DNA:n toteuttaman tuoreen tietoturvatutkimuksen tuloksista selvisi, että yritykset ovat tällä hetkellä eniten huolissaan nousevasta uhasta Venäjältä, tietomurroista, tietojenkalastelusta sekä palvelunestohyökkäyksistä. Verkko- ja pilvipalveluiden liiketoimintajohtaja Kaapro Kanto jakaa näkemyksiään uhilta suojautumiseen ja tietoturvainvestointeihin. Miten oman yrityksen suojausta kannattaa lähteä rakentamaan?
73 prosenttia kyselytutkimukseen vastanneista IT-päättäjistä on huolissaan yritysten kyberturvallisuudesta. Huoli korostuu sitä mukaa, mitä suurempi yritys on kyseessä. Siksi ei ole yllättävää, että tulosten mukaan myös tietoturvainvestoinnit ovat kasvaneet ja näyttävät jatkavan kasvua myös tulevaisuudessa.
”Uhkakenttä maailmalla kehittyy todella nopeassa tahdissa. Tutkimuksessa päättäjät tunnistavat Venäjän uhan ja kyberrikollisuuden. Hyökkääjät voivat keskittyä yksittäiseen keinoon, mutta hyökkäykseltä puolustautuva organisaatio joutuu suojautumaan kaikilta mahdollisilta uhilta. Tämä tarkoittaa sitä, että tietoturvaa suojaavat toimenpiteet kasvavat erilaisten nousevien uhkien myötä”, selvittää DNA:n yrityspuolen verkko- ja pilvipalveluiden liiketoimintajohtaja Kaapro Kanto.
Kanto alleviivaa, että tietoturvainvestointien kohdalla yritysten kannattaa tehdä monivuotissuunnitelmia: on tärkeää ymmärtää yrityksen toimintaympäristön uhat ja priorisoida investointeja – kaikkeen kun ei voi, eikä kannata, investoida kerralla.
”Tietoturvan saralla ei ole olemassa hopealuotia, eli ratkaisua, joka toimii kaikkeen. Tietoturvan rakentaminen ja siihen tehtävät investoinnit ovat pitkä projekti. Tietoturvaan kannattaa suhtautua kuin maratoniin, jonka maasto tulee muuttumaan matkan varrella. Koska suunnitelmiin tulee muutoksia ja uudenlaisia päivitystarpeita, hyvät kumppanit ja osaajaverkosto ovat äärimmäisen tärkeä osa jokaisen yrityksen suojautumista.”
Hybridityön ja tekoälyn huomiointia petrattava tietoturvassa
Hybridityön mukanaan tuomat uudet käytänteet ja tekoälytyökalujen käyttö nousivat myös tutkimuksessa esille. Jopa 64 prosenttia vastanneista on täysin tai osittain samaa mieltä siitä, että hybridityö on yrityksille tietoturvariski. Kannon mielestä yritysten tulisi petrata varautumistaan hybridityön saralla.
”Useissa yrityksissä etätyöhön ja etätyön turvallisuuteen ei ole panostettu riittävissä määrin. Kotikonttorilla tehtävissä töissä käytetään vanhanaikaisia kontrolleja, kuten vain salasanoja tiettyihin sovelluksiin tai tietoihin pääsemiseksi, vaikka kaksivaiheinen tunnistautuminen olisi ehdottoman tärkeää suojauksen kannalta.”
Lähes kaikkien kyselyyn vastanneiden päättäjien mielestä tekoälytyökalujen tietoturvaohjeistus on puutteellista. Suurimman osan mielestä työntekijöiden käyttämien työkalujen hyödyntämistä on vaikea hallita, ja siksi liikesalaisuuksia voi päätyä vääriin käsiin. Tämän lisäksi vain joka kolmannella yrityksellä on säännöt ja linjaukset tekoälyn käyttöä varten.
”Kannustan jokaista yritystä pitämään huolta, että tekoälyn ja tekoälytyökalujen käyttöä ohjaavat selkeät periaatteet. Periaatteiden tulisi olla linjassa kaikkien muiden käytänteiden kanssa aina tietoturvasta erilaisiin käyttötapauksiin. Yrityksillä olisi hyvä olla tekoälytyöryhmä, jossa hyödynnetään tekoälyosaamista sekä lainsäädännön tuntemista turvallisten ohjeiden luomiseksi. Tämän lisäksi olisi hyvä myös listata sallitut työkalut, Kanto sanoo.
Tietoturvainvestoinnit haastavat yrityksiä
Tietoturvaan investoiminen on haastavaa, koska uhat kehittyvät jatkuvasti ja organisaatioiden on vaikea pysyä ajan tasalla uusimmista hyökkäystavoista. Tutkimuksen mukaan yrityksistä kuitenkin löytyy investointikykyä ja -halua, mutta osaajapula jarruttaa tietoturvan kehitystä.
Tämän lisäksi tietoturvatoimenpiteet voivat olla kalliita ja vaativat jatkuvaa ylläpitoa, mikä tekee kustannusten ja hyötyjen arvioinnista hankalaa. Tietoturvan hankintakriteerit ovat moninaisia: hinta on luonnollisesti useimmiten mukana hankintapäätöstä tehtäessä, mutta sitä arvioidaan suhteessa laatuun, luotettavuuteen ja palveluun.
”Tietoturvassa halvalla voi todella saada hyvää, mutta silloin on yleensä onnistuneesti osattu kiinnittää huomiota kokonaisratkaisuun. Liian usein organisaatiot ostavat yksittäisiä tietoturvapalveluita, jotka yritetään sovittaa osaksi tietoturva-arkkitehtuuria. Tällöin yksittäiset komponentit ratkaisevat yksittäisiä ongelmia. Näissä tilanteissa yleensä 10 edullista ratkaisua tulee hintavammaksi kuin yksittäinen isompi kokonaisuus”, Kanto alleviivaa.
Yritysten on tasapainoteltava liiketoiminnan joustavuuden ja tietoturvan tiukkuuden välillä, jotta ne eivät vaaranna toimintakykyään. Investoinneissa on huomioitava sekä tekniset ratkaisut että henkilöstön kouluttaminen, sillä ihmisten toiminta on usein tietoturvan heikoin lenkki.
”Onnistunut tietoturva vaatii jatkuvaa seurantaa ja riskien arviointia muuttuvassa uhkaympäristössä”, Kanto tiivistää.
Lataa DNA:n Tietoturvatutkimus 2024 ja selvitä, miltä kyberturvallisuuden kenttä näyttää suomalaisyritysten silmin!