista ja neuvoja löytyy internetsivuilta: www.ransomware.fi ja www.nomoreransom.org. Ensimmäinen on Kybertuvallisuuskeskuksen, F-Securen ja poliisin yhteinen sivusto. Jälkimmäinen on Europolin ja usean eri tahon yhteistyöhanke. Kyberturvallisuuskeskus on tehnyt ”Selviytymisopas kiristyshaittaohjelmia vastaan Kokemuksia kiristyshaittaohjelmista Suomessa ja neuvoja niistä selviytymiseen” oppaan. Se löytyy osoitteesta: https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvaohjeet.html

Teollisiin tuotantoprosesseihin kohdistuvat hyökkäykset Teollisuuden vastaajista vain kymmenesosa (13%) pitää tuotantoprosesseihin kohdistuvia hyökkäyksiä vakavana uhkana. Suomi on Dellin vuonna 2015 tekemän


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

11

tutkimuksen mukaan ensimmäisellä sijalla maailmassa Scada valvomo-ohjelmistoihin kohdistettujen hyökkäyksien määrässä. Vuoden 2014 aikana Dell havaitsi 202322 Scada -hyökkäystä Suomessa, 69656 Englannissa ja 51258 Yhdysvalloissa. Teolliset prosessit ovat usein valtiollisten hyökkääjien kohteena. Näissä hyökkäyksissä järjestelmiin asennetaan uinuvia ohjelmia odottamaan tulevaisuudessa tapahtuvaa aktivoimista esimerkiksi kansainvälisen tilanteen kiristyessä. Ammattimainen rikollisuus voisi käyttää samanlaista hyökkäystä kiristysmielessä. Mikäli lunnaita ei makseta, tuotantoprosessit keskeytyvät. ”Tuotantotietokoneemme eivät ole yhteydessä internettiin (oma verkko). Internet yhteydet tehdään erillisillä kannettavilla tietokoneilla.”

Teollisuuden on tärkeää ymmärtää paremmin korkea asemansa rikollisten ja valtioiden hyökkäyslistoilla. Teollisiin prosesseihin kohdistuvat hyökkäykset voivat rikkoa tuotantokoneita, pysäyttää liiketoiminnan, vaarantaa ihmishenkiä ja pysäyttää yhteiskunnan perustoimintoja. Jäljempänä on kaavio siitä miten kohdistettu hyökkäys teollisuuden prosesseihin tapahtuu.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

Muut vastaukset Vastaajayritysten muut vastaukset olivat muun muassa seuraavanlaisia: • • • • • • •

Advanced persistent threat Suurimmat ja merkittävimmät riskit painottuvat maksuliikennepetoksiin Identtiteettivarkaudet Sosiaalinen hakkerointi Sähköpostiväärennöksiin liittyvät petokset Toimitusjohtajahuijaukset (CEO fraud) Yrityskaappaukset, valeostot/kauppa

12


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

13

KYSYMYS 2. Mitkä ovat kolme suurinta estettä tehokkaan kyberturvallisuuden toteuttamisessa?

Käyttäjien piittaamattomuus tietoturvasta ja kyberuhista Kaikkien vastaajien mukaan käyttäjien piittaamattomuus tietoturvallisuudesta ja kyberuhista on suurin este tehokkaalle kyberturvallisuuden toteuttamiselle. Kaksi viidestä (42%) vastaajasta kertoo asian olevan näin. Toimialoittain näin vastattiin seuraavasti: teollisuus 44%, rakentaminen 38%, kauppa 40% ja palvelut 43%. ”Henkilöstö muodostaa aina riskin omalla toiminnalla, vaikka se ei olisikaan tarkoituksellista. Käyttöoikeuksien rajaamisella ja tehokkaalla suojaamisella voidaan onneksi minimoida, myös meillä.” ”Yhdelläkään käyttäjällä ei ole järjestelmänvalvoja oikeuksia koneeseen. Joten vaikka muut seulat ovat pettäneet ja käyttäjä on mokannut, ei vahingot ole olleet vakavia.”


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

14

Jos yrityksen työntekijät eivät piittaa turvallisuudesta, avaa se hyökkääjälle reitin yrityksen tietoverkkoon. Aina on joukossa niitä, jotka klikkaavat epämääräistäkin sähköpostin liitettä. Kouluttamisen ja tiedon jakamisen kautta voidaan kuitenkin parantaa henkilökunnan ymmärrystä ja osaamista kyberturvallisuuden suhteen. Samalla hyökkäysten onnistuminen käy vaikeammaksi. ”Kyberturvallisuus on pettänyt tilanteessa, jossa käyttäjä on avannut kiellosta huolimatta sähköpostin liitteen ja työasema on kryptattu haittaohjelman toimesta.”

Joskus oma henkilökunta voi aiheuttaa merkittäviä vahinkoja, koska heillä työtehtäviensä takia on pääsy suojattuun tietoon. ”Oman henkilökunnan edustaja (vapautettu tehtävistään, mutta oli vielä irtisanomisajalla töissä), vei runsaasti tietomateriaalia johtamisprosesseihin liittyen. Ei siis tuotteisiin yms. liittyvää, mutta yrityksen johtamiseen ja prosessien kehittämiseen liittyvää talon sisällä tehtyä ja kehitettyä materiaalia.” ”Kun avainhenkilö on poistunut työsuhteesta, emme ole varmoja kuinka paljon tietoa lähti mukana? Meillä toistaiseksi suurimmat riskit ovat liittyneet työsuhteen katkaisemisvaihetilanteeseen ja lähtevän työntekijän toimintaan.”

Kyberuhkiin liittyvän tiedon riittämättömyys Vastaajista kolmasosa (34%) piti kyberuhkiin liittyvän tiedon riittämättömyyttä merkittävänä esteenä. Toimialoittain näin vastattiin seuraavasti: teollisuus 33%, rakentaminen 21%, kauppa 39% ja palvelut 37%. Kyberturvallisuustietoa on saatavissa Kyberturvallisuuskeskuksen internetsivuilta. Yritykset vastaavat turvallisuudestaan itse ja siksi niiden tulee myös hakea tietoa itse. Tietoa löytyy myös tämän selvityksen lähdesivulla olevista muista linkeistä, mutta Kyberturvallisuuskeskuksen internetsivut ovat hyvä paikka aloittaa tiedonhaku.

Henkilökunnan kyberuhkiin liittyvän tieto-taidon ylläpitäminen Kolmanneksi yleisin vastaus (33%) oli henkilökunnan kyberuhkiin liittyvän tietotaidon ylläpito. Yrityksillä ei vieläkään ole riittävästi tietoa kyberuhista ja niihin varautumisesta. Toimialoittain tätä estettä painotettiin seuraavasti: teollisuus 39%, rakentaminen 20%, kauppa 36% ja palvelut 33%. Yritykset voivat hankkia tietoa ja osaamista itse tai sitten käyttää ulkopuolisia kouluttajia henkilöstönsä kouluttamiseen. Yritysten on tehtävä päätöksiä kyberuhkiin varautumisesta, arvioitava riskit ja tehtävä suunnitelma siitä miten varautuminen aloitetaan.

Nykyisten monitoimittajaympäristöjen monimutkaisuus ja dynaamisuus Kolmasosa (29%) kaikista vastaajista pitää tänä vuonna selvitykseen lisättyä vaihtoehtoa ”Nykyisten monitoimittajaympäristöjen monimutkaisuus ja dynaamisuus” merkittävänä esteenä kyberturvallisuuden toteuttamiselle. Toimialoittain tätä pidettiin esteenä seuraavasti: teollisuus 28%, rakentaminen 17%, kauppa 27% ja palvelut 33%.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

15

”Julkisen verkkosivun haavoittuvuutta hyödynnettiin hyökkäyksessä.”

Monitoimittajaympäristöt lisääntyvät yrityksissä nopeasti. Tietohallintajärjestelmien ja liiketoimintapalvelujen käyttöönotto mutkistuu niissä samalla tahdilla. Monitoimittajaympäristöissä on usein haasteita jo normaalin liiketoiminnan sujuvuuden kanssa. Kun tähän lisätään kyberturvallisuus, on ymmärrettävää että monet yritykset kokevat monitoimittajaympäristöt esteenä kyberturvallisuuden toteuttamiselle.

Turvallisuustoimiin ja - liittyvän tiedon riittämättömyys Kolmasosa (29%) kaikista vastaajista pitää nykyiseen puolustautumiseen liittyvän tiiedon puutetta esteenä kyberturvallisuuden toteuttamiselle. Toimialoittain tätä estettä painotettaan seuraavasti: teollisuus 25%, rakentaminen 24%, kauppa 28% ja palvelut 32%.

Osaavien ammattilaisten löytämisen vaikeus Osaavien ammattilaisten löytämistä pitää ongelmana 15 prosenttia vastaajista. Osaajien puutteeseen tulisi pian löytää ratkaisuja alan koulutusta kehittämällä. Lähivuosina pätevien osaajien tarve moninkertaistuu ja arvioiden mukaan vuonna 2020 maailmassa on puutetta 1,5 miljoonasta kyberammattilaisesta. Toimialoittain osaajien puutetta painotetaan seuraavasti: teollisuus 16%, rakentaminen 14%, kauppa 15% ja palvelut 15%.


16

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

Rahoitus

13 15 13

7

16

10 11 9 10 10 8 8 7 10 10 7

Tehottomat teknologiaratkaisut

Laadukkaiden kyberturvapalveluiden puute Suomen markkinoilla Riittämätön integraatio kyberturvallisuuden ja muiden turvallisuuden osa-alueiden välillä (jatkuvuussuunnittelu,…

4 6

9

Kaikki vastaajat, n=754 Mikrot (1-4 henkilöä), n=206

15

2 2 2 1 3

Muu

Pienet (5-49 henkilöä), n=357

10 En osaa sanoa 3 0

6 10

11

Keskikokoiset (50-199 henkilöä), n=100

15

20

Isot (yli 200 henkilöä), n=91

30

40

50

60

70

80

90

Rahoitus Kuten vuoden 2015 selvityksessä, vain joka kahdeksas (13%) yritys piti rahoitusta suurimpien esteiden joukossa. Toimialoittain rahoitusta esteenä painotettiin seuraavasti: teollisuus 14%, rakentaminen 16%, kauppa 13% ja palvelut 13%. Raha on usein esteenä muiden turvallisuuden osa-alueiden kehittämiselle. Syytä, miksi se ei nouse esille kyberturvallisuuden toteuttamisen esteenä, voidaan vain arvailla. Vaihtoehtoja voi olla kaksi. Kyberhankinnat saavat rahoituksen tai sitten kyberasioita ei ole kehitetty ja siksi rahoitus ei ole ehtinyt nousta esteeksi niiden kehittämiselle. Yhdysvalloissa tehty Cyber Edge Groupin tekemä ”2016 Cyber Threat Defence” tutkimus tukee tätä näkemystä. Yritykset pitävät omien työntekijöidensä suunnalta tulevaa uhkaa suurimpana esteenä, mutta jaetulla kolmannella sijalla ammattilaisten löytämisen vaikeuden kanssa on rahoitus. Yritykset ovat siis yrittäneet kehittää kyberturvallisuuttaan ja rahoitus on noussut esteeksi. Rahoitus on enää ongelma joka kuudennelle (16%) suurelle vastaajalle kun vuonna 2015 se oli esteenä (27%) neljännelle esteenä. Suurten yritysten keskuudessa on tapahtunut myönteistä kehitystä. Suuret yritykset ovat alkaneet varautua kyberuhkiin

100 %


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

17

ja yritysten johto on sitoutunut toimintaan myöntämällä rahoituksen sen kehittämiseen. ”Koko yritys on sitoutunut parantamaan yrityksen tieto/kyberturvallisuutta.”

Laadukkaiden kyberpalveluiden puute Laadukkaiden kyberpalvelujen puutetta pitää ongelmana joka kymmenes (8%) vastaaja. Toimialoittain tätä estettä painotettiin seuraavasti: teollisuus 8%, rakentaminen 13%, kauppa 8% ja palvelut 7%. Sekä keskikokoisista että suurista vastaajista joka kymmenes (10%) piti laadukkaiden kyberpalvelujen puutetta ongelmana. Näin vastanneilla yrityksillä saattaa olla kykyä arvioida palveluja ja vertailla niitä muualla oleviin palveluihin. Toisaalta vastaukset voivat myös kertoa kotimaisten palvelujen olevan pääsääntöisesti laadukkaita. Syystä tai toisesta kymmenesosa vastaajista kokee asian olevan näin.

Suurten vastaajien tilanne Omat työntekijät ovat yhä huolena suurille yrityksille. Käyttäjien piittaamattomuus (46%) ja nykyisen henkilökunnan tietotaidon ylläpitäminen (42%) ovat kolmen suurimman esteen joukossa. Toiseksi suurimmaksi esteeksi (44%) suurille vastaajille nousee nykyisten monitoimittajaympäristöjen monimutkaisuus ja dynaamisuus.

Muut vastaukset Vastaajayritysten muut vastaukset olivat seuraavanlaisia: • • • • • • • • • • • • •

Asian vaatiman huomion määrä - siis pienessä yrityksessä, jossa ei ole tietoturvalle dedikoitua henkilökuntaa Asiasta oikeasti vastaavien tietämättömyys ja asioista vastaamaan pantujen asenneongelma Asioiden monimutkaisuus - ei osaa sanoa mikä on olennaista ja mikä, mistä aloittaa Hakkerit edellä, torjunta ei ole ydinliiketoimintaa vaan kulu Helpot paketoidut ratkaisut, ei aikaa perehtyä itse johdon ymmärtämättömyys kyberuhista Kaiken kattavat tiedustelujärjestelmät mm. käyttöjärjestelmissä, sähköposteissa ja pilvipalveluissa Liian monta järjestelmää päällekkäin Suomessa heikosti saatavissa penetraatiotestauspalveluita muilta kun palveluntarjoajalta jotka ratkaisun myyvät. teknologia- ja tuotelähtöisyys Tietoturva ei ole oikeasti luonnollinen osa kaikkea tekemistä ja omistajuutta tietoturvaa tehostavien ratkaisujen kömpelyys ja huono käytettävyys Visualisoi johdolle miten tietoturvan mittaaminen parantaa työn laatua, mitä rahalla saadaan aikaan?


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

18

TIETOA KYBERTURVALLISUUDESTA – OSA 1. Tämä osio on otettu osaksi tätä selvitystä koska yritysten vastauksista käy ilmi etteivät ne ole saaneet riittävästi tietoa kyberuhkiin liittyen. Nämä lainaukset ovat lyhennelmä, niihin tehdyt korostukset ovat tähän selvitykseen tehtyjä lisäyksiä, jotka eivät muuta sisältöä. Alkuperäinen versio löytyy Viestintäviraston sivuilta osoitteesta: https://www.viestintavirasto.fi/tietoturva/tietoturvanyt.html Älä panikoi, näin pääset eroon haittaohjelmasta Huolellisuus verkkoselailussa, päätelaitteen päivittämisessä ja virussuojauksessa estää liki kaikki haittaohjelmatartunnat. Jos oma päätelaite kuitenkin saastuu, se on usein vielä pelastettavissa. Tärkeää on huomata haittaohjelmatartunta nopeasti ja puhdistaa laite esimerkiksi luotettavalla virustorjuntaohjelmalla. Tässä artikkelissa päätelaitteella tarkoitetaan tietokoneita ja mobiililaitteita kuten matkapuhelimia tai tabletteja. Ennaltaehkäisy on helpompaa kuin jälkien siivoaminen Ohjelmistopäivitykset sisältävät usein runsaasti tietoturvaan liittyviä korjauksia. Siksi päätelaite, jonka käyttöjärjestelmä ja siinä käytetyt ohjelmistot on pidetty ajan tasalla, on turvallisempi ja vähemmän altis haittaohjelmatartunnalle kuin päivittämätön. Haittaohjelma voi tarttua päätelaitteeseen esimerkiksi www-selailun yhteydessä murretun verkkosivuston välityksellä. Tyypillisesti saastumiselle alttiissa järjestelmässä käytetään vanhentunutta selainta, käyttöjärjestelmää tai liitännäissovelluksia (muun muassa Adobe Flash Player tai Java). Myös USB-muistitikku tai sähköpostiviestin liitetiedosto voi toimia haittaohjelman välittäjänä ja tartuttaa päätelaitteen. Verkosta ladattavat ohjelmatkin voivat sisältää haitallista koodia, siksi tällaisten ohjelmien alkuperä on syytä tarkistaa. Hyvinkin ylläpidetty päätelaite voi saada haittaohjelmatartunnan tuoreesta haavoittuvuudesta, jos esimerkiksi päätelaitteen virustorjunta ei tunnista tuoretta haittaohjelmaa tai ohjelmaan ei ole vielä päivitettyä versiota saatavilla. Päätelaitteelle pesiytynyt haittaohjelma voi saattaa laitteen käyttäjän yksityisyyden ja tiedot vaaraan. Haittaohjelma voi kerätä esimerkiksi käyttäjätunnus ja salasana -yhdistelmiä eri palveluihin kirjauduttaessa (engl. keylogger) tai se voi avata laitteeseen takaoven (engl. backdoor), joka tarjoaa hyökkääjälle pääsyn käyttäjän päätelaitteelle verkon yli. Päätelaite saatetaan myös valjastaa osaksi bottiverkkoa. Tällaiseen bottiverkkoon koottuja tietokoneita voidaan käyttää esimerkiksi roskapostittamiseen tai hajautettuihin palvelunestohyökkäyksiin (engl. DDoS, Distributed Denial of Service). Haittaohjelmatartuntojen suuri määrä kertoo niiden olevan varsin yleisiä. Valitettavan suuri osa verkon käyttäjistä saa tietokoneeseensa tai älykännykkäänsä haittaohjelman huolellisesta varautumisestaan huolimatta. Haittaohjelmien välttämiskeinojen lisäksi on myös hyvä tietää, miten haittaohjelmatartunnan voi huomata päätelaitteessaan ja miten tällaisessa tilanteessa tulee toimia. Miten haittaohjelmatartunta havaitaan? Jos päätelaitteen virustorjuntaohjelmisto hälyttää, se on todennäköisesti havainnut jotain vahingollista käyttäjän tiedostoissa. Virustorjunta ei kuitenkaan tunnista kaikkia haittaohjelmia. Myös päätelaitteen normaalista poikkeava toiminta voi viitata haittaohjelmatartuntaan. Seuraavat oireet herättävät epäilyksiä tartunnasta: -

itsekseen aukeavat mainosikkunat koneen merkittävä hidastuminen tunnistamattomat tai omituiset prosessit saat nettiliittymän palveluntarjoajalta ilmoituksen haittaohjelmahavainnosta.


19

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016 Kiristyshaittaohjelmat ja tiedostot salaavat kiristysilmoituksen, joka kertoo tartunnasta.

haittaohjelmat

esittävät

käyttäjälle

Mitä tehdä, jos olet saanut haittaohjelmatartunnan? -

-

Älä hätäänny. Tarkista päätelaite ja pyri poistamaan haittaohjelma virustorjuntaohjelmiston avulla. Hankalasti poistettavien haittaohjelmien kanssa voidaan tarvita esimerkiksi torjuntaohjelmistojen valmistajien tarjoamia korjaus-CD:n (engl. recovery/rescue CD) tai USB:n kaltaisia apuvälineitä. Selvitä, onko tälle haittaohjelmalle julkaistu erityisiä poisto-ohjeita.

