Kyber­hyökkäykset ovat tulleet jäädäkseen – ymmärrä yrityksesi riskit ja varaudu

Kyberhyökkäysten määrä on kasvanut viime vuosina rajusti. Teknologian nopea kehitys, geopoliittinen tilanne maailmalla ja viimeisimpänä tekoälyn rynnistys tavallisten kansalaisten – ja samalla rikollisten – saataville on kiihdyttänyt kyberhyökkäysten lisääntymistä. Suomalaiset yritykset ovat kuitenkin viimeistään nyt heränneet tietoturva-asioihin. Accountorilla otamme tietoturvan erittäin vakavasti, ja suosittelen jokaisen taloushallintoalalla toimivan yrityksen tekevän samoin.

Maailmanlaajuisessa mittakaavassa Suomen pienehkö markkina yhdessä muun muassa suomen kielen erityispiirteistä johtuen on kuitenkin pitänyt pahimmat rikolliset toimijat isompien kalojen perässä maailmalla. Suomalaiset yritykset ovat toki saaneet osansa vuosien saatossa, ja kyberhyök­käykset tulevat olemaan riesanamme tästedeskin.

Kaikenlaiset hyökkäyskeinot käytössä

Kalasteluviestit eri kanavien kautta ovat suuri uhka yrityksille. Lähes 80 prosenttia kyberhyökkäyksistä toteutetaan sähköpostin välityksellä, mutta yhä enemmän välineinä käytetään myös erilaisia viestisovelluksia, kuten tekstiviestiä ja WhatsAppia, sekä pikaviestikanavia, kuten Teamsia.

Perinteiset tietojärjestelmiin murtautumiset – hakkeroinnit – ovat selkeästi vähemmistössä. Niiden vaikutukset voivat kuitenkin olla yrityksen liiketoiminnan kannalta yhtä katastrofaaliset kuin esimerkiksi sähköpostin kautta välitetyllä kiristyshaittaohjelmalla. Palvelunestohyökkäykset ovat kenties helpoin tapa hyökätä yritystä vastaan. Internetin pimeältä puolelta (dark web) niitä on helposti ostettavissa pilkkahintaan.

Rikollisten toiminta on nykyään yrityksenomaista toimintaa. Heillä saattaa olla henkilöstöä erilaisista tiimienvetäjistä ja johtajistosta lähtien asiakaspalvelun puhelinpalveluun asti, joka muun muassa auttaa hyökkäysten uhreiksi joutuneita yrityksiä maksamaan lunnaita tai jopa palauttamaan tiedostoja.

Kyberhyökkäyksien seuraamukset käyvät kalliiksi

Kyberhyökkäyksillä voi olla mitä moninaisimpia seurauksia. On kyseessä sitten tuotannon katkos tai tietovuoto, useimmiten seurauksena on mainehaittaa ja rahallista tappiota tavalla tai toisella. Taloudelliset tappiot voidaan karkeasti jakaa seuraaviin kategorioihin:

1. Saamatta jäänyt liikevaihto
2. Sopimuksiin perustuvat sanktiot tai hyvitykset
3. Vaatimustenmukaisuuden tai lakien ja asetusten noudattamatta jättämisen aiheuttamat sakot tai seuraamusmaksut
4. Hyökkäyksen tutkinnasta ja toipumisesta aiheutuneet kustannukset
5. Lunnaiden maksu

Erityisesti arkaluonteista tietoa käsittelevillä aloilla, kuten taloushallinto, riskinä on asiakkaiden arkaluonteisten tietojen menettäminen tai tietojen päätyminen vääriin käsiin.

Ponemon Instituten toteuttaman Cost of a Data Breach Report 2022 -raportin mukaan yksi tietovuotoon johtanut kyberhyökkäys aiheutti keskimäärin 4,35 miljoonan dollarin kustannukset hyökkäyksen kohteena olleelle yritykselle. Summa on globaali keskiarvo, mutta pohjoismainenkin keskiarvo on reilun kahden miljoonan dollarin verran. Sen sijaan alakohtaisesti tarkasteltuna taloushallinto- ja rahoitusalan vastaava keskimääräinen globaali kustannus oli jo lähes kuusi miljoonaa dollaria.

