Mikä on sisäinen uhka?
Yrityksen sydän on sen henkilöstö. Jokaisella työntekijällä maanmittarista hakemuksia käsittelevään johdon assistenttiin ja asiakirjoja tulostavaan toimistopäällikköön on oma tärkeä tehtävänsä. Jokainen on myös vain ihminen, ja ihminen on aina erehtyväinen. Digimaailmassa inhimillinen virhe on vakava tietoturvariski.
Sisäisellä uhkalla tarkoitetaan tässä sitä, että yrityksen työntekijä voi tehdä liiketoimintaa haittaavan virheen. Valitettavasti pienestäkin virheestä voi olla mittavat seuraukset. Tämä pätee varsinkin PK-yrityksiin, joiden toiminta voi lamautua tietoturvahyökkäyksen seurauksena. Kyberrikolliset tietävät hyvin, että yritysten digitaalipuolustuksen heikko kohta ovat työntekijät. He luottavat siihen, ettei yksittäisillä työntekijöillä ole koulutusta tai taitoa tunnistaa huijausta sisäänkirjautumisen tai sähköpostiin vastaamisen yhteydessä eikä riittävästi tietoa riskeistä.
Selvitimme PK-yritysten sisäisen uhan riskiä koko Euroopan kattavalla kyselytutkimuksella. Siihen vastasi 5 770 tietotekniikasta päättävää henkilöä monilta eri toimialoilta mukana lukien rakentaminen, juridiikka, koulutus ja terveydenhuolto, ja tulokset kertovat paljon verkkoratkaisujen haasteista ja haavoittuvuuksista. Noin 37 prosenttia kyselyyn vastanneista uskoo, että koulutuksia ja ohjeistuksia noudattamattomat työntekijät ovat merkittävä tietoturvariski. Eikä siinä vielä kaikki.
Haasteena inhimilliset virheet
Digitaalinen puolustus on vain niin vahva kuin sen ylläpitoon koulutettu henkilökunta. Inhimillinen virhe voi riskeerata tietoturvan, vaikka yritykseen olisi asennettu perinteinen kokonaisvaltainen turvajärjestelmä. Ei siis ihme, että kolmannes kyselyyn vastanneista ilmoitti, että työntekijöiden tiedon ja koulutuksen puute on lisännyt yrityksen tietoturvaan liittyviä haasteita.
Moni yleinen virhe voi rikkoa tietoturvan. Joku markkinoinnista voi esimerkiksi lähettää vahingossa luottamuksellisia tietoja väärälle asiakkaalle. Opettajan sijainen voi vahingossa klikata huijauslinkkiä sähköpostissa ja vuotaa oppilaiden henkilötietoja (phishing). Tai joku voi kopioida luottamuksellista aineistoa toimiston tulostimella ja unohtaa alkuperäisen asiakirjan laitteeseen.
Muuttujia on toki monia. Riskejä on vaikeaa torjua, jos työntekijät eivät tunne niitä. Kaikki eivät välttämättä osallistu tarjottuihin koulutuksiin, jos töissä on kiirettä tai aihe tuntuu liian tutulta. Yrityksen turvakäytäntöjä noudattavakin voi tehdä virheitä. Seuraavassa osiossa tarkastellaan lähemmin PK-kyselytutkimuksen tuloksia.
Kyselytutkimuksen tulokset kertovat
Katsotaan, mitä kyselytutkimukseemme vastanneet PK-yritykset sanoivat.
Kaikenlaiset ja -kokoiset yritykset käyttävät viestintään sähköpostia tavalla tai toisella. Automaattinen roskapostin suodatus voi toimia oikein hyvinkin, mutta kyberrikollisuuden kehittyessä lisääntyy tietojenkalastelukin, jolla yritetään urkkia, muuttaa tai tuhota luottamuksellisia tietoja. Tietojenkalastelu on yleisin kyberrikos, johon työntekijän on helppo haksahtaa. Haittaohjelmahyökkäys voi onnistua, jollei verkkoon liitetty laite, kuten älypuhelin, läppäri tai tulostin, ole täysin suojattu. Yhdestäkin hyökkäyksestä voi aiheutua mittavat vahingot, ja 20 prosenttia kyselyymme vastanneista PK-yrityksistä ilmoitti tietohäviön suurimmaksi tietoturvaan liittyväksi uhkaksi. Vahinkojen välttämiseksi yritysten tulisi varmistaa, että henkilöstö osaa varoa epäilyttäviä sähköpostiviestejä ja ymmärtää, mitä voi tapahtua, jos ei ole varovainen.