Hankalissa tapauksissa päätelaite on tyhjennettävä kokonaan ja käyttöjärjestelmä asennettava uudelleen (esim. itsensä piilottavat rootkit-tyyppiset haittaohjelmat). Tällöin ajantasaiset, ennen saastumista otetut varmuuskopiot ovat helppo tapa palauttaa tiedostot. Jo saastuneesta päätelaitteesta otetun varmuuskopion palauttaminen voi saastuttaa laitteen uudelleen, sillä se saattaa samalla sisältää "varmuuskopion" haittaohjelmasta! Käyttäjän tietoja salakirjoittavat haittaohjelmat tekevät tietojen siirtämisen saastuneesta järjestelmästä puhtaaseen järjestelmään mahdottomaksi. Turvallisin tapa saada haittaohjelmalla saastunut tietokone uudelleen käyttöön on alustaa levyt ja asentaa käyttöjärjestelmä uudelleen.

Muista tarkistukset! Virustorjuntaohjelmistojen tunnistetiedot päivittyvät jatkuvasti. Virustorjuntaohjelmistojen ajastettua tarkistusominaisuutta kannattaa käyttää säännöllisesti ja vaikka ajastaa tarkistus toistumaan säännöllisin väliajoin, esimerkiksi ennen varmuuskopioiden ottamista. Virustorjuntaohjelmistot skannaavat käsiteltävät tiedostot "lennossa", mutta kovalevylle on voitu tallentaa haitallista sisältöä ennen kuin virustorjuntaohjelmiston virustietokanta on ehtinyt päivittyä.


20

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

4

SELVITYKSEN TULOKSIA: YRITYKSIIN KOHDISTUVAT TUNKEUTUMISET

KYSYMYS 3. Mitkä seuraavista vaihtoehdoista ovat raskaimmat seuraukset kyberhyökkäyksistä?

Tuoton menetys – suora tai epäsuora

41 40 39 39 38 37

Yksityisyyden (henkilökunnan tai asiakkaiden tiedot) loukkaus Aineettoman omaisuuden menetys 25 21 24 23

Negatiivinen julkisuus 17 13 18 16

Kansallisen turvallisuuden vaarantuminen

11 12 12

Menetetään kilpailuetu

33 34 33

45 45

49 51

48 47

36

24

Kaikki vastaajat, n=754

9 8 8 5 9 10 4

Markkinaosuuden menetys

Mikrot (1-4 henkilöä), n=206 Pienet (5-49 henkilöä), n=357

1 0 1 3 1 4 6 5 2 1

Muu En osaa sanoa 0

10

Keskikokoiset (50-199 henkilöä), n=100 Isot (yli 200 henkilöä), n=91

20

30

40

50

60

70

80

90

Suora tai epäsuora tuoton menetys Kaikista vastaajayrityksistä noin puolet (45%) pitää suoraa tai epäsuoraa tuoton menetystä raskaimpana seurauksena kyberhyökkäyksistä. Ymmärtäessään tuoton vaarantumisen yritykset ovat valmiita sijoittamaan resursseja riskin torjumiseen tai pienentämiseen. Toimialoittain tuoton menetystä pidetään raskaana seuraavasti: teollisuus 49%, rakentaminen 38%, kauppa 54% ja palvelut 42%.

100 %


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

21

Yksityisyyden loukkaus Kaksi viidesosaa (40%) kaikista vastaajayrityksistä kertoo henkilökunnan tai asiakkaiden yksityisyyden loukkauksen olevan vakavimpien seurausten joukossa. Kaksi viidestä (38%) suuresta vastaajayrityksistä pitää tätä raskaimpien seurausten joukossa. Toimialoittain tätä seurausta painotettiin seuraavasti: teollisuus 31%, rakentaminen 45%, kauppa 31% ja palvelut 47%. ”Sain juuri kuulla eilen it-tuelta, että AppStoresta oli ostettu Pokemon Go -peli vuosia vanhoilla tunnuksillani - Kiinassa!?”

Aineettoman omaisuuden menetys Neljä kymmenestä (37%) vastaajasta toi esille aineettoman omaisuuden menetyksen yhtenä raskaimmista seurauksista. Mikroyrityksistä puolet (47%) koki tämän olevan yksi raskaimmista seurauksista. Muihin kokoryhmiin verrattuna mikroyritysten vastausten määrä oli yli kymmenen prosenttia suurempi. Syynä saattaa olla se, että mikroyritykset ovat toiminnassaan riippuvaisempia yksittäisistä innovaatioista ja tieto-taidosta ja siksi kokevat niihin kohdistuvan uhan vakavaksi. Toimialoittain tätä seurausta painotettiin seuraavasti: teollisuus 41%, rakentaminen 33%, kauppa 40% ja palvelut 35%. ”Salasanoja on vuotanut talosta ulos ja taho jolle ne vuotaneet on testannut salasanojen toimivuutta, on havaittu myöhemmin aikaisemmin tapahtunut tunkeutuminen järjestelmiin eikä pystytty verifioimaan mitä dataa on vuotanut.”

Negatiivinen julkisuus Neljäsosa (25%) vastaajista toi esille negatiivisen julkisuuden. Suurista yrityksistä kolmasosa (36%) koki negatiivisen julkisuuden vakavaksi seuraukseksi tunkeutumisesta. Suuret yritykset ovat näkyvämpiä kuin muut ja sen vuoksi maineriski nousee niiden keskuudessa vakavimpien seurausten joukkoon. Toimialoittain tätä seurausta painotettiin seuraavasti: teollisuus 17%, rakentaminen 20%, kauppa 20% ja palvelut 31%. ”Ostotoimintaan liittyvä huijausyritys on pystytty havaitsemaan ja torjumaan” ”ISIS murtautui WordPress sivuillemme ja jouduimme puhdistamaan ympäristön.”

Kyberturvallisuuskeskuksen ohje ” Ohje 2/2016 Verkkosivujesi pimeä puoli - Ohjeita sisällönhallintajärjestelmien kyberuhkien torjumiseksi” käsittelee sisällönhallintajärjestelmien haavoittuvuuksia. Ne aiheuttavat merkittävien kustannusten riskin. Riskit voi minimoida asianmukaisella päivittämisellä. Ohjeessa kerrotaan seuraavaa: ”Verkkosivujen julkaisujärjestelmä, kuten WordPress, Drupal tai Joomla, kannattaa pitää päivitettynä viimeisimpään versioonsa. Päivittämätön järjestelmä on altis hyökkäyksille. Menetetyn tiedon palauttaminen, julkisuuskuvan korjaaminen ja verkkonäkyvyyden saaminen takaisin voivat käydä kalliiksi. Raportissa kerrotaan haavoittuvuuksien seurauksista, vahinkojen kustannuksista ja suojautumiskeinoista.”

Ohje löytyy osoitteesta: https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvaohjeet.html.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

22

Kansallisen turvallisuuden vaarantuminen Joka viides (17%) vastaaja piti kansallisen turvallisuuden vaarantumista kolmen raskaimman seurauksen joukossa. Kansallinen turvallisuus voi vaarantua, kun viranomaisten eri johtamis- ja viestintäjärjestelmiin, ohjausjärjestelmiin, lennonohjausjärjestelmiin jne. hyökätään ja estetään niitä toimimasta normaalisti. Toimialoittain näin vastattiin seuraavasti: teollisuus 18%, rakentaminen 18%, kauppa 13% ja palvelut 17%.

Kilpailuedun menetys Yritys voi menettää kilpailuedun, jos kilpaileva taho saa haltuunsa yrityksen tuotekehitystiedot, tulevaisuuden toimintasuunnitelmat, hinnat, asiakastiedot tai muut vastaavat tiedot. Joka kymmenes (11%) vastaaja piti kilpailuedun menettämistä kolmen raskaimman seurauksen joukossa. Toimialoittain näin vastattiin seuraavasti: teollisuus 16%, rakentaminen 9%, kauppa 8% ja palvelut 10%. Joskus hyökkäys tapahtuu reaalielämässä sähköisen maailman sijaan. Toimitilaturvallisuuden ylläpito on olennainen osa kyberturvallisuuden kokonaisuutta. On hyödytöntä suojata tietoverkkoja turvatakseen luottamuksellista tietoa, jos hyökkääjä pääsee helposti toimitiloihin ottaen tietokoneet ja serverit tietoineen mukaansa. ”Mahdollinen hyökkääjä on päässyt fyysisesti käsiksi laitteistoon.” ”Toimistoomme murtauduttiin ja vietiin kaikki tietotekniikka. Ei varsinaista Kyberiä mutta aineeton omaisuus hävisi tietokoneiden lisäksi.”


23

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

KYSYMYS 4. Miten organisaationne havaitsisi yrityksenne tietoverkossa käynnissä olevan tunkeutumisen?

40 37 42 41 42 36

Kolmas taho, kuten internet operaattori tai palveluntarjoaja, ilmoittaisi meille 25

Havaitsisimme sen itse käyttäen omia torjunta- ja hälytysjärjestelmiämme

33 32

Me emme todennäköisesti havaitsisi käynnissä olevaa tunkeutumista

33

14 8 9

Käyttäjämme tunnistaisivat sen ja ilmoittaisivat eteenpäin

8 6 6 9

Kotimaiset lainvalvontaviranomaiset tai tiedusteluorganisaatiot varoittaisivat meitä

9 10 10

En osaa sanoa

45

16

31

Kaikki vastaajat, n=754 Mikrot (1-4 henkilöä), n=206

22

Pienet (5-49 henkilöä), n=357 19

Keskikokoiset (50-199 henkilöä), n=100 Isot (yli 200 henkilöä), n=91

7 8 0

10

55

20

12

11 12 10 8

Tunnistaisimme itse, koska tarkastamme ja analysoimme lokejamme ja arvioimme niistä ilmenevää uhkaan…

51

20

30

40

50

60

70

80

90

Kolmas taho kuten internetoperaattori tai palveluntarjoaja Neljä kymmenestä vastaajasta (40%) vastasi ”Kolmanen tahon, kuten internet operaattorin tai palveluntarjoajan, ilmoittavan heille tunkeutumisesta”. Suurten yritysten keskuudessa tämä vaihtoehto oli toisella sijalla (42%). Verrattuna viime selvitykseen suurten vastaajien osalta vastausprosentti laski seitsemän prosenttia Toimialoittain tätä vaihtoehtoa painotettiin seuraavasti: teollisuus 34%, rakentaminen 42%, kauppa 43% ja palvelut 42%. Suomalaisten teleoperaattoreiden tehokas työskentely haittaohjelmistojen poistamiseksi verkosta selittää yritysten luottamusta kolmannen tahon kuten operaattorin tai palveluntarjoajan tekemään ilmoitukseen. Teleoperaattorit ovat yhdessä viranomaisten kanssa jakaneet aktiivisesti tietoa asiasta ja se on lisännyt vastaajien tietoisuutta toiminnasta.

100 %


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

24

Havaitseminen käyttäen omia hälytys- ja torjuntajärjestelmiä Toiseksi eniten vastauksia (36%) sai ”Havaitsisimme sen itse käyttäen omia torjunta- ja hälytysjärjestelmiämme”. Joka toinen (55%) suurista yrityksistä ja keskikokoisista (51%) kykenee havaitsemaan tunkeutumisen itse. Toimialoittain näin vastattiin seuraavasti: teollisuus 44%, rakentaminen 26%, kauppa 35% ja palvelut 34%. ”Vuosia sitten yhden www-palvelimen php päästi harrastelijat sisään. Vahinko rajoittui yhdelle palvelimelle DMZ:lla. Hetkellinen ongelma.” ”Vanhentuneen asiakasohjelmiston kautta kehityspalvelimelle tunkeutuneen hakkerin eristys hänen tietämättään, sosiaalinen jäljittäminen ja ilmoitus murrosta ja murtajasta osoitteineen ja puhelinnumeroineen Puolan tietoturvaviranomaisille.”

Todennäköisesti ei tunnista hyökkäystä Kolmanneksi yleisimpänä vastausvaihtoehtona (32%) oli ”Me emme todennäköisesti havaitsisi käynnissä olevaa tunkeutumista”. Kolmasosa vastaajayrityksistä tiedostaa ettei heillä ole valmiuksia tunnistaa hyökkäystä. Suurista yrityksistä joka viides (20%) vastasi tilanteen olevan näin ja mikroyrityksistä puolet (45%). Toimialoittain vastaukset jakautuivat seuraavasti: teollisuus 27%, rakentaminen 43%, kauppa 25% ja palvelut 34%. Tunkeutumisen havaitseminen vaatii resursseja ja osaamista yrityksiltä. On huolestuttavaa, ettei yli puolentoista vuoden aikana ole tapahtunut juurikaan kehitystä. Vähintään kolmasosa kaikista yrityksistä on yhä vailla kykyä havaita hyökkäyksiä, joiden takana usein on rikollinen toiminta, joko järjestäytynyt tai valtiollinen. Tunnistaminen on vaativaa ja hyökkääjien tavat kehittyvät koko ajan. ”Ei jatkuvaa seurantaa, joten tietoa onnistuneesta hyökkäyksestä ei saada”

Käyttäjät tunnistavat ja ilmoittavat eteenpäin Kymmenesosa (12%) vastaajista kertoi käyttäjien tunnistavan hyökkäyksen ja ilmoittavan siitä eteenpäin. Osaavat käyttäjät ovat merkittävässä roolissa kyberhyökkäysten torjunnassa. He käyttävät työnantajan järjestelmiä alkaen sähköpostijärjestelmistä aina tuotannonohjausjärjestelmiin. He tuntevat miten ne toimivat ja tunnistavat poikkeamat nopeasti. Poikkeavan toiminnan havaitsemisesta ilmoitukseen kuluva aika voi olla elintärkeä yrityksen kannalta. Toimialoittain näin vastattiin seuraavasti: teollisuus 20%, rakentaminen 7%, kauppa 13% ja palvelut 9%. ”Meillä käyttäjät ovat havainneet sekä phishing että ransomeware tilanteita ja raportoineet nopeasti oikeaan paikkaan.” ”Henkilökunta on koulutettu tietoturvan ja tietosuojan osalta, tietoverkkomme on suojattu palomuurilla, omaamme tehokkaita sopimuskumppaneita.”

Suurten yritysten keskuudessa on tapahtunut merkittävää kehitystä, sillä kolmasosa (31%) vastasi omien työntekijöiden tunnistavan hyökkäyksen. Aiemmin vain 16 prosenttia vastasi näin. Kehitystä on tapahtunut 15 prosentin verran. Omien työntekijöiden osaamisen ja valppauden kehittäminen on yksi tehokkaista tavoista nostaa yrityksen kyberturvallisuuden tasoa.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

25

”Tiedotus on jatkuvaa ja haittaohjelmien torjunta on ajan tasalla. Haittaohjelmia on havaittu ja torjuttu. Ei ole tiedossa merkittäviä vahinkoja. Koemielessä olemme operoineet huonolla tietoturvalla pilvipalveluissa ja saaneet kokemuksia haittaohjelmista ja lukittujen tiedostojen lunnasvaatimuksista.”

Havaitseminen lokien tarkastamisen ja analysoimisen kautta Joka kymmenes yritys (11%) havaitsisi hyökkäyksen tarkastamalla ja analysoimalla lokeja, Sen jälkeen tehtävässä kerätyn tiedon analysoinnissa yritykset havaitsisivat käynnissä olevan hyökkäyksen. Yhdeksän kymmenestä yrityksestä ei analysoi omia lokejaan. Suurten yrityksien keskuudessa joka viides vastaaja (22%) seuraa ja analysoi lokejaan. Kolme neljäsosaa suurista vastaajista ei kuitenkaan käytä resursseja tähän. Toimialoittain tätä havaitsemisen vaihtoehtoa painotettiin seuraavasti: teollisuus 11%, rakentaminen 5%, kauppa 8% ja palvelut 14%. ”Kerran ulkopuolinen pääsi sisään yhteen meidän asiakasrekisteriin sisälle. Ei varastanut mitään tietoja, yritti käyttää koneita Ddos hyökkäykseen”

Jatkuva lokien seuraaminen ja tiedon analysointi ovat osa yritysten puolustautumista hyökkäyksiä vastaan. Ne antavat yritykselle mahdollisuuden havaita hyökkäys, mutta vain mikäli tietoa analysoivat tahot osaavat työnsä hyvin. Oman verkon toiminnan tunteminen edesauttaa hyökkäyksen tunnistamista ja siksi yritysten on hyvä kouluttaa omia työntekijöitään analysointiin. Hyökkäyksen tunnistamisen jälkeen seuraava osaamistaso on vastatoimien toteuttaminen. Yritysten kannattaa selvittää miten palveluntarjoajat voivat auttaa tässä, jos yrityksellä ei ole omia resursseja tähän osaamiseen. Kyberturvallisuuskeskus on tehnyt ”Lokien keräys ja käyttö - Ohje lokitietojen tallentamiseen ja hyödyntämiseen (Ohje 4/2016)” -ohjeen. Ohje löytyy osoitteesta: https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvaohjeet.html

Kotimaiset lainvalvontaviranomaiset tai tiedusteluorganisaatiot ilmoittaisivat Joka viides (19%) suurista yrityksistä uskoo saavansa varoituksen kotimaisilta lainvalvonta- tai tiedusteluviranomaisilta. Yritykset luottavat korkealaatuiseen viranomaistoimintaan. Hyökkäysten lisääntyessä on viranomaisille annettava enemmän resursseja kuin niillä nykyisin on käytettävissään. Hyökkäyksiä yrityksiin ja eritoten kriittisen infran toimijoihin on tehty jo vuosikausia. Yritysten verkoissa saattaa olla erilaisia ”uinuvia” hyökkäysohjelmia, jotka odottavat aktivoimista hyökkääjätaholta. Monet yritykset tarvitsevat myös valtion asiantuntija-apua ja sitä viranomaiset eivät nykyisillä resursseilla voi antaa kovinkaan laajasti.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

26

Kyberturvallisuuskeskuksen raportti kohdistetuista hyökkäyksistä Elokuussa 2014 Kyberturvallisuuskeskus julkaisi raportin kohdistetuista haittaohjelmahyökkäyksistä. Sen tarkoituksena on lisätä tietoisuutta, parantaa suojausta ja lisätä kansallista yhteistyötä kohdistettujen haittaohjelmahyökkäysten uhkan torjunnassa. Tässä raportissa Kyberturvallisuuskeskus mainitsee seuraavaa: ”Kohdistettuja haittaohjelmahyökkäyksiä on paljastunut viime vuosina yhä enemmän. Kohteena ovat olleet pääasiassa valtiolliset organisaatiot ja kriittisen infrastruktuurin yritykset, mutta hyökkäyksen uhka voi tulla ajankohtaiseksi myös muille toimijoille esimerkiksi alihankintaketjujen kautta.” Yritykselle hyökkäyksen seuraukset voivat olla huomattavia, jos hyökkääjä kopioi ja vie sen huomaamatta liikesalaisuudet, kryptaa sen tiedostoja, ehkä sekoittaa sen logistiikka- tai tuotantoprosessit siten että väärät tavarat lähtevät väärille tahoille tai tuotantomäärät menevät sekaisin tai ”vain” julkistaa sille haitallisia sisäisiä tietoja.