Saman tutkimuksen mukaan yrityksiltä kestää keskimäärin 277 päivää tunnistaa ja kukistaa hyökkäys ja/tai hyökkääjän läsnäolo. Osaava hyökkääjä saa siinä ajassa aikaiseksi peruuttamatonta tuhoa.

Tietoturvan tärkeys taloushallinnossa

Taloushallintoalan liiketoiminta perustuu luottamukseen. Asiak­kaat uskovat kaikkein kriittisimmät tietonsa taloushallintoalan toimijoiden haltuun, jolloin he olettavat tietoja käsiteltävän ja suojattavan asianmukaisella tavalla. Useat asiakkaat asettavat yhteistyökumppaneille vaatimuksia tiedon käsittelyyn ja suojaamiseen liittyen, mutta on myös asiakkaita, jotka eivät niin tee. Siitä huolimatta kaikkien asiakkaiden tietoja tulee käsitellä ja suojata tarkoituksenmukaisesti. Jos asiakkaiden luottamuksen menettää esimerkiksi heikosta suojauksesta tai reagointikyvyn puutteesta johtuen, voi taloushallintoyritys pahimmassa tapauksessa menettää koko liiketoimintansa.

Yrityksen toimintaan liittyvistä riskeistä riippuu, kuinka paljon tietoturvaan tulisi sijoittaa tai panostaa. Jokaisen yrityksen tulisi tunnistaa itse omat riskinsä. Ei ole yhtä ihmelääkettä tai tiettyä osuutta liikevaihdosta, joka takaisi tietojen olevan turvassa kaikissa tilanteissa.

Turhan usein yrityksissä tietoturva koetaan vain kulueräksi, koska se ei useimmissa tapauksissa tuo suoraan lisää tuloja viivan alle. Tietoturva on kuitenkin hyvä nähdä eräänlaisena vakuutuksena tai ”lupana harjoittaa liiketoimintaa”. Vaikka se harvoin lisää liikevaihtoa, oikein toteutettuna se voi estää yllättävien menoerien syntymistä.

Toisaalta tietoturva mahdollistaa liiketoiminnan kasvattamisen. Esimerkiksi, kun yritys kilpailuttaa taloushallinnon palvelut ja loppusuoralle pääsee kaksi tasavahvaa toimijaa, joista toisella on osoittaa todennetusti tietoturvalliset käytännöt, prosessit ja työkalut, mutta toisella ei. Kumman luulet, että yritys valitsee?

Lakeja, sääntöjä, määräyksiä ja vaatimuksia

Tietojen käsittelyyn liittyvät vaatimukset liittyvät usein tiedon salaukseen ja pääsyn rajoittamiseen. Asiakkaiden lisäksi vaatimuksia määrittävät paikalliset ja kansainväliset lainsäädännöt, kuten General Data Protection Act (GDPR) tai Network and Information Security -direktiivi (NIS ja NIS2.0). Lisävaatimuksia on myös erilaisissa standardeissa, kuten ISO/IEC 27001:ssa tai Kansallinen turvallisuus auditointi kriteeristössä (KATAKRI).

Kansainvälisissä standardeissa on paljon päällekkäisyyksiä, joten täyttämällä yhden standardin vaatimukset täyttää yritys usein suuren osan muidenkin standardien vaatimuksista. Eri toimialojen standardien sisältö ja vaatimukset voivat kuitenkin poiketa yleisemmistä tietoturvastandardeista paljonkin.