Hybridityöhön liittyy paljon etuja, mutta se on myös lisännut PK-yritysten tietoturvariskejä. Kyselyymme vastanneista 29 prosenttia kokee työntekijöiden omien laitteiden käytön lisänneen haasteita. Moni tekee töitä joko toimistolla tai kotona, mutta jotkut haluavat työskennellä kahvilassa tai yhteistilassa, missä ei ole suojattua verkkoa. Tästä huolimatta 59 prosenttia kyselyyn vastanneista PK-yrityksistä ei ole lisännyt tietoturvakoulutusta hybridityömalliin siirtymisen jälkeen. Suojaamattomien verkkojen käyttö ja vanhentuneet tiedot tietoturvasta muodostavat olosuhteet, joissa tapahtuu helposti virheitä.
Yrityksissä käsitellään päivittäin luottamuksellisia tietoja. Olipa kyse yrityksen omista, oppilaiden, potilaiden tai asiakkaiden tiedoista, niitä on käsiteltävä ehdottoman huolellisesti. Huijaussähköpostit eivät ole ainoa kanava, jonka kautta tietoa voi vuotaa. Tietoturva voi rikkoutua missä tahansa verkkoon liitetyssä päätelaitteessa toimiston yhteistulostimesta työntekijän läppäriin tai tablettiin. Koska vain kolmasosalla PK-yrityksistä on käytössä tulostimien suojaus, turva-aukkoja on paljon, eivätkä kaikki työntekijät tiedä, missä riskit piilevät. Kyselytutkimuksen mukaan kolmasosa PK-yrityksistä ei luota (14 %) tai usko (15 %), että työntekijät tietävät tarpeeksi tietoturvariskeistä.
Ihminen digiympäristössä
Kyselytutkimuksemme perusteella PK-yritysten pitäisi suhtautua sisäiseen uhkaan ensisijaisen vakavasti. Aihetta kannattaa lähestyä kahdesta yhtäläisen tärkeästä näkökulmasta.
Ensinnäkin pitää ymmärtää tietoturvan inhimillinen puoli ja puuttua siihen. On tärkeää rakentaa yritykseen tietoturvakulttuuri, joka koskee ihan kaikkia, ei vain IT-osastoa ja toimistotyöntekijöitä. Niin tavarankuljettajien kuin asiakaspalvelijoidenkin pitää tuntea parhaat tietoturvakäytännöt ja muistaa noudattaa niitä työssään. Toimintatapoja voi testata tietojenkalastelusimulaatiolla eli lähettämällä henkilöstölle tarkoituksellisesti huijausviestejä. Toinen keino on määrätä tietoturvakoulutus pakolliseksi kaikille työntekijöille.
Myös teknologia pitää ymmärtää. Sisäinen uhka syntyy ihmisten toiminnasta, mutta teknologia voi auttaa estämään virheitä, ja riittävän monitasoinen tietoturvaratkaisu voi kattaa kaikki toiminnot. Tähän sisältyvät monenlaiset turvatarkastukset, säännölliset riskiarvioinnit, koulutukset ja verkon tietoturvan testaukset (myös yrityksen ulkopuolelta) sekä ympärivuorokautinen seuranta/valvonta. Olennaista on muistuttaa työntekijöitä vastuustaan ja täydentää turvaa sopivalla teknologialla.
Virheitä sattuu, mutta hyökkäyksiltä voi välttyä
Ihmiset tekevät aina virheitä riippumatta roolistaan työpaikalla. Vahinkoja sattuu niin johtajalle kuin assistentillekin. Kyberhyökkäyksiltä voi silti välttyä. Riittävällä koulutuksella, tiedotuksella, huolellisuudella ja vastuullisuudella voi vähentää virheitä, joista voi olla vakavia seurauksia.
Jos tai kun virhe tapahtuu, on tärkeää, että suojaus on käytössä. Me Sharpilla autamme PK-yrityksiä rakentamaan vankan digitaalisen puolustuksen varmistamalla, että käytössä on sopivan kattavat ja ajanmukaiset tietoturvaratkaisut. Mittavasta palvelu- ja ratkaisuvalikoimastamme löytyvät riittävän vankat vahvistukset yritysten turvajärjestelmiin.
Lue lisää tietoturvasta
Sharpin Security Hubissa on lisää tietoa PK-yritysten tietoturvariskeistä.