27

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

KYSYMYS 5. Minkälaista tietoa luulette tunkeutujien etsivän?

Immateriaalista omaisuutta tai luottamuksellista tietoa tuotteistamme tai palveluistamme

40 42

35

40

Me emme osaa sanoa millaista tietoa vietäisiin tunkeutumisen yhteydessä

44 43

28 29

33 32 31 35

Tietoa alihankkijoista, yhteistyökumppaneista, tavarantoimittajista tai asiakkaista Tietoverkkoonne liittyvää tietoa kuten verkon arkkitehtuuri, asetukset tai tarkoitus

9 9

13

9 10

6

Henkilökunnan jäseniin liittyvää tietoa, kuten nimet, vastuualueet ja yksiköt 0

14

9 8 10

10

43 Kaikki vastaajat, n=754

18

33

12

Ylempään johtoon kuuluvien henkilökohtaista tietoa

45 48

Mikrot (1-4 henkilöä), n=206 Pienet (5-49 henkilöä), n=357

22

Keskikokoiset (50-199 henkilöä), n=100 Isot (yli 200 henkilöä), n=91

18 20

30

40

50

60

70

80

90

Riskienhallintaprosessin kautta toteutettava kyberturvallisuus on suositeltava tapa toimia. Yrityksen on ensin tunnistettava mitä on suojattava ja suhteuttaa toimenpiteet tunnistettuihin ja realistisiin riskeihin. Suora teknologian käyttöönotto vailla riskienarviointia ei ole hyvä tapa kehittää kyberturvallisuutta.

Immateriaalinen omaisuus tai luottamuksellinen tieto palveluista tai tuotteista Neljä kymmenestä (40%) kaikista vastaajista uskoi tunkeutujan etsivän immateriaalista omaisuutta tai luottamuksellista tuotteisiin- tai palveluihin liittyvää tietoa. Puolet (48%) suurista yrityksistä vastasi näin. Aiemmin kaksi kolmasosaa (64%) suurista yrityksistä vastasi näin. Toimialoittain tunkeutujan oletettiin hakevan näitä tietoja seuraavasti: teollisuus 46%, rakentaminen 34%, kauppa 27% ja palvelut 42%.

100 %


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

28

Emme tiedä mitä tietoa vietäisiin Neljä kymmenestä (40%) vastaajasta ei osannut sanoa millaista tietoa vietäisiin. Miten yritys voi suojautua, jos se ei tiedä mitä joku haluaisi viedä yritykseltä? Toimialoittain tämä tietämättömyys ilmeni seuraavasti: teollisuus 33%, rakentaminen 49%, kauppa 46% ja palvelut 39%. ”Aasiassa tehtaaseen on hyökätty ja viety valmistustietoa.” ”Luottamuksellista tietoa on tahattomasti päätynyt ohjelmistojen automaation vuoksi pilveen ja periaatteessa siten esimerkiksi valtiollisen verkkotiedustelun saataville.”

Aiemmin suurista yrityksistä joka viides (19%) ei tiennyt mitä tietoa heiltä etsittäisiin, kun tänä vuonna suurista melkein kolmasosa (29%) ei tiennyt. Syytä on vaikea arvioida miksi näin on käynyt ja miksi immateriaalisen omaisuuden ja luottamuksellisen tiedon prosentti on laskenut kymmenen prosentin verran.

Tieto alihankkijoista, yhteistyökumppaneista, tavarantoimittajista tai asiakkaista Kolmasosa kaikista vastaajista (33%) uskoi tunkeutujan etsivän tietoa alihankkijoista, yhteistyökumppaneista, tavarantoimittajista tai asiakkaista. Suurista yrityksistä neljä kymmenestä (43%) vastaajasta piti näitä tunkeutujan etsimänä tietona. Toimialoittain tämä vaihtoehto jakautui seuraavasti: teollisuus 30%, rakentaminen 25%, kauppa 36% ja palvelut 35%. ”Asiakkaan päivittämättömän julkaisujärjestelmän läpi on ujutettu palvelimelle haittaohjelma, joka esim. lähettää roskapostia.”

Tietoverkkoon liittyvä tieto – arkkitehtuuri, asetukset tai tarkoitus Kaikista vastaajista kymmenesosa (12%) uskoi tunkeutujan etsivän tietoa verkon arkkitehtuurista, asetuksista tai tarkoituksesta. Suurista joka kolmas (33%) uskoi asian olevan näin. Toimialoittain näin vastattiin seuraavasti: teollisuus 15%, rakentaminen 11%, kauppa 13% ja palvelut 9%.

Ylempään johtoon liittyvää henkilökohtaista tietoa Kymmenesosa (12%) kaikista vastaajayrityksistä uskoi tunkeutujan etsivän ylemmän johdon tietoja. Toimialoittain johdon tietojen etsimisen vaihtoehtoa painotettiin seuraavasti: teollisuus 19%, rakentaminen 7%, kauppa 4% ja palvelut 11%. Suurista vastaajista joka viides (22%) uskoi asian olevan näin.

Henkilökuntaan liittyvä tieto Kymmenesosa kaikista vastaajista (9%) uskoi tunkeutujan etsivän henkilökuntaan liittyvää tietoa. Suurista vastaajista joka viides (18%) uskoi asian olevan näin. ”Olemme hajauttaneet palvelut eri paikkoihin, eli jos yhteen kohteeseen murtaudutaan ei sieltä ole linkkiä toiseen palveluun.”


29

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

KYSYMYS 6. Minkä tyyppistä tietoa olette menettäneet tietoverkkotunkeutumisten vuoksi?

3 2 3 1

Immateriaalista omaisuutta tai luottamuksellista tietoa tuotteistamme tai palveluistamme

7

2 4 2 2 2

Tietoa alihankkijoista, yhteistyökumppaneista, tavarantoimittajista tai asiakkaista

2 1 1

Henkilökunnan jäseniin liittyvää tietoa, kuten nimet, vastuualueet ja yksiköt

Kaikki vastaajat, n=754

5 2 1 2 1 3

Tietoverkkoonne liittyvää tietoa kuten verkon arkkitehtuuri, asetukset tai tarkoitus

Mikrot (1-4 henkilöä), n=206 Pienet (5-49 henkilöä), n=357

1 1 1 1 1

Ylempään johtoon kuuluvien henkilökohtaista tietoa 0

Keskikokoiset (50-199 henkilöä), n=100 Isot (yli 200 henkilöä), n=91 10

20

30

40

50

60

70

80

90

100 %

Vastausten määrässä näkyi odotettavissa ollut ilmiö. Vastaajista suurin osa (93%) vastasi ettei osaa sanoa tai ei tiennyt mitä tietoa olisi viety. Syy voi olla tietämättömyyden ohella myös haluttomuus kertoa menettäneensä tietoa. Toisaalta jos riittäviä toimenpiteitä tietoverkon suojaamiseksi ei ole tehty, on mahdotonta tietää onko jotain tietoja kopioitu ja lähetetty ulos yrityksen verkosta.

Immateriaalinen tieto tai muu luottamuksellinen tieto Kolme prosenttia kaikista vastaajayrityksistä kertoi tunkeutujan vieneen tietoa immateriaalisesta omaisuudesta tai luottamuksellista tuotteisiin- tai palveluihin liittyvää tietoa. Suurista yrityksistä miltei kymmenesosa (7%) kertoi näin käyneen.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

30

Tieto alihankkijoista, yhteistyökumppaneista, tavarantoimittajista tai asiakkaista Kaksi prosenttia kaikista vastaajista kertoi tunkeutujan vieneen tietoa alihankkijoista, yhteistyökumppaneista, tavarantoimittajista tai asiakkaista. Suuriin ryhmä tässä kohdassa oli mikroyritykset, joista neljä prosenttia kertoi näin käyneen. Pieniin alihankintayrityksiin hyökätään päämiehen tiedon löytämiseksi tai pääsyn saamiseksi päämiehen tietoverkkoon. Lakiasiaintoimistot ja suunnittelutoimistot ovat esimerkkejä alihankkijoista, joihin on jo vuosien ajan kohdistettu tällaisia hyökkäyksiä.

Tietoverkkoon liittyvä tieto – arkkitehtuuri, asetukset tai tarkoitus Kaksi prosenttia kaikista vastaajista kertoi tunkeutujan vieneen tietoa verkon arkkitehtuurista, asetuksista tai tarkoituksesta. Suurista yrityksistä kolme prosenttia vastasi näin.

Ylempään johtoon tai henkilökuntaan liittyvä tieto Vastaajista yksi prosentti kertoi tunkeutujan vieneen ylemmän johdon tietoja (1%) tai kaksi prosenttia henkilökuntaan liittyvää tietoa. Yleisintä (5%) henkilökunnan tietojen vieminen oli suurten yritysten keskuudessa.


31

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

KYSYMYS 7. Tietääkö henkilökuntanne miten toimia, jos he epäilevät tunkeutumista tietojärjestelmiinne?

Kyllä Kaikki vastaajat 2016, n=754 2015, n=748 Yrityksen koko Mikrot (1-4 henkilöä) 2016, n=206 2015, n=263 Pienet (5-49 henkilöä) 2016, n=357 2015, n=301 Keskikokoiset (50-199… 2016, n=100 2015, n=91 Isot (yli 200 henkilöä) 2016, n=91 2015, n=91 0

10

20

Ei

En osaa sanoa

56 53

20 22

24 25

55 54

21 23

24 23

53 49

24

23 28

24

61 55

15 23

62 60

9 15

30

40

50

60

70

24 22 30 24 80

90

100 %

Turvallisuusohje ei estä työntekijöitä käyttämästä yhteistyökumppanilta lahjaksi saamaansa kameraa ja lataamasta kuvia päästäen samalla tahattomasti haittaohjelman työnantajan kannettavaan tietokoneeseen tai klikkaamasta turvattomia linkkejä tai vierailemasta väärennetyillä sivustoilla, joista kone saastuu ja avaa mahdollisuuden päästä yrityksen verkkoon. Yritysten tulee nostaa työntekijöiden osaamisen tasoa, jotta he miettisivät etukäteen onko linkin klikkaaminen viisasta, onko nettisivusto sitä miltä se näyttää tai onko taho joka kysyy jotain yritystietoa oikeasti se taho joka väittää olevansa tai näyttää olevansa. Henkilökunta osaa toimia epäillessään tunkeutumista Yli puolet (56%) vastaajayrityksistä kertoo henkilökunnan osaavan toimia epäillessään tunkeutumista. Kynnyskysymys on osaako henkilökunta yhdistää tilanteen mahdolliseen hyökkäykseen ja toimia oikein. Ainoa tapa siihen on kouluttaminen ja tiedon jakaminen. ”Nopea reagointi uhkatilanteessa ja sen myötä laajojen vahinkojen estyminen”


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

32

Suurista yrityksistä kaksi kolmasosaa (62%) vastasi henkilökunnan osaavan toimia. Toimialoittain henkilökunta osaisi toimia oikein seuraavasti: teollisuus 56%, rakentaminen 37%, kauppa 53% ja palvelut 60%. “Koko henkilöstölle koulutettu Tietoturvallisuuskortit.”

Henkilökunta ei osaa toimia Viidesosa (20%) vastasi suoraan ettei henkilökunta osaisi toimia. Vain kymmenesosa (9%) suurista vastasi näin. Joka viidennessä yrityksessä hyökkäys pääsee verkkoon ja etenee koska henkilökunta ei osaisi toimia. Tämä antaa hyökkääjille suuren edun. Toimialoittain henkilökunta ei osaa toimia oikein seuraavasti: teollisuus 16%, rakentaminen 34%, kauppa 25% ja palvelut 18%. Neljäsosa (24%) vastaajista ei osannut sanoa osaisiko henkilökunta toimia tilanteessa.


33

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

KYSYMYS 8. Organisaation tietoverkon tai -järjestelmän luvaton/rikollinen käyttö?

Kyllä, tiedämme, että näin on tapahtunut Kaikki vastaajat, n=754

Kyllä, näin on saattanut tapahtua, mutta ei ole täyttä varmuutta

6

17

77

Mikrot (1-4 henkilöä), n=206

4

20

76

Pienet (5-49 henkilöä), n=357

4

Keskikokoiset (50-199 henkilöä), n=100

5

Ei

Yrityksen koko

Isot (yli 200 henkilöä), n=91

13

82

18

77

15 0

10

22 20

30

63 40

50

60

70

80

90

100 %

Yritysten verkon luvaton tai laiton käyttäminen on viime vuosina lisääntynyt. Tekijä voi olla oma työntekijä tai ulkopuolinen taho. Väärinkäytöksiä osaltaan helpottaa myös se, että yrityksillä on suojaamattomia langattomia verkkoja, joihin on helppo päästä kiinni toimitilojen ulkopuolelta.

Tietää verkkoa käytetyn luvatta tai laittomasti Kaikista vastaajista vain kuusi prosenttia tietää jonkun käyttäneen yrityksen tietoverkkoa luvattomasti tai laittomasti. Toimialoittain luvatonta tai laitonta käyttöä on tapahtunut seuraavasti: teollisuus 5%, rakentaminen 3%, kauppa 7% ja palvelut 6%. ”Yrityksen verkkosivuille murtauduttiin ja sinne asennettiin ulkopuolista materiaalia. Palvelimen hyökkäystä edeltänyt tila saatiin palautettua nopeasti varmuuskopioista sekä tietoturvaaukko, jota hyökkääjät käyttivät saatiin tutkittua ja tukittua.”


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

34

Uskoo verkkoa käytetyn luvatta tai laittomasti Joka viides (17%) uskoo näin käyneen, mutta ei ole saanut varmaa näyttöä asiasta. Toimialoittain vastaajat uskovat luvatonta tai laitonta käyttöä tapahtuneen seuraavasti: teollisuus 13%, rakentaminen 14%, kauppa 18% ja palvelut 18%. Suurten vastaajien ryhmässä seitsemäsosa (15%) kertoo jonkun käyttäneen tietoverkkoa luvattomasti. Joka viides suuri vastaaja (22%) uskoo näin käyneen, vaikkei näyttöä ole saanutkaan. ”Salasanojen vaihdon tekemättä jääminen mahdollisti vanhan työntekijän haitanteon yrityksen intranetille”

Verkkoa ei ole käytetty luvatta tai laittomasti Kolme neljästä (77%) vastaa ettei näin verkkoa ole käytetty luvatta tai laittomasti. Toimialoittain vastaajat kertoivat ettei luvatonta tai laitonta käyttöä ole tapahtunut seuraavasti: teollisuus 81%, rakentaminen 83%, kauppa 75% ja palvelut 75%. Nämä prosentit saattavat olla hieman optimistisia, kun pidetään mielessä missä määrin yritykset tarkkailevat tietoverkkojaan.


35

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

KYSYMYS 9. Havaitsisiko organisaatio tietoverkon tai -järjestelmän luvattoman/rikollisen käytön?

3 Havaitsisi varmasti Kaikki vastaajat, n=754

2 Havaitsisi todennäköisesti 69

7

23

1,84

Yrityksen koko Mikrot (1-4 henkilöä), n=206

6

Pienet (5-49 henkilöä), n=357

8

Keskikokoiset (50-199 henkilöä), n=100

8

Isot (yli 200 henkilöä), n=91

9 0

60

34 69

1,71 24

76

1,84 16

86 10

20

30

40

50

1,92 5

60

70

80

90

2,03

100 %

Yrityksen verkon luvattoman tai laittoman käyttämisen estäminen edellyttää yritykseltä kykyä valvoa omaa verkkoaan ja analysoida saamaansa tietoa tunnistaakseen ylimääräisen toiminnan verkossaan. Monitorointi on tärkeä tapa puolustautua myös sen vuoksi, että kohdistettujen hyökkäysten tunnistaminen on vaikeaa ja havainto voidaan usein saada vain tietoverkossa tapahtuvasta ylimääräisestä liikenteestä.

Havaitsee verkon luvattoman tai laittoman käytön Kaikista vastaajista kymmenesosa (7%) kertoo tunnistavansa verkkonsa luvattoman tai laittoman käytön. Toimialoittain luvatonta tai laitonta käyttöä tunnistetaan seuraavasti: teollisuus 5%, rakentaminen 4%, kauppa 7% ja palvelut 9%.

Havaitsee todennäköisesti verkon luvattoman tai laittoman käytön Kahdeksan kymmenestä (79%) vastaajasta uskoo tunnistavansa luvattoman tai laittoman käytön. Toimialoittain luvatonta tai laitonta käyttöä tunnistettaisiin todennäköisesti seuraavasti: teollisuus 74%, rakentaminen 66%, kauppa 72% ja palvelut 67%.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

36

Ei havaitse verkon luvatonta tai laitonta käyttöä Neljäsosa (23%) kaikista vastaajista ei tunnista verkkonsa luvatonta tai laitonta käyttöä. Toimialoittain luvatonta tai laitonta käyttöä ei tunnistettaisi seuraavasti: teollisuus 22%, rakentaminen 30%, kauppa 21% ja palvelut 24%. Kyky tunnistaa verkon luvaton tai laiton käyttö eroaa yritysten koon suhteen siten, että mikroyritysten keskuudessa kolmasosa (34%) ei tunnista verkkonsa käyttöä ja suurten vastaajien keskuudessa vain viisi prosenttia ei varmuudella tunnista sitä.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

37

TIETOA KYBERTURVALLISUUDESTA – OSA 2.

