Yritys voi menettää kyberhyökkäyksessä kaiken datansa
Kyberhyökkäyksien lisääntyessä on yritysten oltava yhä enemmän varuillaan päivittäisissä toiminnoissa.
Petra Söder
Scene Group Oy:n toimitusjohtaja Mikko Kivinen on ollut nuoresta saakka kiinnostunut IT-alasta ja tietokoneista, joten hänen harrastuksensa johti lopulta yrityksen perustamiseen.
– Perustin yrityksen 17-vuotiaana opiskellessani vielä merkonomiksi, yrittäjäperheen kasvatti kertoo.
Kivinen on pyörittänyt IT-alan yritystä 24 vuotta Ulvilassa ja Porissa. Yritys tarjoaa erilaisia webhotelli- ja palvelinratkaisuja sekä kyberturvallisuuspalveluita Digiturva365-brändin alla.
– Meidän kauttamme voi hankkia kuukausilaskutuksella tietoturvavalvomon palveluna, jonka sisältö räätälöidään jokaiselle yritykselle yksilöllisesti, Kivinen kertoo.
Kivinen on huomannut työssään, miten kyberhyökkäykset ovat viime aikoina lisääntyneet ja tietojenkalasteluviesteistä on tullut yhä taidokkaampia.
– Tekoälyn myötä huijausviesteistä on opittu tekemään kielellisesti yhä taitavampia. Esimerkiksi selaimen osoiterivistä voi erottaa huijauksen, mutta huijausviestien erottaminen on koko ajan haastavampaa.
Mitä kaikkea yrityksen tulisi tämän päivän kyberturvallisuudessa sitten miettiä?
– Ihan ensimmäisenä yrityksen olisi hyvä tunnistaa millaisia järjestelmiä, laitteita ja dataa sillä on suojattavana ja miten ne on suojattu. Yrityksellä tulisi olla myös tietoturvasuunnitelma, johon tietoturva-asiat ja toimintatavat on dokumentoitu, Kivinen neuvoo.
Pelkkä suunnitelman laatiminen ei riitä, vaan se on myös pidettävä ajan tasalla. Pahimmillaan tietoturvahyökkäykset voivat kaataa koko yrityksen ja yritys voi menettää kaiken datansa.
– Yritysten olisi hyvä ymmärtää, miten tärkeää on panostaa kyberturvallisuuteen. Kassakaappi, vartiointi ja palohälyttimet on usein helpompi hankkia, koska ne ovat fyysisiä asioita. Kyberasioita voi olla vaikeampi hahmottaa, mutta ne ovat vähintään yhtä tärkeitä, Kivinen painottaa.
Kaikkein tärkeintä on, että kyberhyökkäyksiä pyritään ennaltaehkäisemään. Yrityksillä olisi myös hyvä olla toimintasuunnitelma sen varalle, jos hyökkäys tapahtuu.
– Yleensä näissä tilanteissa on hyvin vähän aikaa toimia ja ilmoittaa asiasta viranomaisille. On myös hyvä käydä läpi, miten asiasta tiedotetaan asiakkaille ja yhteistyökumppaneille.
On tärkeää, että yritys harjoittelisi etukäteen poikkeustilanteita varten.
– Parasta olisi järjestää kyberturvallisuuspoikkeaman simulointi henkilökunnalle ja katsoa esimerkiksi, miten henkilökunta suoriutuu tietojenkalasteluviesteistä.
Kivinen neuvoo, että yrityksen tietojen säännöllinen varmuuskopiointi on tarpeen, ja on tärkeää miettiä myös, missä varmuuskopioita säilytetään esimerkiksi tulipalon varalta. Päivittäisessä työssä on myös mietittävä, miten arkaluontoista tietoa välitetään eteenpäin.
– Esimerkiksi henkilötunnuksia ei ole turvallista lähettää sähköpostilla. Vaikka itsellä olisi tietoturva-asiat kunnossa, niin ovatko ne vastaanottajalla, Kivinen pohtii.
Vaikka yritys hoitaisikin kyberasiat oppikirjamaisesti, voi tietovuotoja tapahtua alihankintaketjussa.
– Yritykselle on tärkeää määrittää, miten alihankkijat toimivat yrityksen tietojen kanssa. Yrittäjän olisi tärkeä tietää, miten esimerkiksi kirjanpitäjä käsittelee yrityksen tietoja, Kivinen ohjeistaa.
Kun pahimpaan on varauduttu, on toiminta mahdollisen hyökkäyksen sattuessa helpompaa. Kivinen painottaa, että kyberturvallisuuden järjestäminen on lopulta yrityksen johdon vastuulla.
– Johdossa on tärkeää ymmärtää, että he kantavat vastuun, velvollisuuden ja riskit. Laiminlyönnit voivat johtaa tuntuviin taloudellisiin sanktioihin ja vahinkoihin. Tietoturva-asioiden ulkoistaminenkaan ei poista tosiasiaa, että yritysjohto on kuitenkin lopulta vastuussa kaikesta, Kivinen päättää.
