Tietoturva IT-infrastruktuurissa

Helsingin seudun kauppakamari teki helmikuussa 2015 selvityksen suomalaisten yritysten kyberturvallisuudesta. Selvitykseen osallistui 750 yritystä, ja tuloksissa paljastui monia riskitekijöitä. Haastattelimme Marko Sileniä, johtajaa Helsingin seudun kauppakamarilta, ja hän nimesi selvityksen mukaan suurimmiksi riskeiksi seuraavat:

• Yritykset saavat vain sattumanvaraisesti tietoa siitä, jos heidän verkkoonsa on tunkeuduttu tai tietoja varastettu.
• Harvassa yrityksessä on laadittu toimintaohjeita tietomurtojen tai muiden kyberuhkien varalle.

Tilanne Suomessa kyberturvallisuusasioissa on tällä hetkellä samanlainen kuin Amerikassa muutamia vuosia sitten. Yritykset eivät ole vielä osanneet juurikaan varautua kyberturvallisuudesta huolehtimiseen ja hyökkäyksien estämiseen. Helsingin seudun kauppakamarin asiantuntija, Panu Vesterinen kiteyttää asian näin:

”Ei ole relevanttia miettiä, miksi joku haluaisi meidän (=yrityksen) tietoja viedä. Sen sijaan pitää hyväksyä, että näin voi tapahtua ja keskittyä sen ennakointiin.”

Lähes jokaisessa yrityksessä tieto on yksi olennaisimpia liiketoimintatekijöitä. Sen lisäksi, että tätä tietoa on tallessa yritysten työntekijöillä, sitä on myös lukuisissa mobiililaitteissa, tietokoneissa, intranetissä ja erilaisissa pilvipalveluissa. Voit kuvitella näiden tietojen olevan kuin lasitalossa sen jälkeen, kun ne ovat laitteessa, jolla on pääsy Internetiin. Vaikka ne ovat ”tallessa”, ne ovat silti nähtävillä ja helposti saatavilla, ellei niitä ole suojattu.

Kun kyberturvallisuuden merkitys on tiedostettu yrityksessä, aihetta voi lähestyä esimerkiksi miettimällä vastaukset seuraaviin kysymyksiin:

• Onko kaiken (kriittisen) tiedon oltava tietokoneella, joka on kytketty verkkoon?
• Mitkä ovat kriittisiä tietoja?
• Onko jokaista yrityksen työntekijää opastettu tietoturvallisuudesta?
• Mitä yrityksessä tehdään, jos/kun kyberturvallisuudessa havaitaan uhka?
• Onko tilanteiden varalle laadittu toimintaohjeita?

Eräänkin asiantuntijayrityksen toimitusjohtaja on todennut, että IT-hankinnoissa hyvin harvoin mietitään infrastruktuurin turvallisuutta. Tämä asia tulisi muistaa heti hankintaa määriteltäessä ja myös ostettaessa palveluita ulkoa palveluntarjoajalta. Turvallisessa infrastruktuurissa tietoja voidaan käyttää tehokkaasti. Tällä hetkellä valitettavasti tietojen käytettävyys tehokkaasti painaa vaakakupissa turvallisuutta enemmän.

Edelläkävijät ovat Suomessakin jo ottaneet kyberturvallisuuden toiminnassaan huomioon, mutta valtaosalla yrityksistä ei kuitenkaan ole aiheesta riittävästi tietoa. Toivomme, että yhä useampi toimija miettisi myös kyberturvallisuutta hankintoja tehdessään.

Lisätietoja aiheesta:

Helsingin seudun kauppakamarin Yrityksiin kohdistuvat kyberuhkat 2015 -selvitys

Viestintäviraston Kyberturvallisuuskeskus