Tämä osio on otettu osaksi tätä selvitystä koska yritysten vastauksista käy ilmi etteivät ne ole saaneet riittävästi tietoa kyberuhkiin liittyen. Nämä lainaukset ovat lyhennelmä, niihin tehdyt korostukset ovat tähän selvitykseen tehtyjä lisäyksiä, jotka eivät muuta sisältöä. Alkuperäinen versio löytyy Viestintäviraston sivuilta osoitteesta: https://www.viestintavirasto.fi/tietoturva/tietoturvanyt.html

Haittaohjelmien toimintaperiaatteet, tarttuminen ja niiltä suojautuminen Tietokoneeseen voi tarttua erilaisia haittaohjelmia, kuten viruksia, matoja tai vaikkapa troijalaisia. Nykyään yleisin tapa saada haittaohjelmatartunta on joko internetselailu tai sähköpostin liitetiedosto. Haittaohjelmia on mahdollista torjua käyttäjän omilla toimenpiteillä. Haittaohjelmaksi kutsutaan tietokoneohjelmaa, joka tekee ei-toivottuja toimia tietokoneessa. Haittaohjelmat on mainittu myös rikoslaissa, jossa ne määritellään tietojärjestelmiä vaarantavaksi tai vahingoittavaksi tietokoneohjelmaksi tai ohjelmakäskyjen sarjaksi. Haittaohjelmat Virus Yleisesti tunnetuin haittaohjelmakategoria, johon kuuluvat mm. tiedostovirukset, makrovirukset, käynnistyslohkovirukset ja komentojonovirukset. Virus tarvitsee isännäkseen jonkinlaisen mekanismin, kuten isäntätiedoston tai siirrettävän median, jonka välityksellä se pyrkii automaattisesti leviämään. Mato Mato on automaattisesti leviävä haittaohjelma, joka ei tarvitse erillistä isäntäohjelmaa. Madon leviäminen ei edellytä toimia käyttäjiltä, vaan se perustuu esimerkiksi jonkin tietyn ohjelmistohaavoittuvuuden hyväksikäyttöön. Madot jaetaan usein alakategorioihin niiden leviämistavan perusteella. Mato voi levitä esimerkiksi tietoverkkojen, sähköpostin, pikaviestien tai vertaisverkkoliikenteen välityksellä. Nykyaikaisten käyttöjärjestelmien ja ohjelmistojen tietoturva on kehittynyt niin, että madot ovat erittäin harvinaisia. Troijalainen Troijalaiseksi kutsutaan haittaohjelmaa, joka ei leviä automaattisesti viruksen tai madon tavoin, vaan sen leviäminen edellyttää käyttäjän toimia tai muuta ulkoista tapahtumaa. Troijalaisia levitetään toisten, laillisilta vaikuttavien, ohjelmien ja tiedostojen huomaamattomana kylkiäisenä, josta sen nimi on myös peräisin. Esimerkiksi epäluotettavalta verkkosivulta tai mobiilisovelluskaupasta asennettu sovellus saattaa varsinaisen toiminteen lisäksi sisältää myös troijalaisen. Troijalaisia levitetään myös sähköpostin liitetiedostojen, sosiaalisen median ja tiedostojenjakopalveluiden välityksellä. Troijalaisen sisältävä tiedosto ei välttämättä ole suoritettava ohjelma (esimerkiksi .exe), vaan myös Office-dokumenttien ja PDF-tiedostojen avulla voidaan ohjelmistohaavoittuvuuksia apuna käyttäen tartuttaa haittaohjelmia. Tyypillisesti tällöin kohdetietokoneen ohjelmistot


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

38

eivät ole ajan tasalla tai hyökkääjällä on tiedossaan jokin nollapäivähaavoittuvuus, eli haavoittuvuus jolle ei ole olemassa korjausta. Troijalainen saattaa sisältää esimerkiksi takaoven, tietoja varastavan haittaohjelman, virtuaalivaluutan louhijan tai se saattaa asentaa jonkin toisen haittaohjelman.

Rootkit Rootkit ei tarkalleen ottaen ole oma haittaohjelmaluokka, vaan joidenkin haittaohjelmien sisältämä erittäin kehittynyt lisäosa. Sen tehtävä on pyrkiä piilottamaan sekä itsensä että rootkittiin liittyvä haittaohjelma käyttäjältä ja mahdollisilta tietoturvaohjelmistoilta. Rootkit voi esimerkiksi estää tiettyjen prosessien tai ohjelmien havaitsemisen normaalein konstein. Rootkit pyrkii myös peittämään tai tuhoamaan jäljet tartunnasta.

Tarttuminen Tyypillisimpiä tapoja saada haittaohjelmatartunta ovat: -

-

selaimella vieraillulta verkkosivulta niin sanotun exploit kitin välityksellä. Exploit kit on verkkosivustolta käsin toimiva haittaohjelmanjakelualusta, joka selvittää hetkessä sivustolla vierailevan kävijän tietokoneen haavoittuvuudet. Haavoittuvuuksia, kuten vanhentunutta Java tai Adobe Flash -liitännäistä, apuna käyttäen exploit kit murtautuu tietokoneeseen ja asentaa haittaohjelman tai haittaohjelmia selailijan huomaamatta. Haittaohjelmanjakelujalustan välityksellä tapahtuva tartuntatapa tunnetaan englanniksi nimellä "drive-by download". sähköpostin haitallisen liitetiedoston avaamisesta sosiaalisessa mediassa tai pikaviestimissä levitettävien linkkien kautta jonkin siirrettävän median, kuten USB-tikun, välityksellä

Suojautuminen Haittaohjelmatartunnan riskiä voi pienentää pitämällä ohjelmistot ja virustentorjunnan ajantasalla. Jos mahdollista, käyttöjärjestelmään, toimisto-ohjelmiin, selaimeen ja selaimen liitännäisiin kannattaa kytkeä automaattiset päivitykset päälle. Esimerkiksi exploit kittien aiheuttamaa riskiä voi pienentää huomattavasti, jos selain ja sen liitännäiset pidetään ajantasalla. Myös käyttäjän omat toimet, kuten epäluotettavilla sivuilla surffaaminen saattavat kasvat-taa haittaohjelmien tartunnan riskiä. Toisaalta myös luotettavana pidetty verkkosivu voidaan murtaa, minkä jälkeen sitä voidaan hyödyntää haittaohjelmien levityksessä. Tuntemattomilta lähettäjiltä saapuvien sähköpostien liitetiedostoja ei tule avata. On tyypillistä, että haittaohjelmia levitetään laajoilla postituskampanjoilla liitetiedoston mukana. Joskus haittaohjelman lähettäjänä saattaa olla oma tuttu: Eräät haittaohjelmat pyrkivät tartunnan jälkeen leviämään lähettämällä haitallista sisältöä eteenpäin hyödyntäen käyttäjän omaa sähköpostiosoitetta tai sosiaalisen median tiliä ja yhteystietoluetteloa. Tällöin viestin saajan näkökulmasta lähettäjänä on tuttu henkilö, mutta viestin sisältö saattaa olla epätyypillinen tai vieraskielinen. Jos siis tutulta lähettäjältä saapuvan viestin sisältö tai sen sisältämä liite herättää epäluuloa, kannattaa ennen liitetiedoston avaamista kysyä lähettäjältä, onko viesti aito. Suojautumista voi myös tehostaa pyrkimällä pienentämään haittaohjelmien hyökkäyspintaalaa. Käyttöjärjestelmästä ja sovellusohjelmistoista kannattaa mahdollisuuksien mukaan poistaa tai sammuttaa tarpeettomat toiminnallisuudet (esimerkiksi tarpeettomat ohjelmistokomponentit ja palvelut). Hyökkäyspinta-alaa voidaan pienentää myös hyödyntämällä ns.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

39

vähimpien oikeuksien periaatetta. Toisin sanoen järjestelmää suositellaan käytettävän "peruskäyttäjän" oikeuksilla, ei laajemmilla oikeuksilla varustetuilla tunnuksilla (esim. "administrator"). Hyökkäyspinta-alaa voidaan pienentää myös BIOS-tason kovennuksilla, esimerkiksi poistamalla tarpeettomat liittymät käytöstä ja suojaamalla BIOS-asetukset salasanalla. https://www.viestintavirasto.fi/tietoturva/tietoturvanyt.html


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

5

40

SELVITYKSEN TULOKSIA: VIRANOMAISTEN ROOLI JA TIEDON SAATAVUUS

Viranomaisten toiminnan merkitys yrityksille

Yritykset ovat osa yhteiskunnan kyberpuolustautumista ja niiden tulee tuntea viranomaisten roolit. Yritysten tulee tuntea taho johon ne voivat olla yhteydessä ja jolta saavat neuvoja esimerkiksi epäillessään joutuneensa hyökkäyksen kohteeksi. Euroopan komission vuoden 2016 Euroopan innovaatioiden tulostaulun, alueellisen innovaatioiden tulostaulun ja Innobarometri-tutkimuksen mukaan Suomi on EU:n kärjessä parhaana finanssialan toimintaympäristönä. EU:n innovaatiotoiminta on saavuttamassa Japanin ja Yhdysvallat ja Ruotsi on EU:n innovaatiojohtaja. Sen kannassa tulevat Tanska, Suomi, Saksa ja Alankomaat. Suomea on syystäkin kutsuttu innovaatioiden maaksi. Innovaatioilla on merkitystä kansantaloudelle. Siksi valtion tulisi antaa viranomaisille tehokkaaseen toimintaan riittävät resurssit. Järjestäytynyt rikollisuus ja vieraat valtiot seuraavat mitä eri maissa tehdään, mitä varastettavaa tietoa missäkin on ja miten kyseisessä maassa on varauduttu kyberuhkien suhteen. Lukemalla vapaasti saatavilla olevia raportteja ja tutkimuksia pääsee pitkälle parhaiden kohdemaiden luetteloinnissa. Parhaita kohdemaita ovat varmasti innovatiiviset maat joissa kyberturvallisuutta ei vielä ole saatu osaksi yritysten toimintaa. Kyberuhkien vakavuutta ja viranomaisten toimintaedellytyksiä voi arvioida sillä miten hyökkäyksiin kykenevät maat toimivat. Iso.-Britannia on jo muutama vuosi sitten käynnistänyt ohjelman yhteiskunnan ja liike-elämän turvaamiseksi kyberuhilta. Kyberturvallisuuteen on sijoitettu jo 860 miljoonaa puntaa. Marraskuun 2016 alussa Iso-Britannia päätti sijoittaa toimintaan 1,9 miljardia puntaa lisää. BBC:n mukaan hankkeen julkistanut kansleri Phil Hammond sanoi : "If we want Britain to be the best place in the world to be a tech business then it is also crucial that Britain is a safe place to do the digital business," the chancellor added. Tämän hankkeen ansiosta Iso-Britannia pitää itseään globaalina johtajana kyberturvallisuudessa. Maidemme kansantaloudet ovat erikokoiset, mutta jos panostukset suhteutetaan, on valtion toiminta Suomessa huomattavasti vähäisempää. Suomessa kybervarautumiseen tähän mennessä sijoitetut rahat ovat riittämättömiä suhteessa uhkaan. Viestintäviraston raportissa ”Kohdistettujen haittaohjelmahyökkäysten uhka on otettava vakavasti” elokuulta 2014, kerrotaan seuraavaa: ”Kohdistetut haittaohjelmahyökkäykset ovat yleistyneet viime vuosina, mikä näkyy muuan muassa tietoturvayhtiöiden lisääntyneinä haittaohjelmaraportteina. Tämän raportin tarkoituksena on kohdistettuihin haittaohjelmahyökkäyksiin liittyen: · lisätä organisaatioiden tietoisuutta


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

41

· auttaa tunnistamaan organisaatiokohtaiset riskit · antaa tukea organisaatiolle päätöksenteossa uhilta suojautuessa Kyberturvallisuuskeskuksen koostaman raportin tavoitteena on parantaa Suomen kyberturvallisuutta sekä yksittäisissä organisaatioissa että kansallisesti. Kohdistettujen haittaohjelmahyökkäysten kohteita ovat organisaatiot, joilla on hallussaan hyökkääjää kiinnostavaa tietoa liittyen poliittiseen päätöksentekoon, talouteen tai teknologiaan. Näihin kuuluvat julkishallinnon organisaatiot, yliopistot ja yritykset koosta riippumatta Keskeisiä hyökkäykselle altistavia ja hyökkäyksen torjumisen hankaloittavia syitä ovat: - kiinnostava informaatio - merkittävät yhteistyökumppanit - verkon ja järjestelmien teknisesti tarjoamat mahdollisuudet - puutteet hyökkäysten havainnointi- ja reagointikyvyssä


42

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

KYSYMYS 10. Miten hyvin tunnette suomalaisten viranomaisten roolia ja toimintaa kyberuhkiin liittyen?

4 Erittäin hyvin Kaikki vastaajat 2016, n=754 3 20 2015, n=748 5 17 Yrityksen koko Mikrot (1-4 henkilöä) 2016, n=206 2 14 2015, n=263 5 11 Pienet (5-49 henkilöä) 2016, n=357 3 16 2015, n=301 3 14 Keskikokoiset (50-199… 2016, n=100 1 28 2015, n=91 4 20 Isot (yli 200 henkilöä) 2016, n=91 8 2015, n=91 12 0

10

3 Melko hyvin

2 Melko huonosti

57 62

20 16

60

25 67

17

1,93 2,03

59 64

23 19

1,99 2,01

55 64 42 40 20

30

50

60

2,14 2,16

16 12

5 2,52 5 2,58

45 43 40

2,05 2,11

70

80

90

100 %

Tuntee erittäin hyvin tai melko hyvin Kolme prosenttia kaikista vastaajista tuntee viranomaisten toiminnan erittäin hyvin. Melko hyvin sen tuntee viidesosa (20%) kaikista vastaajista. Yhteensä neljäsosa (23%) vastaajista tuntee viranomaisten toiminnan ja roolit erittäin hyvin tai melko hyvin.

Tuntee melko huonosti tai ei lainkaan Viidesosa (20%) kaikista vastaajayrityksistä ei tuntenut lainkaan suomalaisten viranomaisten roolia ja toimintaa. Melko huonosti kaikista vastaajista niitä tunsi miltei yli puolet (57%) yrityksistä. Yritysten kannalta tilanne on erittäin huono ja siinä ei ole puolentoista vuoden aikana tapahtunut parantumista. Toimialojen erot ovat hyvin vähäisiä kokonaisvastauksiin nähden. Kaikista vastaajista yhteensä kahdeksan kymmenestä (77%) tunsi vähintään melko huonosti tai huonommin viranomaisten roolia ja toimintaa. Tilanne on tältä osin parantunut puolessatoista vuodessa vain yhden prosentin.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

43

Suurten yritysten tilanne Suurista yrityksistä vain alle kymmenesosa (8%) tunsi viranomaisten roolit ja toiminnan erittäin hyvin. Kaksi viidestä (42%) tunsi ne hyvin. Puolet (50%) suurista yrityksistä tunsi viranomaisten roolia ja toimintaa melko huonosti tai ei lainkaan.

Pienten ja mikroyritysten tilanne Mitä pienempi yrityksiin sitä suuremmaksi melko huonosti tai ei lainkaan tuntevien osuus kasvoi ollen pienten yritysten kokoluokassa (82%) ja mikroyrityksissä (85%). Suomessa on Tilastokeskuksen mukaan yli 360 000 yritystä. Pienempiä yrityksiä on Suomessa määrällisesti eniten. Nämä yritykset voisivat toimia tehokkaasti tukea viranomaisten toimintaa tunnistaessaan hyökkäyksiä ja ottaessaan tilanteissa yhteyttä viranomaisiin, On varmasti tilanteita, joissa viranomaiset voisivat hyötyä yrityskentän tekemistä havainnoista. Nopea tiedonsaanti havainnoista ja tiedon jakaminen auttavat paljon torjuttaessa hyökkäyksiä ja niiden aiheuttamia vahinkoja.


44

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

KYSYMYS 11. Oletteko saaneet jostakin käytännöllistä tietoa kyberuhkiin liittyen?

Kyllä

Ei

Kaikki vastaajat 2016, n=754

56

44

2015, n=748

39

61

Henkilöstön määrä Mikrot (1-4 henkilöä) 2016, n=206

35

65

2015, n=263

34

66

36

64

Pienet (5-49 henkilöä) 2016, n=357 2015, n=301

31

69

Keskikokoiset (50-199… 2016, n=100

54

2015, n=91

46

43

57

Isot (yli 200 henkilöä) 2016, n=91

82

2015, n=91

18

74 0

10

20

30

40

26 50

60

70

80

90

100 %

Tietoa on saatu Useampi kuin neljä kymmenestä (44%) vastaajasta on saanut käytännöllistä tietoa kyberuhkiin liittyen. Myönteistä kehitystä on tapahtunut viiden prosentin verran. Toimialoittain tietoa on saatu seuraavasti: teollisuus 47%, rakentaminen 25%, kauppa 36% ja palvelut 48%. Tiedon puute helpottaa osaltaan rikollisten ja vieraiden valtioiden rikollista toimintaa. Viranomaisten kannalta tiedon jakaminen on kustannustehokkain tapa herättää yritykset ymmärtämään kyberuhkia ja miten niihin tulee varautua. Kyberturvallisuuskeskus on tehnyt paljon materiaalia, jota yritykset voivat käyttää. Jostain syystä on paljon yrityksiä, jotka eivät löydä tätä tietoa. Suurten vastaajien keskuudessa kehitys vuoden 2015 selvityksestä on ollut kahdeksan prosenttia. Keskikokoisten vastaajien luokassa kehitys on ollut yksitoista prosenttia. Pienillä viisi ja mikroilla vain yksi.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

45

Kaikissa kokoluokissa on tapahtunut positiivista kehitystä. Vaikka viranomaisten toimintaa ei tunneta, tietoa saadaan ja pääasiallinen tiedonlähde vaikuttaa olevan Kyberturvallisuuskeskus. Tietoa on yleisimmin saatu Kyberturvallisuuskeskukselta, Kauppakamarilta ja CERT-FI:ltä. Yhdysvalloissa on jo vuosien ajan harjoitettu kyberuhkiin liittyvän tiedon vaihtoa yritysten kesken. Yritykset ovat vaihtaneet tietoa uhista luottamuksellisesti keskenään ja tiettyjen toimijoiden kesken on jopa tehty yhteistyötä niiden torjumisessa. Tämä vaatii suurta luottamusta toimijoiden välillä, mutta se on ollut tehokas ratkaisu resurssien rajallisuuden vuoksi. Harva toimija voi ylläpitää omia resursseja, jotka riittävät kaikkien tilanteiden torjumiseen ja niistä selviämiseen.

Seuraavassa on eri lähteitä, joista yritykset ovat saaneet tietoa. Mikro yritykset (1-4 henk.)  Kyberturvallisuuskeskus/Viestintävirasto  Helsingin Kauppakamari  Sisäinen koulutus  Verkkosivut  Lehdet  Ulkoinen koulutus Pienet yritykset (5-49 henk.)  Certi.fi  Kyberturvallisuuskeskus/Viestintävirasto  D-Fence Oy  IT-tukipalveluyhtiöltä  Sisäinen koulutus Keskikokoiset yritykset (50-199 henk.)  Kyberturvallisuuskeskus/Viestintävirasto  Seminaarit  Sisäinen koulutus  Media/kirjat/lehdet Isot yritykset (yli 200 henk.)  Kyberturvallisuuskeskus/Viestintävirasto  Helsingin Kauppakamari  Seminaarit  Sisäinen koulutus  Yhteistyökumppanit


46

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

KYSYMYS 12 Helpottaisiko tiedonsaantianne kyberturvallisuusasioista, jos Kyberturvallisuuskeskuksella olisi oma internetsivut?

