Mitä tehdä, kun tietoturvaviesti ei mene perille ajoissa?
EY-nimisen ylikansallisen tietoturvakonsulttiyhtiön kyselyssä haastateltiin kaikkiaan 1 735 eri puolilla maailmaa toimivaa asiantuntijaa, joiden vastuulla lepää yritysten tietoturva – tai sen puuttuminen.
Tulosten mukaan 86 prosenttia vastaajista oli sitä mieltä, että heidän yrityksessään kyberturvallisuuden hallinta ei korreloi täysin tai ei juuri lainkaan liiketoiminnan tarpeiden kanssa.
Tietoturvan todennäköisin uhka olikin työntekijöiden huolimattomuus tai silkka tietämättömyys tietoturvakäytännöistä. Yli puolet, noin 55 prosenttia, piti inhimillisessä toiminnassa piilevää virhetoiminnan riskiä yrityksensä pahimpana tai toiseksi pahimpana haavoittuvuutena.
Näin suuri inhimillinen uhka on yllätys, vaikka ongelma on tiedostettu jo tietoverkkojen syntyessä.
Ainut looginen johtopäätös on, että koulutusta ja syvällistä perehdytystä tarvitaan lisää. Valistus ei ehkä ole ollut oikeanlaista, vaan sitä on kehitettävä ja asiasta on puhuttava myös muutosvastaarintaa edustaville tahoille eli päättäjille, jotka tahtovat karsia kuluja. Valitettavan usein kululeikkuri osuu väärään kohtaan.
Toisena uhkana mainittiin mahdollisuus päästä tietoon käsiksi ilman käyttöoikeuksia, osuus 54 %, ja kolmantena vanhentuneet tietoturvakontrollit ja -arkkitehtuurit, 48 prosentin osuus. Uhat ovat edelleen merkittäviä, vaikka yritysten kyky suojautua kyberhyökkäyksiltä on kehittynyt, kertoo EY raportissaan.
Kuinka alhaalla on oltu?
Vielä kuitenkin näkee myös johtajien väheksyvän tietoturvaa: ”mitään tavaraa kyberhyökkäyksissä ei ole oikeasti viety” tai ”on hullua maksaa sellaisesta palvelusta, jonka saa ilmaiseksikin”.
Varastetulla tiedolla on kutenkin tehty huomattava määrä rikoksia: tilejä on tyhjennetty, sisäpiiritiedolla tehty rahaa tai kaapatulla henkilöllisyydellä aiheutettu mittavia vahinkoja. Myös koko yritys on saattanut tuhoutua kyberhyökkäysten ja anastetun informaation julkistamisen takia. Kaikkea löytyy, silti väheksyntä istuu tiukassa vanhakantaisesti johdetuissa yrityksessä, joka kenties on tullut internetiin vain pikku pakon myötä.
Näissä yrityksissä aito kiinnostus kestäviin tietoturvakäytäntöihin saattaa olla vähäistä ja johto jarruttaa nuoremman polven pyrkimyksiä parempaan tietoturvan tasoon. Kyse on välttämättömästä pahasta, jonka kuntoon saattamista siirretään. Tämä vaikutelma syntyy, kun perehtyy kattavaan EY:n aineistoon http://www.ey.com/gl/en/services/advisory/ey-global-information-security-survey-2016
Herääminen tapahtuu usein karulla tavalla, kun kauppaportaalit ovat nurin tai kriittistä tietoa yrityksestä on vuotanut ulos. Ottakaa yhteyttä, ennen kuin kyberuhkat konkretisoituvat.