5 Helpottaisi erittäin paljon Kaikki vastaajat, n=754

4 Helpottaisi jonkin verran

16

3 Ei helpottaisi eikä vaikeuttaisi

42

39

20 3,73

Yrityksen koko Mikrot (1-4 henkilöä), n=206

17

Pienet (5-49 henkilöä), n=357

17

Keskikokoiset (50-199 henkilöä), n=100

16

Isot (yli 200 henkilöä), n=91

14 0

10

37

42

43

39

50

30

40

10 3,74

33

46 20

30 3,67

1 3,81

38 50

60

70

80

1 3,73 90

100 %

Yritysten kannalta Kyberturvallisuuskeskus on tärkein viranomainen, jolla on nettisivuillaan käytännön neuvoja ja ohjeita. Toiminnan profiloitumista yrityskentässä auttaisi huomattavasti, jos Kyberturvallisuuskeskuksella olisi omat internetsivut. Pienen yrityksen edustaja, joka kiireiltään päättää etsiä tietoa ei jaksa montaa minuuttia hakea sitä. ”Keskityn myyntiin ja palveluiden tuottamiseen, ei ole aikaa ja varaa pienyrityksessä olla joka alan asiantuntija, eikä varaa ostaa ostopalveluina (esim. kyberuhkatorjuntaa).”

Kaikista vastaajista lähes kaksi kolmasosaa (58%), piti omia internetsivuja tiedonhakua helpottavana asiana. Neutraalisti siihen suhtautui neljä kymmenestä (39%) vastaajasta. Omia sivuja tiedonhakua hankaloittavana piti vain kolme prosenttia. Vastustus asialle on marginaalista. Vastauslinja oli sama kaikissa kokoluokissa. Yritysten viesti on selvä, tiedonsaannin helpottamiseksi Kyberturvallisuuskeskukselle olisi saatava omat internetsivut.


47

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016 KYSYMYS 13 Viranomaisten resurssien riittävyys yrityssalaisuuksien tutkinnassa?

5 Erittäin hyvin Kaikki vastaajat, n=754 0 6

4 Hyvin

16

3 Ei hyvin eikä huonosti

26

2 Huonosti

12

40

2,27

Yrityksen koko Mikrot (1-4 henkilöä), 05 n=206 Pienet (5-49 henkilöä), n=357

5

Keskikokoiset (50-199 henkilöä), n=100

5

Isot (yli 200 henkilöä), n=91

14

21

13

27 23

14 0

10

11 11 26

24 20

48

30

43 18

50

60

2,21 28

11

30 40

2,27

70

2,21

21 80

90

2,53 100 %

Kohdistettujen hyökkäyksien taustalla on usein valtiollinen vakoilu, kaupallisesti merkittävän tiedon varastaminen tai teollisten järjestelmien sabotoimisen valmistelu. Hyökkäysten määrä ja yritysten kyky havaita hyökkäykset kasvavat ajan mittaa ja sen myötä lisääntyvät poliisille tehdyt rikosilmoitukset. Viranomaisten kyvyllä tutkia näitä rikoksia on jo nyt ja tulevaisuudessa yhä suurempi merkitys yritysten kannalta. Toinen vaihtoehto voi olla kyberturvallisuuspalveluja tarjoavien yritysten siirtyminen rikosten paljastamis- ja selvitystoimintaan. Tämä vaihtoehto edellyttää niiltä lainmukaisen vartioimisliikeluvan hankkimista.

Ei osaa sanoa Kaikista vastaajista neljä kymmenestä ei osannut sanoa ovatko poliisin resurssit riittäviä. Vastaus on luonnollinen, sillä yrityssalaisuuksiin liittyvien rikosilmoitusten määrä on toistaiseksi vähäinen. Kaikilla yrityksillä ei voi olla kokemuksia tai tietoa jonka nojalla arvioida resurssien riittävyyttä. ”Joku nykyisistä tai eronneesta hlökunnan jäsenestä oli kopioinut kirjoitinpuskurikansiosta ERP:n tulosraportteja, lomapalkkalistoja jne. ja julkaissut ne Thor- verkon välityksellä Suomi 24- sivustolla. Poliisin toimivalta ei riittänyt pyytämään sivuston ylläpitäjältä kyseisen sivun kävijälogia....! Rikollinen palaa rikospaikalle....”


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

48

Erittäin huonot tai huonot resurssit Neljä kymmenestä (38%) vastaajasta piti resursseja huonoina tai erittäin huonoina. Tätä voivat selittää omat kokemukset, uutisointi yrityssalaisuuksista tai yleinen tieto siitä, että poliisin resurssit ovat varsin vähäiset eurooppalaisella tasolla. Poliisin resurssien vähäisyys on varmasti osaltaan tekijä, joka lisää Suomen sijoittumista korkealle rikollisten kohdemaana. ”Tietokoneeseen on tunkeudutte ja tietoja on viety. On tehty rikosilmoitus, jota poliisi ei tutkinut.”

Hyvät resurssit Vain kuusi prosenttia kaikista vastaajista piti resursseja hyvinä. Erittäin hyvinä resursseja ei pitänyt edes prosentti kaikista vastaajista. Viesti on varsin selkeä. Poliisin resursseja ei pidetä riittävinä. Jos resursseihin ei uskota, ei rikosilmoituksiakaan tehdä. Suurista vastaajista kahdeksasosa (14%) piti resursseja hyvinä. Tämä voi johtua siitä, että suuremmilla yrityksillä on paremmat edellytykset tunnistaa yrityssalaisuusrikoksia ja ne valikoituvat muita useammin kohteiksi. Niillä on useammin kokemusta poliisin toiminnasta asianomistajan näkökannalta. Kyberrikollisuus voi vaikuttaa yritysten kaupalliseen menestykseen ja suuressa mittaluokassa kansantalouteen. Siksi valtion tulisi pikaisesti lisätä viranomaisten resursseja. Kyse on kilpajuoksusta aikaa vastaan ja rikollisilla tahoilla on tällä hetkellä huomattava etumatka.


49

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

KYSYMYS 14 Pitäisikö yrityssalaisuusrikoksista annettavien rangaistusten olla ankarampia?

Kyllä Kaikki vastaajat, n=754

Ei 81

19

Yrityksen koko Mikrot (1-4 henkilöä), n=206

77

Pienet (5-49 henkilöä), n=357

23 85

15

Keskikokoiset (50-199 henkilöä), n=100

77

23

Isot (yli 200 henkilöä), n=91

78

22

0

10

20

30

40

50

60

70

80

90

100 %

On vaikea mieltää valtion pitävän omalta osaltaan huolta innovaatioiden suojasta, jos viranomaisten resurssit eivät riitä ja rangaistukset eivät ole linjassa asian kansantaloudellisen merkityksen kanssa. EU on antanut yrityssalaisuuksien suojaan liittyvän direktiivin, jonka yhteydessä Suomessa voitaisiin tehdä melkein kolmekymmentä vuotta vanhoihin lainkohtiin asian vakavuutta vastaavat rangaistusten muutokset. (Ehdotus julkistamattoman taitotiedon ja liiketoimintatiedon (liikesalaisuuksien) suojaamisesta laittomalta hankinnalta, käytöltä ja julkistamiselta /* COM/2013/0813 final - 2013/0402.) Kaikista vastaajista kahdeksan kymmenestä (81%) halusi ankarampia rangaistuksia. Pienten yritysten keskuudessa halu ankarammille rangaistusten on suurin (85%). Muissa kokoluokissa ankarampia rangaistuksia haluavien määrä vaihteli 7778 prosentin välillä. Valtaosa yrityksistä kaipaa valtiolta osoitusta siitä, että yrityssalaisuuksiin kohdistuva uhka tiedostetaan ja yrityssalaisuusrikoksia pidetään vakavana uhkana yrityksille. Jos miljoonien arvoisen yritysalaisuuden varastamisen käytännön seurauksena voi olla vain pieni sakko ja ehdollinen vankeus, ei se osoita valtion suhtautuvan vakavasti yrityssalaisuuksien suojaan.


50

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

KYSYMYS 15 Miten hyvin tunnette EU:n tietosuoja-asetuksen?

4 Erittäin hyvin Kaikki vastaajat, n=754

3

3 Melko hyvin

18

2 Melko huonosti

45

34

1,90

Yrityksen koko Mikrot (1-4 henkilöä), 1 n=206

14

Pienet (5-49 henkilöä), 2 n=357

13

Keskikokoiset (50-199 1 henkilöä), n=100 Isot (yli 200 henkilöä), n=91

49

36

20

30

1,80

34 40

50

1,99

25

43 10

1,71

52

22 12

0

44

41

60

70

11 80

90

2,56 100 %

Euroopan parlamentti, neuvosto ja komissio pääsivät joulukuussa 2015 sopuun tietosuojauudistuksesta. Uudistukseen kuuluu tietosuoja-asetus ja direktiivi. Molempia säädöksiä aletaan soveltaa vuonna 2018. Uudistuksella pyritään parantamaan luottamusta sähköisiin palveluihin ja kehittämään EU:n digitaalisia sisämarkkinoita. Tietosuoja-asetuksen rikkomisesta voi seurata merkittäviä taloudellisia sanktioita yrityksille. Asetus asettaa yritykselle velvoitteita hoitaa tietosuojaa tiettyjen menettelyjen mukaisesti ja vaikuttaa monin tavoin yritysten toimintaan.

Erittäin hyvin tuntevat Vain kolme prosenttia kaikista vastaajista tuntee tietosuoja-asetuksen erittäin hyvin. Toimialoittain asetus tunnetaan erittäin hyvin seuraavasti: teollisuus 2%, rakentaminen 0%, kauppa 1% ja palvelut 4%.

Melko hyvin tuntevat Joka viides (18%) kaikista vastaajista tuntee sen melko hyvin. Toimialoittain asetus tunnetaan vähintään melko hyvin seuraavasti: teollisuus 18%, rakentaminen 11%, kauppa 14% ja palvelut 21%.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

51

Melko huonosti tuntevat Melkein puolet (45%) kaikista yrityksistä tuntee asetuksen melko huonosti, Toimialoittain asetus tunnetaan melko huonosti seuraavasti: teollisuus 48%, rakentaminen 41%, kauppa 47% ja palvelut 45%.

Erittäin huonosti tuntevat Kolmasosa (34%) kaikista yrityksistä tuntee asetuksen erittäin huonosti. Toimialoittain asetus tunnetaan erittäin huonosti seuraavasti: teollisuus 32%, rakentaminen 49%, kauppa 37% ja palvelut 30%.

Havaintoja kokoluokista Paras tilanne on suurten vastaajien joukossa, niistä yli puolet (55%) tuntee asetuksen vähintään melko hyvin. Tämä tosin tarkoittaa että suurienkin joukossa on melkein puolet sellaisia, jotka eivät tunne asetusta edes melko hyvin. Muissa kokoluokissa tilanne ei ole yhtä hyvä. Mikro- ja pienistä yrityksistä vain 15 prosenttia tuntee asetuksen vähintään melko hyvin. Keskikokoisista neljäsosa (23%) tuntee sen vähintään melko hyvin. Lopuksi Kahdeksan kymmenestä (79%) vastaajasta tuntee tietosuoja-asetuksen vähintään melko huonosti. Yrityksillä on vielä aikaa perehtyä asetukseen. Sanktiot tulevat käyttöön lakien voimaantullessa toukokuussa 2018.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

52

TIETOA KYBERTURVALLISUUDESTA – OSA 3. Tämä osio on otettu osaksi tätä selvitystä koska yritysten vastauksista käy ilmi etteivät ne ole saaneet riittävästi tietoa kyberuhkiin liittyen. Nämä lainaukset ovat lyhennelmä, niihin tehdyt korostukset ovat tähän selvitykseen tehtyjä lisäyksiä, jotka eivät muuta sisältöä. Alkuperäinen versio löytyy Viestintäviraston sivuilta osoitteesta: https://www.viestintavirasto.fi/tietoturva/tietoturvanyt.html Päätelaitteen tietoturva on kilpajuoksua kyberrikollisia vastaan Käyttäjän harteilla on suuri vastuu päätelaitteen tietoturvasta. Kaikkien tietoverkkoon kytkettyjen päätelaitteiden ohjelmistot ja virustorjunta on pidettävä ajantasalla. Ylipäätään internetissä on hyvä käyttäytyä fiksusti, jotta ei turhaan joudu tavanomaisten haittaohjelmien uhriksi. Lisäksi kannattaa tutustua yleisimpiin huijausmenetelmiin, jotta osaa välttää verkon vaarat. Päätelaitteiden tietoturva voidaan jakaa karkeasti kahteen osaan: 1. Tuotteen huolellinen, tietoturvauhat huomioiva suunnittelu, toteutus ja korjaavat päivitykset sen elinkaaren aikana. Tämä osa on laitevalmistajien ja ohjelmistosuunnittelijoiden vastuulla. 2. Tuotteen käyttö ja ylläpito. Tämä osa on laitteen käyttäjän varassa. Huipputurvalliseksikaan suunniteltu järjestelmä ei ole kokonaisturvallinen, jos sitä käytetään väärin tai ei ylläpidetä jatkuvasti. Jos käyttäjä ei estä luvatonta pääsyä järjestelmiinsä eikä suojaa tietojaan riittävästi, tällaiset laiminlyönnit voivat avata tuotevalmistajan huipputurvalliseksikin lupaaman järjestelmän luvattomalle käytölle. Nykyiset käyttöjärjestelmät ja iso osa verkkoon kytkettävistä erillislaitteista (esim. reitittimet, verkko-ominaisuuksilla varustettu kodin elektroniikka) ovat teknisesti hyvin suojattuja tunkeutumista ja haitallista ohjelmakoodia vastaan. Tuotteiden sisäänrakennetut suojaukset kuitenkin toimivat suunnitellulla tavalla vain, jos käyttäjä tekee oman osansa. Käyttäjän tärkeimmät toimet ovat: • ajantasaisten, päivitettyjen ohjelmistojen käyttäminen • virustorjuntaohjelmiston käyttäminen • hyvien salasanojen valitseminen • pääsyn rajoittaminen verkkolaitteisiin internetistä Näiden lisäksi ohjelmien asentamisessa, lataamisessa ja sähköpostin liitetiedostojen käsittelyssä on syytä pitää varansa ja käyttää järkeä. Huijauksen tunnistaminen ei aina ole helppoa. Jos viesti tai verkkosivusto epäilyttää, kannattaa keskeyttää se, mitä on tekemässä ja arvioida tilanne uudelleen. Suurin osa huijauksen uhreista toimii hätäisesti kiireessä arvioimatta tarkemmin, mihin tietojansa syöttää. Verkosta löytyy runsaasti tietoa erilaisista haittaohjelmista ja huijauksista, joihin on hyvä tutustua. Jokainen henkilökohtaisen tietoturvan osa-alueista on tärkeä, sillä tietovuoto tai –murto edellyttää yleensä vain yhden suojauksen pettämistä. Toteutuneissa tietomurroissa ja huijauksissa ajantasainen tekniikka on useimmiten toiminut oikein, mutta laitetta käyttävä ihminen on houkuteltu toimimaan väärin.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

53

Tyypillisiin haittaohjelman lataamiseen pyrkiviin tai käyttäjän tietoja vieviin huijauksiin voi alkuun tutustua esimerkiksi "Näin meitä huijataan" -teemakuukauden aikana julkaistusta ohjeesta ja ajankohtaisesta Tietoturva nyt! julkaisusta: • Näin meitä huijataan -ohje [pdf, 988 KB] • Viimeaikaisia huijauskampanjoita Mobiililaitteita koskevat samat säännöt kuin tietokoneita. Asenna siis ohjelmistoja vain luotetuista lähteistä, pidä ohjelmistot ja käyttöjärjestelmä ajantasaisena ja suhtaudu varauksella saamiisi viesteihin.


54

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

6

SELVITYKSEN TULOKSIA: VARAUTUMINEN – VASTUUT, SUUNNITELMAT JA HARJOITUKSET

KYSYMYS 16. Miten organisaationne on järjestänyt tietoturvallisuusvastuut johtotasolla?

Tietoturva on vastuutettu oman toimen ohella päällikkötason henkilölle tai toimitusjohtajalle

9

5 4

13

7

11

1

Meillä on kokoaikainen IT-johtaja tai –päällikkö, joka vastaa tietoturvasta varsinaisen tehtävän …

1

Meillä ei ole nimettyä tietoturvallisuusjohtajaa tai –päällikköä, vaan tietoturva on yleisesti IT-…

8 4

Meillä on kokoaikainen nimetty tietoturvallisuusjohtaja tai –päällikkö

0 1

5

15 15

7

1 3 6 2 1 0

32 35

Kaikki vastaajat, n=754

Meillä ei ole vastuutettu tietoturvallisuusasioita En osaa sanoa

19

13

8 7

3 2 2 4

Meillä on kokoaikainen johtaja tai päällikkö, joka vastaa tietoturvasta riskienhallinen tai…

33

16 13 21 12

Tietoturva on vastuutettu it-tuelle Meillä ulkopuolinen palveluntarjoaja, joka tarjoaa tietoturvallisuusjohtajan tai –päällikön

19 17

10

26 10

21 22

10

Mikrot (1-4 henkilöä), n=206 Pienet (5-49 henkilöä), n=357 33

Keskikokoiset (50-199 henkilöä), n=100 Isot (yli 200 henkilöä), n=91

20

30

40

50

60

70

80

90

On vaikea ylläpitää ja kehittää liiketoimintaan liittyvää toimintoa, jos sille ei ole nimettyä vastuuhenkilöä. Voisiko yritys myydä paljon tai kehittää myyntitoimintaansa, jos sillä ei ole minkäänlaista myyntitoimintoa tai henkilöä johtamassa sitä? Kehitystyö vaatii myös resursseja ja aikaa. Jos vastuuseen asetettu taho ei ole kokopäiväinen ja riittävästi resurssoitu, ei nopeita tuloksia saada aikaan. ”Olemme parantaneet käyttäjätunnnusten ja salasanojen-hallintaa, sekä dokumentoineet parannuksia ja muutoksia.”

100 %


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

55

Viimeisen vuosikymmenen aikana tapahtuneen digitalisoitumisen vuoksi yritykset eivät voi enää jättää tietoturvallisuuden vastuuttamista huomiotta.

Tietoturvallisuutta ei ole vastuutettu Kaikkien vastaajien keskuudessa yleisin (21%) vastaus oli, ettei tietoturvallisuutta ole vastuutettu lainkaan. Kyseinen viidesosa ei todennäköisesti etsi turvallisuustietoa. Nämä yritykset ovat kohteina rikollisten suosikkeja koska niissä ei todennäköisesti ole tehty mitään käytännön toimia varautumiseksi. ”Kehitämme tietoturvamittaristoa, joka on visuaalinen, helppo ymmärtää sekä vähentää turhaa työtä ja työn katkoksia.”

Suurista yrityksistä vain yksi prosentti ei ollut vastuuttanut tietoturvallisuuttaan. Toimialoittain vastuutahoa ei ole nimetty seuraavasti: teollisuus 16%, rakentaminen 29%, kauppa 19% ja palvelut 22%.

Oman toimen ohella toimiva päällikkötason henkilö tai toimitusjohtaja Viidesosa (19%) kaikista vastaajayrityksistä oli antanut vastuun tietoturvallisuudesta oman toimen ohella toimivalle päällikkötason henkilölle tai toimitusjohtajalle. Oman toimen ohella toimiminen ei aina ole tehokas tapa saada tuloksia aikaan. Toimialoittain vastuu oli nimetty tällä tavoin seuraavasti: teollisuus 18%, rakentaminen 4%, kauppa 10% ja palvelut 12%. ”Tietoturvapolitiikka on luotu ja otettu käyttöön vasta tänä vuonna, eli ei ole ollut mitään turvallisuutta aiemmin”

Tietoturvallisuusvastuu IT-tuella Kolmanneksi yleisintä (16%) oli tietoturvallisuuden vastuuttaminen IT-tuelle. Tämä voi olla hyvä ratkaisu monelle pienemmälle yritykselle edellyttäen, että IT-tuelle annetaan resursseja toimia. Toimialoittain vastuu oli nimetty tällä tavoin seuraavasti: teollisuus 15%, rakentaminen 20%, kauppa 23% ja palvelut 13%.

Kokopäivätoiminen IT-johtaja tai -päällikkö Kymmenesosalla (13%) vastaajayrityksistä on kokopäivätoiminen IT-johtaja tai – päällikkö, joka vastaa tietoturvasta oman toimen ohella. IT-johtajalla tai –päälliköllä saattaa kuitenkin olla hyvin vähän aikaa tai mielenkiintoa tämän osa-alueen hoitamiseen. Joka kolmas (35%) suurista yrityksistä oli vastuuttanut asian tällä tavalla. Toimialoittain vastuu oli nimetty tällä tavoin seuraavasti: teollisuus 18%, rakentaminen 4%, kauppa 10% ja palvelut 12%.

Ulkopuolinen palveluntarjoaja Kymmenesosa (13%) kertoi heillä olevan ulkopuolisen palveluntarjoajan joka tarjoaa tietoturvallisuusjohtajan tai -päällikön. Tämä on hyvä vaihtoehto, jos yrityksellä ei ole


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

56

mahdollisuutta kokopäiväresurssiin. Yksi prosentti suurista yrityksistä on tehnyt näin. Toiminnan ulkoistamisessa on riskejä, jotka yrityksen on tunnettava. Vastuutaho saattaa päästä käsiksi lähes kaikkeen tärkeään yrityksen tietoon ja luottamuksen on oltava vahva. Toimialoittain vastuu oli nimetty tällä tavoin seuraavasti: teollisuus 15%, rakentaminen 9%, kauppa 17% ja palvelut 11%.

Kokoaikainen tietoturvallisuusjohtaja tai -päällikkö Vain viisi prosenttia kaikista vastaajista on palkannut kokoaikaisen tietoturvallisuusjohtajan tai –päällikön. Suurista yrityksillä joka neljännellä (26%) on oma kokoaikainen johtaja tai päällikkö vastuussa tietoturvallisuudesta. Kustannussyistä se ei ole kaikille yrityksille toteutettavissa oleva vaihtoehto. Suuristakin yrityksistä kolme neljäsosaa on vailla täysipäiväistä tietoturvallisuusjohtajaa tai -päällikköä. Suurilla yrityksillä on resursseja palkata täysipäiväinen resurssi, joten näiden yritysten johto ei ole tunnistanut uhkaa ja sitä miten tärkeä rooli tietoturvallisusujohtajalla tai -päälliköllä on. Toimialoittain vastuu oli nimetty tällä tavoin seuraavasti: teollisuus 8%, rakentaminen 1%, kauppa 3% ja palvelut 5%. ”Sovellamme Penetration Testing Execution Standardia-soveltuvin osin, yrityksemme kyberturvallisuuden parantamiseksi.”

Kokoaikainen yritysturvallisuusjohtaja tai -päällikkö Kolme prosenttia kaikista vastaajista on palkannut kokoaikaisen turvallisuusjohtajan tai –päällikön, jonka vastuulle tietoturva kuuluu osana yritysturvallisuutta. Suurista yrityksistä kymmenesosalla (10%) on oma kokoaikainen turvallisuusjohtaja tai päällikkö joka on vastuussa myös tietoturvallisuudesta. Toimialoittain vastuu oli nimetty tällä tavoin seuraavasti: teollisuus 3%, rakentaminen 1%, kauppa 3% ja palvelut 4%.


57

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

KYSYMYS 17. Kenelle tietoturvavastuullinen henkilö raportoi organisaatiossa 71 Toimitusjohtaja, CEO 10

Hallituksen puheenjohtaja

2

8

2

IT-Johtaja

Muu

6 6 8

21

Kaikki vastaajat, n=596 10

Mikrot (1-4 henkilöä), n=137 Pienet (5-49 henkilöä), n=279

11

3 0

18

6

1 1

Tietohallintojohtaja, CIO

17

10

1

Talousjohtaja, CFO

11

6

68

42

78 78

23

8 8 8

Keskikokoiset (50-199 henkilöä), n=90 Isot (yli 200 henkilöä), n=90

13 10

20

30

40

50

60

70

80

90

Toimitusjohtajalle raportoiminen Raportointi toimitusjohtajalle on yleisintä (71%) kaikkien vastaajien keskuudessa. Suurten vastaajien joukossa neljä kymmenestä (42%) raportoi toimitusjohtajalle. Suuremmissa yrityksissä raportointi voidaan ohjata talousjohtajalle tai tietohallintojohtajalle. Toimialoittain toimitusjohtajalle raportoidaan seuraavasti: teollisuus 58%, rakentaminen 78%, kauppa 74% ja palvelut 76%.

Talousjohtajalle raportoiminen Talousjohtajalle raportoidaan kymmenesosassa (10%) kaikista yrityksistä. Suurten vastaajien joukossa viidesosa (18%) ja keskisuurten joukossa samoin viidesosa (21%) raportoi talousjohtajalle. Toimialoittain raportoitiin talousjohtajalle seuraavasti: teollisuus 19%, rakentaminen 6%, kauppa 9% ja palvelut 6%.

Tietohallintojohtajalle tai IT-johtajalle raportoiminen

100 %


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

58

Kaikista vastaajayrityksist채 joka kymmenenness채 (12%) raportoitiin tietohallintojohtajalle tai IT-johtajalle. Suurten vastaajien joukossa yhteens채 joka kolmas (33%) ja keskisuurten joukossa yhteens채 joka viides (19%) raportoi tietohallintojohtajalle tai IT-johtajalle. Toimialoittain raportoitiin tietohallintojohtajalle tai IT-johtajalle seuraavasti: teollisuus 18%, rakentaminen 2%, kauppa 10% ja palvelut 11%.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

59

KYSYMYS 18. Onko teillä käytössä käytännössä toimivia suunnitelmia tunkeutumisten varalle?

Suunnitelmat kertovat yrityksen tekevän järjestelmällistä työtä kyberturvallisuuden kehittämiseksi. Suunnitelmien kautta yritys pystyy varautumaan ja samalla arvioimaan minkälaista osaamista ja teknologiaa se tarvitsee hyökkäyksiin varautumiseen. Sen jälkeen yritys voi budjetoida tarvittavat hankinnat osaksi vuotuista budjetointia. Suunnitelmat voivat olla lyhyitäkin, kunhan ne ovat toimivia ja käytännöllisiä.

Toimiva suunnitelma Kolmasosa vastaajista (30%) kertoi heillä olevan käytännössä toimivia suunnitelmia tunkeutumisten varalle. Toimialoittain toimiva suunnitelma löytyy seuraavasti: teollisuus 33%, rakentaminen 16%, kauppa 27% ja palvelut 33%. Suurista yrityksistä yli puolella (55%) oli suunnitelma. Neljäsosalla (24%) suurista yrityksistä ei ollut suunnitelmia. Viidesosa suurten vastaajien joukosta (21%) ei tiennyt onko heillä toimivia suunnitelmia


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

60

Ei toimivaa suunnitelmaa Yli puolet kaikista vastaajista (55%) kertoi ettei heillä ollut toimivia suunnitelmia tunkeutumisten varalle. Toimialoittain toimivaa suunnitelmaa ei ollut seuraavasti: teollisuus 50%, rakentaminen 74%, kauppa 57% ja palvelut 52%. Seitsemäsosa kaikista vastaajista (15%) ei osannut sanoa oliko heillä toimivaa suunnitelmaa.


61

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

KYSYMYS 19. Mitä asioita suunnitelmiin on sisällytetty?

Tieto siitä keneen olla yhteydessä, jos epäilee tunkeutumista Ohjeet siitä mitä tehdä ensimmäisenä, jos epäilee tunkeutumista

64

54 30

Tilanteen kuvaus Päätelaite (pc, älypuhelin, läppäri jne) Irti verkosta (otetaan yhteyskaapeli irti tai… Koneen jättäminen koskemattomaksi jotta sitä voidaan tutkia Print screen (tästä saadaan talteen näytön näkymä myöhempää selvittelyä varten)

30

34

38

Muu

En osaa sanoa 2 0

94

80

50

37 38 35 44

Kaikki vastaajat, n=228

40

22 26 20 19 22

Mikrot (1-4 henkilöä), n=53 Pienet (5-49 henkilöä), n=88 Keskikokoiset (50-199 henkilöä), n=37

6 5 10

81

63 60 58

37

30 23 28 32

3 4 3 2 3

78 75

Isot (yli 200 henkilöä), n=50 20

30

40

50

60

70

80

90

Tähän kysymykseen vastasivat ne vastaajayritykset, joilla kertomansa mukaan on toimiva suunnitelma. Kysymyksen yhtenä tarkoituksena on antaa tätä selvitystä lukeville tahoille ajatuksia siitä, millaisia asioita suunnitelmiin ja ohjeisiin voi sisällyttää. Olennaista on, että ne ovat yksinkertaisia ja selkeitä. Lisäksi ne on saatava kaikkien työntekijöiden tietoon. ”Olemme tarkistaneet verkkosivustomme tietoturvan osalta, korjaten havaittuja puutteita.”

Tieto siitä keneen olla yhteydessä

100 %


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

62

Kahdeksan kymmenestä vastaajasta (78%) kertoi että suunnitelmissa on tieto siitä keneen olla yhteydessä. Kaikista suurista vastaajista melkein kaikki (94%) ovat kirjanneet tämän ohjeisiinsa. Toimialoittain tämä ohje löytyy seuraavasti: teollisuus 84%, rakentaminen 50%, kauppa 75% ja palvelut 78%. “Välittömästi yhteys ICT-tukeen”

Mitä tehdä ensimmäiseksi Toiseksi yleisin (63%) on ohje siitä mitä tehdä ensimmäisenä. Tämän vastauksen kohdalla on tapahtunut kasvua (13%) edelliseen selvitykseen nähden. Kahdeksan kymmenestä suuresta vastaajasta (80%) on kirjannut tämän ohjeisin. Toimialoittain tämä ohje löytyy seuraavasti: teollisuus 58%, rakentaminen 58%, kauppa 66% ja palvelut 65%.

Päätelaitteen irrottaminen verkosta Kolmanneksi yleisin (37%) on ohje irrottaa päätelaite verkosta. Suurista vastaajista useampi kuin neljä kymmenestä (44%) ohjeistaa näin. Toimialoittain tämä ohje löytyy seuraavasti: teollisuus 31%, rakentaminen 25%, kauppa 38% ja palvelut 42%. ”Tietokone kaappaus lunnasvaatimuksen kera. Ehdittiin estämään kaappauksen leviäminen verkkoon johto seinästä irroittamalla.”

Tilanteen kuvaus Ohje kuvata tilanne (37%) on yhtä yleistä. Suurista yli puolet (59%) antaa tämän ohjeen. Toimialoittain tämä ohje löytyy seuraavasti: teollisuus 37%, rakentaminen 42%, kauppa 41% ja palvelut 35%.

Kone koskemattomaksi tutkintaa varten Viidentenä (30%) tulee ohje jättää kone koskemattomaksi tutkimista varten. Tämäkin kohta on tärkeä tilanteen haltuunoton kannalta. Suurista puolet (49%) ohjeisti näin.

Print screen Kuudentena (22%) oli ohje toteuttaa print screen –komento, jotta näytön kuva saadaan tallennettua. ”Print screenejä tai muita toimenpiteitä ei suositella, koska usein käyttäjä tekee vahingossa enemmän vahinkoa. Ohjeistukset ovat meillä varmasti riittävän laajat, mutta niitä harjoitellaan usein, koska täydellisiä niistä ei saa tehtyä koskaan.”

Muut ohjeet


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

63

Muita yleisimpiä ohjeita olivat: • • • • • • •

Blokataan irti tietoverkosta, analysoidaan palomuurin blokit. Jos tarvetta niin laitetaan työasema erilliseen verkkoon, jossa sitä voidaan tutkia. Henkilökunnan perehdyttäminen hälytyksen tekoon Luottamuksellisen tiedon käsittelyn keskeyttäminen ko. laitteella Olemme palveluntarjoaja, meillä on hieman laajempi suunnitelma näihin asioihin emmekä varsinaisesti keskity yksittäisiin koneisiin (paitsi tarvittaessa) Suunnitellut jatkotoimet jne. Tarvittavat asiat monipuolisesti. Tunkeutumisen kohteeksi päätyneen palvelimen eristäminen (ja pilvipalvelimen osalta sen tuhoaminen), sertifikaattien ja salasanojen uusinnat, muiden järjestelmien lisätty valvonta


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

64

KYSYMYS 20. Oletteko koskaan harjoitelleet suunnitelmienne toimivuutta jollakin seuraavista tavoista?

”Käyttäjät ovat toimineet annettujen ohjeiden mukaisesti.” Tähän kysymykseen vastasivat ne vastaajat, joilla on toimiva suunnitelma. Vaikka näillä vastaajilla oli oman kertomansa mukaan toimiva suunnitelma, vain joka kymmenes vastaajista oli kokeillut harjoituksen toimivuutta harjoittelemalla. Kaikista yrityksistä siis vain kolmisen prosenttia on harjoitellut toimintaa. On hyödytöntä laatia suunnitelmaa, jota ei testata millään tapaa. Vain harjoittelemalla selviää, onko suunnitelma käytännöllinen ja osaavatko työntekijät toimia sen mukaan. Samalla myös selviää tarvitaanko suunnitelman toteuttamiseen lisää osaamista tai hankintoja. ”Serverin jättö pois käytöstä ja siirtyminen ammattilaisen tahon ylläpitämään pilvipalveluun.”

Ei harjoiteltu


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

65

Suurin osa (92%) vastaajista ei ole harjoitellut. Vain joka kymmenes tähän kysymykseen vastanneista (8%) yrityksistä on harjoitellut suunnitelmien toimivuutta. ”Olemme tehneet sivuillemme tietomurtoyrityksiä sekä dokumentoineet työtä ja sen tuloksia.”

Neuvotteluhuoneharjoitus Neljä prosenttia vastanneista yrityksistä on toteuttanut neuvotteluhuoneharjoituksen. Harjoituksessa laaditaan käsikirjoitus tapahtumille ja osallistujat miettivät harjoituksen johtajan ohjauksessa miten toimivat kussakin tilanteessa.

Harjoittelu ulkopuolista hyökkääjää vastaan Neljä prosenttia on harjoitellut ulkopuolista hyökkääjää vastaan. Tämän harjoittelun etuna yrityksen turvallisuustoimijat pääsevät käytännössä kokeilemaan taitojaan ja kehittämään niitä. Yritys saa selville ulkopuolisen tahon arvioimana miten suunnitelmia on mahdollisesti parannettava ja millaista lisäkoulutusta tai resursseja turvallisuusasiantuntijat mahdollisesti tarvitsevat. ”Ulkopuolisen testaajatahon yrittämä tietomurto ei onnistunut.”

Muut harjoittelutavat Muita yleisimpiä harjoittelutapoja olivat: - Alan yhteisharjoitus - Ei varsinaisesti erikseen harjoiteltu, palveluntarjoajana ainakin meillä on jonkinlainen hyökkäys päällä 24/7 - Harjoitukset tehdään korporaation tietoturvaosaston toimesta - Jatkuvasti harjoitellaan - Kaikille kerrottu miten laitteet ajetaan alas, kunnes OIKEA apu saapuu paikale. - Käyttäjät ovat toimineet ohjeiden mukaisesti - Käytännössä keskustelua ja yhteyshenkilöiden listan päivittämistä, päivityksessä - Simuloitu tunkeutumisen selvittäminen - Tekninen simulaatio - Testauksia toteutettu torjuntatoimien yhteydessä. - Todellisten tilanteiden kautta todettu toimivuus sekä huoltovarmuuslain mukainen varautumissuunnitelma - Verkkoomme on pari kertaa yritetty tunkeutua hyökkäyksillä


66

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

KYSYMYS 21. Onko teillä vahvistettua koulutus- ja harjoitusohjelmaa kyberturvallisuuteen liittyen?

Kyllä

Ei

En osaa sanoa

Kaikki vastaajat 2016, n=754

7

86

7

2015, n=748

6

87

7

2016, n=206

5

89

6

2015, n=263

4

93

3

2016, n=357

4

91

5

2015, n=301

3

Yrityksen koko Mikrot (1-4 henkilöä)

Pienet (5-49 henkilöä) 90

7

Keskikokoiset (50-199… 2016, n=100

8

2015, n=91

80

11

12

79

10

Isot (yli 200 henkilöä) 2016, n=91

24

2015, n=91

65

14 0

10

11

70 20

30

40

50

15 60

70

80

90

100 %

Kovin yleisiä koulutusohjelmat eivät ole. Vahvistettu ohjelma osoittaa yritysjohdon sitoutuneen koulutukseen hyväksymällä sen osaksi muuta koulutusta. Samalla yritysjohto sitoutuu osoittamaan resursseja koulutukseen. Vahvistettu koulutus- ja harjoitteluohjelma Noin kymmenesosalla (7%) kaikista vastaajayrityksistä on vahvistettu kyberturvallisuuden koulutus- ja harjoitusohjelma. Suurista yrityksistä neljäsosalla (24%) on vahvistettu ohjelma. Edelliseen selvitykseen nähden tässä vastauksessa on kymmenen prosentin kasvu. Suuret yritykset ovat heräämässä uhkaan ja ovat aloittaneet varautumisen. Kahdella kolmasosalla suurista vastaajayrityksistä ei kuitenkaan ole vahvistettua ohjelmaa. Ei ohjelmaa Yhdeksällä kymmenestä (86%) vastaajasta ei ole ohjelmaa. Seitsemän prosenttia ei tiennyt onko heillä sitä.


67

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

KYSYMYS 22. Ovatko kyberuhkiin liittyvät harjoitukset osa muihin liiketoimintaa uhkaaviin uhkiin liittyvää harjoittelua?

Kyllä

Ei

En osaa sanoa

Kaikki vastaajat 2016, n=754

12

2015, n=748

11

76

12

72

17

Yrityksen koko Mikrot (1-4 henkilöä) 2016, n=206

10

2015, n=263

9

80

10

73

18

Pienet (5-49 henkilöä) 2016, n=357

9

2015, n=301

8

77

14

77

15

Keskikokoiset (50-199… 2016, n=100

12

2015, n=91

78

16

10

70

13

Isot (yli 200 henkilöä) 2016, n=91

32

2015, n=91

59

24 0

10

9

54 20

30

40

50

22 60

70

80

90

100 %

Osana muihin uhkiin varautumisen harjoittelua Kymmenesosalla (12%) vastaajista kyberharjoitukset ovat osana muihin uhkiin varautumisen harjoittelua. Suurista yrityksistä joka kolmas (32%) on kytkenyt ne osaksi muuta harjoittelua. Kehitystä suurten vastaajien keskuudessa on tapahtunut kahdeksan prosenttia. Toimialoittain harjoittelu on liitetty osaksi muuta harjoittelua seuraavasti: teollisuus 13%, rakentaminen 5%, kauppa 8% ja palvelut 15%.

Ei osana muihin uhkiin harjoittelua Kahdella kolmasosalla (59%) suurista vastaajista kyberharjoitukset eivät ole osana muuta harjoittelua.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

68

Kolmella neljäsosalla (76%) kaikista vastaajista kyberharjoitukset eivät ole osana muita harjoituksia. Toimialoittain harjoittelu on liitetty osaksi muuta harjoittelua seuraavasti: teollisuus 74%, rakentaminen 74%, kauppa 82% ja palvelut 75%. Kymmenesosa vastaajista (12%) ei osannut sanoa oliko heidän harjoituksensa osana muiden uhkien varalta varautumisen harjoittelua.


69

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

KYSYMYS 23. Oletteko varautuneet kyberuhkiin seuraavin tavoin konkreettisesti tai suunnitelmilla?

Palvelusopimus yrityksen kanssa joka tarjoaa järjestelmiin tunkeutumisen ja haittaohjelmien…

28

18

27

Järjestelmä- ja verkkolokien (palomuuri, http, ad, dhcp, vpn) kerääminen kaikista järjestelmistä… Yhteydenotto viranomaiseen

24

37

47

15 20

13 9 10

Järjestelmällinen suunnitelma tilannekuvan muodostamiseksi (datan kopiointi) tutkintaa ja…

38

26

14

11 10

31

20

36 Kaikki vastaajat, n=754 26

Mikrot (1-4 henkilöä), n=206

8

Tutkinnassa tarvittavan laitteiston, ohjelmiston ja tutkintakyvyn ennakkoon hankinta

5 5 6

Pienet (5-49 henkilöä), n=357 24 44

Emme ole varautuneet 20 0

10

20

46

27 30

40

50

Keskikokoiset (50-199 henkilöä), n=100 61 Isot (yli 200 henkilöä), n=91 60

70

80

90

Hyökkäystilanteessa virheet yrityksen toiminnassa voivat huonoimmassa tapauksessa tuhota todisteita ja jälkiä, joiden avulla olisi mahdollista selvittää mitä on tapahtunut ja kuka tekoon on syyllistynyt.

Ei varauduttu millään vaihtoehdolla Lähes puolet (44%) vastaajista ei ole varautunut millään kysymyksessä esitetyllä vaihtoehdolla. Suurista yrityksistä joka viides (20%) ei ole varautunut näin. Toimialoittain varautumattomuus jakautuu seuraavasti: teollisuus 39%, rakentaminen 57%, kauppa 42% ja palvelut 45%.

100 %


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

70

Sopimus palveluntarjoajan kanssa Melkein kolmasosalla (28%) kaikista vastaajista on palvelusopimus tunkeutumisiin ja haittaohjelmiin liittyvää tutkintaa tarjoavan tahon kanssa. Neljä kymmenestä (38%) suuresta vastaajasta on tehnyt sopimuksen. Toimialoittain näin on varauduttu seuraavasti: teollisuus 32%, rakentaminen 24%, kauppa 25% ja palvelut 27%.

Järjestelmä- ja verkkolokien tiedon kerääminen Neljäsosa kaikista vastaajista (26%) kerää eri järjestelmä- ja verkkolokien tietoa selvittelytyötä varten. Puolet (47%) suurista vastaajayrityksistä tekee näin. Aiemmin kaksi kolmasosaa (60%) suurista vastasi keräävänsä lokien tietoja. Toimialoittain näin on varauduttu seuraavasti: teollisuus 28%, rakentaminen 14%, kauppa 26% ja palvelut 26%. ”Suunnattu murtautumisyritys, joka jäi yritykseksi. Logitiedoista hyötyä selvittävälle viranomaiselle”

Kyberturvallisuuskeskus on tehnyt ohjeen liittyen lokitietojen keräämiseen ja käyttämiseen. Ohje löytyy osoitteesta: https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvaohjeet.html

Yhteydenotto viranomaisiin Joka kuudes (15%) on varautunut olemalla yhteydessä viranomaisiin. Tässä kohdassa on tapahtunut kuuden prosentin kasvu. Joka kolmas (36%) suurista yrityksistä on tehnyt näin. Toimialoittain näin on varauduttu seuraavasti: teollisuus 15%, rakentaminen 13%, kauppa 14% ja palvelut 16%. “Varmuuskopiointi päivittäin”

Tilannekuvan luominen Seitsemäsosalla vastaajista (13%) on suunnitelma tilannekuvan luomiseksi tutkintaa, puhdistustoimenpiteitä ja loppuraportointia varten. Joka neljäs (26%) suurista yrityksistä on tehnyt tällaisen suunnitelman. Toimialoittain näin on varauduttu seuraavasti: teollisuus 15%, rakentaminen 7%, kauppa 10% ja palvelut 14%.

Tutkinnassa tarvittava laitteisto, ohjelmisto tai tutkintakyky Joka kymmenes kaikista vastaajayrityksistä (8%) on hankkinut tutkinnassa tarvittavaa laitteistoa, ohjelmistoa ja tutkintakykyä. Suurista vastaajayrityksistä neljäsosa (24%) on hankkinut näitä. Suurten vastaajien ryhmässä kehitystä on tapahtunut yhdeksän prosentin verran. Toimialoittain näin on varauduttu seuraavasti: teollisuus 10%, rakentaminen 3%, kauppa 5% ja palvelut 8%. ”Kiristyshaittaohjelmat ovat vähentyneet hankkimalla IPS laitteisto.”


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

71

TIETOA KYBERTURVALLISUUDESTA – OSA 4

Tämä osio on otettu osaksi tätä selvitystä koska yritysten vastauksista käy ilmi etteivät ne ole saaneet riittävästi tietoa kyberuhkiin liittyen. Nämä lainaukset ovat lyhennelmä, niihin tehdyt korostukset ovat tähän selvitykseen tehtyjä lisäyksiä, jotka eivät muuta sisältöä. Alkuperäinen versio löytyy Viestintäviraston sivuilta osoitteesta: https://www.viestintavirasto.fi/tietoturva/tietoturvanyt.html 10 opittua asiaa! 1. Havainnointi vaatii aktiivisista toimintaa ja osaavaa henkilöstöä. Osaava henkilöstö tuntee verkkonsa perustoiminnot ja tyypillisen liikennevirran, jolloin voidaan nopeasti havaita poikkeavuudet normaalitilanteesta. Pelkkä lokien ylläpito ja tietoturvakontrollien tuottamien varoitusten seuranta ei riitä, vaan ne vaativat tulkintaa. Suomalaisten tietoturvayhtiöiden kokemusten mukaan organisaatioissa, joissa on havaittu kohdistettuja haittaohjelmahyökkäyksiä,havainnointi on ollut puutteellista. 2. Tiedon jakaminen parantaa kaikkien havainnointikykyä. Hyökkääjät kehittävät jatkuvasti uusia hyökkäysmenetelmiä. Organisaation havaitessa kohdistetuksi hyökkäykseksi epäiltyjä tai todennettua tunnusmerkkejä, havainnoista on suositeltavaa kertoa keskitetylle toimijalle kuten Kyberturvallisuuskeskukselle. Näin esimerkiksi tunnusmerkkejä voidaan jakaa anonymisoidusti kansallisten tietoturvaviranomaisten sekä tietoturvayhtiöiden välityksellä. Kun yhteistyöverkosto jakaa tietoa toisilleen, myös sen jäsenten hyökkäysten havainnointikyky paranee. 3. Toimi harkiten ja aloita selvitys vastakohdistettuihin hyökkäyksiin perehtyneiden asiantuntijoiden avulla. Kohdistettujen haittaohjelmahyökkäysten selvityksessä harkitsemattomat ja näkyvät estotoimet kertovat tunkeutujalle, että hyökkäys on paljastunut. Tunkeutuja voikin näennäisesti poistua verkosta, siivota jälkensä ja tuhota tietoturvaloukkauksesta kertovia todisteita, jolloin tapauksen selvittäminen hankaloituu. On kuitenkin mahdollista, että hyökkääjä jättää jälkeensä takaovia, joiden kautta se voi taas päästä takaisin kohteensa verkkoon. Jos siis epäilys kohdistetusta haittaohjelmahyökkäyksestä herää, tapauksen selvittäminen tulee aloittaa maltilla ja avuksi on haettava osaavia ammattilaisia. 4. Lokien tallennus ja pitkäaikainen säilytys on tärkeää. Kohdistetut haittaohjelmahyökkäykset havaitaan tyypillisesti vasta ulkopuolisen hyökkääjän pitkäaikaisen läsnäolon jälkeen. Tapahtumaa on jälkikäteen mahdollista selvittää lokien perusteella. Tietoturvaloukkausten paljastuttua usein todetaan puutteita juuri verkkoliikenteen ja järjestelmäkirjautumisten seurannan systemaattisessa tallentamisessa ja säilytyksessä. Jos lokien hallintaa ei ole toteutettu kattavasti, tällöin on mahdotonta todentaa ulkopuolisen toimintaa verkossa . Lokien keräyksessä on siis varmistettava oleellisten tietojen tallennus ja kaikkien aikaleimojen täsmällisyys. 5. Kuka tahansa voi olla kohde. Vain harva organisaatio kokee olevansa altis kohdistetun haittaohjelmahyökkäyksen uhalle. Välinpitämättömyys aiheuttaa riskin myös organisaation sidosryhmille, sillä heikosti suojattu, seurattu ja ylläpidetty verkko on helppo kauttakulkureitti tai tiedonhankintapaikka, jossa tietoa voidaan kerätä myös kohteen sidosryhmistä. Samat käytännöt, jotka suojaavat verkkoa tavanomaisilta tietoturvauhilta, suojaavat verkkoa myös kohdistettuilta hyökkäyksiltä. Tietoturva voi olla organisaatiolle kilpailuetu, mutta heikosti toteutettuna se on riski organisaation hyvälle maineelle.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

72

6. Suojaa kriittiset tiedot. Kaikkea tietoa ei tarvitse suojata ja julkinen tieto tuleekin olla helposti saatavilla. Kriittisen tiedon käsitteleminen taas vaatii erillisiä järjestelmiä, samalla se hankaloittaa tiedon käsittelyä. Osaaminen ei siis ole kaiken tiedon suojaamista, vaan suojaamistarpeen tunnistamista ja sen edellyttämiä suojauskäytäntöjä. On tarpeen miettiä, mitkä ovat riskit, jos omat tiedot päätyvät ulkopuoliselle. 7. Vastuu tietojen turvaamisesta ei siirry palveluja ulkoistettaessa. ICT-palvelut ovat useissa organisaatioissa ulkoistettu erityisalan osaamisen parantamiseksi. Tällöin haasteena on ylläpitää tietoa siitä, kuka vastaa mistäkin osasta teknisiä toimintoja ja kenellä on pääsy organisaation verkkoon ulkoistussopimusten perusteella. Ulkoistettaessa on varmistettava, että ulkoistamisen jälkeenkin organisaatiolla itsellään on yhä pääsy kaikkeen omistamaansa tietoon mukaan lukien palvelinten lokitiedot. Organisaation on myös tiedettävä, mihin kaikkialle sen verkossa pääsee ulkoistettujen toimintojen kautta. Organisaation omaa kokonaisvastuuta tietojensa käsittelyntietoturvasta ei voi ylläpitosopimuksin siirtää. Lisäksi on sovittava reagoinnista ja vastuista tietoturvaloukkaustapausten selvityksessä. 8. Automaatio tukee tietoturvaloukkausten havaitsemista Havainnointijärjestelmät ovat hyviä tukityökaluja tietoturvaloukkausten havainnoimiseksi. Tietoliikennemäärät ovat suuret ja lokiaineistoa runsaasti, joten automatisoiduilla mekanismeilla voidaan estää merkittävä osa tavanomaisista tietoturvaloukkausyrityksistä. Lisäksi automaattiset havainnointi järjestelmät nopeuttavat selvitystyötä, kun epäillään tai selvitetään kohdistetun hyökkäyksen laajuutta. Kohdistettujen haittaohjelmahyökkäysten havainnointiin ne eivät kuitenkaan yksin riitä. 9. Erillisjärjestelmätkin voivat olla saavutettavissa Kriittiset tiedot säilytetään tyypillisesti erillisjärjestelmissä, jotka eivät ole suoraan yhteydessä julkisiin verkkoihin. Käytännön syistä tulee vastaan tilanteita, joissa erillisjärjestelmän ja internetiin kytketyn järjestelmän välillä on tarve siirtää tietoa. Tämä saatetaan toteuttaa esimerkiksi siirtomedialla tai liittämällä koneet hetkellisesti samaan järjestelmään. On muistettava, että jos erillisjärjestelmää suojaavat ilmavälit kyetään ylittämään itse, siinä voi onnistua tarvittaessa myös ulkopuolinen taho. 10. Ei ole olemassa täysin luotettavaa järjestelmää. On organisaatioita, joissa järjestelmäsuunnittelussa tietoturva on otettu huomioon alusta alkaen ja kokonaisuus on rakennettu huolella. Tämä tarjoaa hyvät lähtökohdat tietoturvaloukkausten ennaltaehkäisylle, mutta organisaatio ei kuitenkaan saa tuudittautua epärealistiseen turvallisuuden tunteeseen. Hyvin suunniteltua ja toteutettua järjestelmää tulee myös jatkuvasti seurata.


73

YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

7

JOHTOPÄÄTÖKSET Yritysten varautumisen kehitys on aivan liian hidasta rikollisten hyökkäysten lisääntymiseen ja kehittymiseen nähden Vastuu varautumisesta on yrityksillä itsellään. Tietoa on saatavilla, jos sitä etsii. Kotimaisia kyberpalveluita löytyy, jos yrityksen johto päättää sitoutua varautumiseen ja myöntää rahoitusta siihen. Edellisestä selvityksestä on puolitoista vuotta, mutta ainoastaan suurten yritysten keskuudessa on tapahtunut vain muutamien kysymysten osalta positiivista kehitystä. Yleisesti ottaen varautuminen ei ole yleistynyt puolentoista vuoden aikana. Kaikissa kokoluokissa on suuria määriä yrityksiä, joiden reagointi ja selviytyminen hyökkäystilanteessa on jätetty sattuman varaan. Kun tätä peilataan vaikkapa lunnasohjelmien nopeaan yleistymiseen, menettää moni yritys lunnashyökkäyksen sattuessa jopa useamman päivän liiketoiminnan tuloksen, mikäli ei ole varautunut varmuuskopioilla ja harjoitellut tiedon palauttamista niiltä. Teolliset tuotantoprosessit keskeisessä kohdistuvien hyökkäysten osalta

asemassa

myös

valtioon

Teolliset tuotantoprosessit ovat yhä enenevissä määrin hyökkäysten kohteina myös Suomessa. Maailmalla hyökkäysten määrä on kasvanut jo useamman vuoden ajan. Selvitykseen vastanneista teollisuusyrityksistä vain kymmenesosa tunnistaa niiden teollisiin tuotantoprosesseihin kohdistuvan uhan. Hyökkäyksiä voidaan tehdä kiristystarkoituksessa tai teollisten prosessien sabotoimiseksi. Valtioiden välisen painostuksen tai kineettisen hyökkäyksen tukemisen valmistelussa teollisuus on merkittävä hyökkäyskohde jo rauhan aikana. Järjestelmiin asennetaan ”uinuvia” hyökkäystyökaluja jotka aktivoidaan tarvittaessa. Ne saattavat esimerkiksi saada mekaanisia koneita rikkoutumaan ohjaamalla niitä toimimaan väärin tai ohjausjärjestelmiä sulkemaan tuotantoprosessien osia siten etteivät prosessien ohjausjärjestelmät tunnista tilannetta. Yritykset tarvitsevat lisää tietoisuutta tuotantoprosessiensa merkityksestään rikollisuuden kohteena ja yhteiskuntaan kohdistuvien hyökkäysten kohteina. Vain kolme prosenttia kaikista on kokeillut harjoittelemalla toimivatko tehdyt suunnitelmat Suunnitelmien puute ja olemassa olevien testaamattomuus avaa valtavan etumatkan digitaalisille rikollisille. Suuri määrä yrityksiä jättää sujuvan selviytymisen hyökkäystilanteesta sattuman varaan. Hyökkäykset yleistyvät kovaa vauhtia ja yksikään yritys ei voi olettaa olevansa taho joka ei kiinnosta hyökkääjiä. Jotkin hyökkäykset ovat massahyökkäyksiä, jotka kohdistuvat ”sokeasti” suureen yritysjoukkoon. Kaikista yrityksistä suunnitelmia on tehnyt vain kolmasosa. Tietosuoja-asetus – tuo suuri tuntematon Pieni vähemmistö yrityksistä tuntee tietosuoja-asetuksen. Yrityksillä on aikaa vuoden 2018 toukokuuhun, mutta nyt on jo korkea aika aloittaa selvitys siitä, miten


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

74

se vaikuttaa yritysten toimintaan ja mitä yritysten tuolee otta huomioon. Vastuu asetuksesta selvän ottamiseen on yrityksillä itsellään. Tietoturvallisuuden vastuuttamisessa vakavia puutteita Joka viides yritys ei käytännössä ole huomioinut tietoturvaa toiminnassaan. Ne eivät ole nimenneet ketään tai mitään tahoa, joka vastaisi tietoturvallisuudesta. Usea yritys on lisäksi vastuuttanut tietoturvallisuuden omantoimen ohella toimivalle henkilölle tai jollekin yksikölle vailla nimettyä vastuuhenkilöä. Yrityksistä kaksi kolmasosaa ei ole vastuuttanut tietoturvallisuutta lainkaan tai niillä ei ole nimettyä vastuuhenkilöä. Näissä yrityksissä on vaikea kuvitella varautumisen saavan sen edellyttämää aikaa ja huomiota. Esimerkkinä useamman toimipaikan yrityksen liiketoiminnan jatkuvuudelle voivat yksittäisen hyökkäyksen seuraukset olla yhtä vakavia kuin samanaikainen tulipalo jokaisessa toimipisteessä liiketoiminta ja tuloksen tekeminen keskeytyy.


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

75

LÄHTEITÄ JA LISÄTIETOA 2015 Cyberthreat Defence Report North America & Europe https://www.bluecoat.com/sites/default/files/documents/files/CyberEdge_2015_CDR_Report.pdf 2015 Dell Security Annual Threat Report https://software.dell.com/docs/2015-dell-security-annual-threat-report-white-paper-15657.pdf Cyber Aware https://www.cyberaware.gov.uk/ Cyber Security and Global Interdependence: What Is Critical? Dave Clemente February 2013 http://www.chathamhouse.org/sites/files/chathamhouse/public/Research/International%20Security/ 0213pr_cyber.pdf Cyber Security and the UK’s Critical National Infrastructure A Chatham House Report http://www.chathamhouse.org/sites/files/chathamhouse/public/Research/International%20Security/ r0911cyber.pdf Cyber-security threat characterisation A rapid comparative analysis Neil Robinson, Luke Gribbon, Veronika Horvath, Kate Robertson http://www.rand.org/pubs/research_reports/RR235.html Emerging Cyber Threats Report 2015 http://www.cc.gatech.edu/sites/default/files/images/2015emergingcyberthreatsreport.pdf Framework for Improving Critical Infrastructure Cybersecurity Version 1.0 National Institute of Standards and Technology February 12, 2014 https://www.nist.gov/publications/search?term_node_tid_depth%5B%5D=248731 Keskuskauppakamari ja Helsingin seudun kauppakamari YRITYSTEN RIKOSTURVALLISUUS 2012: Riskit ja niiden hallinta http://kauppakamari.fi/wp-content/uploads/2012/01/Yritysten_rikosturvallisuus_2012-.pdf Kohdistettujen haittaohjelmahyökkäyksien uhka on otettava vakavasti https://www.viestintavirasto.fi/tietoatoimialasta/katsauksetjaartikkelit/tietoturvaartikkelit/raporttikohdistettujenhaittaohjelmahyokkaystenuhkasta.html Kyberturvallisuuden johtamisen opas http://oppaat.elisa.fi/kyberturvallisuuden-johtamisen-opas Kyberturvallisuuden ajankohtaisartikkeleita http://hub.elisa.fi/?s=kyberturva Kyberturvallisuuskeskuksen tietoturvaohjeet https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvaohjeet.html Kyberympäristö ja kyberturvallisuus EI-kyberihmisille


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

76

http://www.ficom.fi/linked/fi/ohjeita/Kyber_esite_WEB.pdf Lokien keräys ja käyttö - Ohje lokitietojen tallentamiseen ja hyödyntämiseen (Ohje 4/2016) https://www.viestintavirasto.fi/ohjausjavalvonta/ohjeetjajulkaisut/ohjeidentulkintojensuositustenjasel vitystenasiakirjat/ohje42016lokienkeraysjakaytto.html Markets for Cybercrime Tools and Stolen Data Hackers’ Bazaar http://www.rand.org/content/dam/rand/pubs/research_reports/RR600/RR610/RAND_RR610.pdf Net Losses, Estimating the Global Cost of Cybercrime http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime2.pdf Palvelunestohyökkäysten ehkäisy ja torjunta (Ohje 3/2016) https://www.viestintavirasto.fi/ohjausjavalvonta/ohjeetjajulkaisut/ohjeidentulkintojensuositustenjasel vitystenasiakirjat/ohje32016palvelunestohyokkaystenehkaisyjatorjunta.html PK-yrityksen kyberturvallisuuden kehittäminen http://www.huoltovarmuus.fi/static/pdf/754.pdf Selviytymisopas kiristyshaittaohjelmia vastaan - Kokemuksia kiristyshaittaohjelmista Suomessa ja neuvoja niistä selviytymiseen (005/2016 J) https://www.viestintavirasto.fi/ohjausjavalvonta/ohjeetjajulkaisut/ohjeidentulkintojensuositustenjasel vitystenasiakirjat/selviytymisopaskiristyshaittaohjelmiavastaan0052016j.html Sharing Information About Threats Is Not a Cybersecurity Panacea Martin C. Libicki http://www.rand.org/pubs/testimonies/CT425.html Small Business Information Security – The Fundamentals https://www.nist.gov/node/1111801 Small businesses: What you need to know about cyber security https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/412017/BIS-15-147small-businesses-cyber-guide-March-2015.pdf Suomen kyberturvallisuusstrategia http://www.yhteiskunnanturvallisuus.fi/ Valtionhallinnon tietoturvallisuuden johtoryhmän VAHTIn ohjeisto https://www.vahtiohje.fi/web/guest/home Verkkosivujesi pimeä puoli - Ohjeita sisällönhallintajärjestelmien kyberuhkien torjumiseksi (Ohje 2/2016) https://www.viestintavirasto.fi/ohjausjavalvonta/ohjeetjajulkaisut/ohjeidentulkintojensuositustenjasel vitystenasiakirjat/ohje22016verkkosivujesipimeapuoliohjeitasisallonhallintajarjestelmienkyberuhkientorjumiseksi.html


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

LIITE: SELVITYKSEN KYSYMYSLUETTELO

Yritysten kyberturvallisuus 2016 T1 Aloitamme tutkimuksen kysymällä ensin muutamia taustatietoja. Asemanne yrityksessä? SINGLE 1. 2. 3. 4. 5. 6.

Toimitusjohtaja Yrittäjä/omistaja Muu johtaja Päällikkötaso Asiantuntija Jokin muu, mikä?____________

T2 Yrityksenne liikevaihto vuonna 2015? SINGLE 1. 2. 3. 4. 5. 6. 7.

Alle 0,2 milj. euroa 0,2–1 milj. euroa 1,1–2 milj. euroa 2,1–10 milj. euroa 10,1–20 milj. euroa 20,1–100 milj. euroa Yli 100 milj. euroa

T3 Yrityksenne toimipaikkojen määrä? NUMERIC kpl: _________ T4 Henkilöstön määrä? SINGLE 1. 2. 3. 4. 5. 6. 7. 8.

1–4 5–9 10–19 20–49 50–99 100–199 200–499 500+

T5 Millaista kaupankäyntiä yrityksenne harjoittaa? Voitte valita useita. MULTI 1. Business-to-business (b2b) eli yritysten välinen kauppa 2. Business-to-consumer (b2c) eli kuluttajille suunnattu kauppa 3. Business-to-government (b2g) eli julkishallinnolle suunnattu kauppa

77


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

78

T6 Yrityksellänne on liiketoimintaa…? Voitte valita useita. MULTI 1. Suomessa 2. muissa EU-maissa 3. EU:n ulkopuolella T7 Yrityksenne päätoimiala? SINGLE 1. 2. 3. 4.

Teollisuus Rakentaminen Kauppa Palvelut

Kysymykset 1. Mitkä seuraavista vaihtoehdoista ovat suurimmat kyberturvallisuuden uhat suomalaisille yrityksille? Valitkaa kaksi mielestänne suurinta uhkaa. MULTI a. b. c. d. e. f. g. h.

Yhtiön sisäinen uhka (omat työntekijät) Phishing- ja haittaohjelmahyökkäykset Lunnashaittaohjelmat, jotka salaavat yhtiön tietoja ja ne vapautetaan maksua vastaan Tunkeutumiset Palvelunestohyökkäykset Hyökkäykset jotka kohdistuvat teollisiin tuotantoprosesseihin Yhtiön luottamuksellisen tiedon vuotaminen Muu, mikä?_____________

2. Mitkä ovat kolme suurinta estettä tehokkaan kyberturvallisuuden toteuttamisessa? MULTI a. Rahoitus b. Osaavien ammattilaisten löytämisen vaikeus c. Laadukkaiden kyberturvapalveluiden puute Suomen markkinoilla d. Nykyisten monitoimittajaympäristöjen monimutkaisuus ja dynaamisuus e. Nykyisen henkilökunnan tieto-taidon ylläpitäminen kyberuhkien suhteen f. Käyttäjien piittaamattomuus tietoturvallisuudesta ja kyberuhista g. Kyberuhkiin liittyvän tiedon riittämättömyys h. Turvallisuustoimiin ja menetelmiin liittyvän tiedon riittämättömyys i. Tehottomat teknologiaratkaisut j. Riittämätön integraatio kyberturvallisuuden ja liiketoiminnan välillä k. Riittämätön integraatio kyberturvallisuuden ja muiden turvallisuuden osa-alueiden välillä (jatkuvuussuunnittelu, kriisienhallinta jne.) l. Jokin muu, mikä? ________________

3. Mitkä seuraavista vaihtoehdoista ovat raskaimmat seuraukset kyberhyökkäyksistä? Valitkaa kaksi mielestänne suurinta uhkaa. MULTI a. Aineettoman omaisuuden menetys b. Negatiivinen julkisuus c. Markkinaosuuden menetys d. Menetetään kilpailuetu e. Kansallisen turvallisuuden vaarantuminen f. Yksityisyyden (henkilökunnan tai asiakkaiden tiedot) loukkaus


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

79

g. Tuoton menetys – suora tai epäsuora h. Muu, mikä?_____________________ 4. Miten hyvin tunnette suomalaisten viranomaisten roolia ja toimintaa kyberuhkiin liittyen? SINGLE a. Erittäin hyvin b. Melko hyvin c. Melko huonosti d. En tunne lainkaan 5. Oletteko saaneet jostakin käytännöllistä tietoa kyberuhkiin liittyen? SINGLE a. Kyllä b. En 6. (OHJELMOINTI: Jos vastannut KYLLÄ edellisessä kysymyksessä, kysytään) Mistä saitte tällaista tietoa? AVOIN 7. Miten organisaationne havaitsisi yrityksenne tietoverkossa käynnissä olevan tunkeutumisen? MULTI a. Havaitsisimme sen itse käyttäen omia torjunta- ja hälytysjärjestelmiämme b. Käyttäjämme tunnistaisivat sen ja ilmoittaisivat eteenpäin c. Tunnistaisimme itse, koska tarkastamme ja analysoimme lokejamme ja arvioimme niistä ilmenevää uhkaan olemassaoloon liittyvää tietoa d. Kotimaiset lainvalvontaviranomaiset tai tiedusteluorganisaatiot varoittaisivat meitä e. Kolmas taho, kuten internet operaattori tai palveluntarjoaja, ilmoittaisi meille f. Me emme todennäköisesti havaitsisi käynnissä olevaa tunkeutumista 8. Minkälaista tietoa luulette tunkeutujien etsivän? MULTI a. Ylempään johtoon kuuluvien henkilökohtaista tietoa b. Henkilökunnan jäseniin liittyvää tietoa, kuten nimet, vastuualueet ja yksiköt c. Tietoa alihankkijoista, yhteistyökumppaneista, tavarantoimittajista tai asiakkaista d. Immateriaalista omaisuutta tai luottamuksellista tietoa tuotteistamme tai palveluistamme e. Tietoverkkoonne liittyvää tietoa kuten verkon arkkitehtuuri, asetukset tai tarkoitus f. Me emme osaa sanoa millaista tietoa vietäisiin tunkeutumisen yhteydessä

9. Minkä tyyppistä tietoa olette menettäneet tietoverkkotunkeutumisten vuoksi? MULTI a. Ylempään johtoon kuuluvien henkilökohtaista tietoa b. Henkilökunnan jäseniin liittyvää tietoa, kuten nimet, vastuualueet ja yksiköt c. Tietoa alihankkijoista, yhteistyökumppaneista, tavarantoimittajista tai asiakkaista d. Immateriaalista omaisuutta tai luottamuksellista tietoa tuotteistamme tai palveluistamme e. Tietoverkkoonne liittyvää tietoa kuten verkon arkkitehtuuri, asetukset tai tarkoitus f. Me emme osaa sanoa millaista tietoa on viety 10. Onko organisaation tietoverkkoa tai -järjestelmiä käytetty luvattomaan/rikolliseen toimintaan? SINGLE a. Kyllä, tiedämme, että näin on tapahtunut b. Kyllä, näin on saattanut tapahtua, mutta ei ole täyttä varmuutta c. Ei


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

80

11. Uskotteko että organisaationne havaitsisi, mikäli organisaationne tietoverkkoa tai – järjestelmiä yritettäisiin käyttää luvattomaan/rikolliseen toimintaan? SINGLE a. Havaitsisi varmasti b. Havaitsisi todennäköisesti c. Ei havaitsisi lainkaan

12. Miten organisaationne on järjestänyt tietoturvallisuusvastuut johtotasolla? SINGLE a. Meillä on kokoaikainen nimetty tietoturvallisuusjohtaja tai –päällikkö b. Meillä on kokoaikainen IT-johtaja tai –päällikkö, joka vastaa tietoturvasta varsinaisen tehtävän ohella c. Meillä on kokoaikainen johtaja tai päällikkö, joka vastaa tietoturvasta riskienhallinen tai yritysturvallisuuden osana d. Meillä ei ole nimettyä tietoturvallisuusjohtajaa tai –päällikköä, vaan tietoturva on yleisesti IT-osaston vastuulla e. Meillä ulkopuolinen palveluntarjoaja, joka tarjoaa tietoturvallisuusjohtajan tai –päällikön f. Tietoturva on vastuutettu it-tuelle g. Tietoturva on vastuutettu oman toimen ohella päällikkötason henkilölle tai toimitusjohtajalle h. Meillä ei ole vastuutettu tietoturvallisuusasioita 13. Kenelle organisaationne tietoturvavastuullinen raportoi? MULTI (Ei kysytä, jos vastannut k12, kohdan h) a. Toimitusjohtaja, CEO b. Tietohallintojohtaja, CIO c. Talousjohtaja, CFO d. IT-Johtaja e. Hallituksen puheenjohtaja f. Joku muu, kuka?

14. Tietääkö henkilökuntanne miten toimia, jos he epäilevät tunkeutumista tietojärjestelmiinne? SINGLE a. Kyllä b. Ei 15. Onko teillä käytössä käytännössä toimivia suunnitelmia tunkeutumisten varalle? SINGLE a. Kyllä b. Ei 16. (Jos vastannut KYLLÄ edelliseen kysymykseen, kysytään) Mitä asioita suunnitelmiin on sisällytetty? MULTI a. Tieto siitä keneen olla yhteydessä, jos epäilee tunkeutumista b. Ohjeet siitä mitä tehdä ensimmäisenä, jos epäilee tunkeutumista c. Päätelaite (pc, älypuhelin, läppäri jne) Irti verkosta (otetaan yhteyskaapeli irti tai katkaistaan langaton yhteys) d. Print screen (tästä saadaan talteen näytön näkymä myöhempää selvittelyä varten) e. Koneen jättäminen koskemattomaksi jotta sitä voidaan tutkia


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

81

f. Tilanteen kuvaus g. Muuta, mitä___________ 17. Oletteko koskaan harjoitelleet suunnitelmienne toimivuutta jollakin seuraavista tavoista? MULTI a. Neuvotteluhuoneharjoitus (niin sanottu karttaharjoitus vailla käytännön toimia) b. Käytännön harjoitus ulkopuolista tunkeutujaa vastaan c. Muu, mikä? _____________ d. Emme ole harjoitelleet

18. Oletteko varautuneet kyberuhkiin seuraavin tavoin konkreettisesti tai suunnitelmilla? MULTI a. Järjestelmällinen suunnitelma tilannekuvan muodostamiseksi (datan kopiointi) tutkintaa ja puhdistustoimenpiteitä sekä loppuraportointia varten b. Järjestelmä- ja verkkolokien (palomuuri, http, ad, dhcp, vpn) kerääminen kaikista järjestelmistä mahdollisimman pitkältä ajalta c. Tutkinnassa tarvittavan laitteiston, ohjelmiston ja tutkintakyvyn ennakkoon hankinta d. Yhteydenotto viranomaiseen e. Palvelusopimus yrityksen kanssa joka tarjoaa järjestelmiin tunkeutumisen ja haittaohjelmien tutkintaa f. Emme ole varautuneet

19. Onko teillä vahvistettua koulutus- ja harjoitusohjelmaa kyberturvallisuuteen liittyen? SINGLE a. Kyllä b. Ei 20. Ovatko kyberuhkiin liittyvät harjoitukset osa muihin liiketoimintaa uhkaaviin uhkiin liittyvää harjoittelua? SINGLE a. Kyllä b. Ei c. 21. Miten hyvin tunnette EU:n tietosuoja-asetuksen? SINGLE a. Erittäin hyvin b. Melko hyvin c. Melko huonosti d. En tunne lainkaan

22. Kyberrikosten kohteena ovat usein yrityssalaisuudet. Kuinka hyvin viranomaisten nykyiset voimavarat ja tieto-taito riittävät tällaisten rikosten tutkinnassa? SINGLE 1. Erittäin hyvin 2. Hyvin 3. Ei hyvin eikä huonosti 4. huonosti 5. Erittäin huonosti


YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016

82

6. EOS 23. Pitäisikö mielestänne yrityssalaisuusrikoksista annettavien rangaistusten olla nykyistä ankarampia? SINGLE a. Kyllä b. Ei

24. Tällä hetkellä Kyberturvallisuuskeskuksen sivut ovat osana Viestintäviraston sivuja. Miten tiedonsaantiinne kyberturvallisuusasioista vaikuttaisi, jos Kyberturvallisuuskeskuksella olisi oma internetsivusto, johon on koottu tietoa, lähteitä ja linkkejä muiden viranomaisten sivuille? SINGLE 1. Helpottaisi erittäin paljon 2. Helpottaisi jonkin verran 3. Ei helpottaisi eikä vaikeuttaisi 4. Vaikeuttaisi jonkin verran 5. Vaikeuttaisi erittäin paljon

25. Mainitkaa tilanteita, joissa kyberturvallisuutenne on onnistunut? AVOIN 26. Mainitkaa tilanteita, joissa kyberturvallisuutenne on pettänyt? AVOIN


ISKEE YRITYSKOKOON KATSOMATTA

AUKKOJA KYBERPUOLUSTUKSESSA

HENKILÖSTÖ ON HEIKOIN LENKKI

Miten yrityksessäsi varaudutaan hyökkäyksiin?

Osaako yrityksesi henkilökunta toimia epäillessään hyökkäystä?

EI/EN OSAA SANOA:

44%

44% EI MITENKÄÄN 61% mikroyritykset 42% pk-yritykset mikroyritykset

45%

20% isot

pk-yritykset

43%

isot yritykset

39%

VASTUU HARVOJEN HARTIOILLA

ROSVOA KIINNOSTAA HELPPO RAHA

Kenelle tietoturva on vastuutettu?

Mitä arvelet tunkeutujan etsivän?

EI KENELLEKÄÄN/EN OSAA SANOA

24%

Jos on vastuutettu, niin kenelle?

19%

PÄÄLLIKKÖ- TAI JOHTAJA OMAN TOIMEN OHELLA

8%

IT-OSASTO, EI KETÄÄN NIMETTYÄ

5%

NIMETTY TIETOTURVALLISUUSJOHTAJA TAI -PÄÄLLIKKÖ

i

i

EN OSAA SANOA:

40%

VARASTA KIINNOSTAA: 40% 33% 12%

LUOTTAMUKSELLINEN TIETO TUOTTEISTAMME TIEDOT ASIAKKAISTAMME JOHTAJIEN HENKILÖKOHTAISET TIEDOT

KYBERTURVALLISUUS 2016 –TUTKIMUS Yrityksiä yhteensä: 754 kpl Isot (> 200 henkeä): 91 kpl Pk-yritykset (5–199 henkeä): 457 kpl Mikroyritykset (1–4 henkeä): 206 kpl

Yrityksiin kohdistuvat kyberuhat 2016  
Yrityksiin kohdistuvat kyberuhat 2016  
Advertisement