Tietoturvavaatimusten toteuttaminen ja noudattaminen voi vaikuttaa ja ollakin tuskallisen työlästä, mikäli niitä yritetään tehdä irrallisina toimenpiteinä. Niinpä myös taloushallinnon toimijoiden tulisikin pyrkiä sisällyttämään tietoturvatoimia olemassa oleviin prosesseihin ja toimintamalleihin, jolloin niistä tulee luonnollinen osa jokapäiväistä toimintaa. Siten turvalliset toimintatavat iskostuvat henkilöstön selkäytimeen.

Hyvien yleisten ja tietoturvallisten käytäntöjen dokumentointi ja noudattaminen tuo mukanaan rakennetta ja selkeyttä toimintaan. Dokumentointi on tärkeää, sillä usein asiakkaat haluavat säännöllisin väliajoin tarkistaa eli auditoida tai arvioida kumppanin tietoturvan kypsyyttä ja heille asettamiensa tietoturvavaatimusten toteutumisen. Auditointeja voi ja kannattaa tehdä myös oma-aloitteisesti itse. Jos oma osaaminen ei riitä, voi käyttää ulkoisia apukeinoja. Joissain tapauksissa myös viranomaiset voivat suorittaa auditointeja.

Käytännön toimet apuun

Mitä yritykset voivat sitten tehdä käytännössä parantaakseen yrityksensä tietoturvaa? Toimenpiteet voidaan jakaa karkeasti neljään osa-alueeseen, joihin löytyy rutkasti käytännön toimia:

1. Ennaltaehkäisy
2. Havainnointi
3. Reagointi
4. Toipuminen

Ennaltaehkäisyn tärkeimpänä kohteena on henkilöstön kouluttaminen. Yleisen tietoturvatietoisuuden lisäksi on tärkeää, että työntekijät osaavat tunnistaa haitallisia viestejä, erityisesti sähköposteja. Prosessimaisen, dokumentoidun toimintamallin lisäksi tietoturvan tehokkuuden mittaaminen ja sen avulla jatkuva kehittäminen toimivat ennaltaehkäisynä. Lisäksi käytössä kannatta olla erilaisia teknisiä suojakeinoja.

Työntekijöiden tietokoneiden keskitetty valvonta auttaa havainnointia ja edistää nopeaa reagointia. Keskitettyä tietoturvakeskusta usein operoi asiantunteva kumppani. Organisaation kyvykkyys tutkia tietoturvaa yleensäkin auttaa reagoimaan tarvittaessa.

Toipumista varten kannattaa laatia liiketoiminnan jatkuvuussuunnitelma. Myös vanhat kunnon varmuuskopiot edistävät ja nopeuttavat toipumista. Niiden käyttöä tulisi testata palautustestauksilla, jotta ne toimivat tosipaikan tullen. Ja kun tietoturvassa on havaittu poikkeama, asioiden läpikäynti ja oppien kirjaaminen kannattaa aina.

Näiden lisäksi toteuttamiskelpoisia vinkkejä ovat:

• Tunne verkkoympäristösi ja valvo sitä tunkeilijoiden tunnistamiseksi
• Tee riskiarvioita säännöllisesti ja kohdista suojaustoimet suurimpien riskien hallitsemiseen
• Varmista kumppaneidesi tietoturvan taso asettamalla heille tietoturvavaatimuksia ja valvo niiden toteutumista säännöllisesti
• Huolehdi identiteeteistä: määrittele roolit ja vastuut, myönnä pääsyoikeudet roolien tarpeiden mukaisesti ”minimioikeuksien periaatetta” noudattaen
• Varmista liiketoiminnan jatkuvuus poikkeamatilanteissa laatimalla jatkuvuussuunnitelma ja järjestä kriisiharjoituksia säännöllisesti

Nämä ovat vain osa kaikista mahdollisista suojakeinoista. Kannattaa muistaa, että näiden toteuttaminen ei takaa yrityksen tietojen olevan suojassa!

Teknologia vain yksi apukeino

On valitettavan yleinen harhaluulo, että hankkimalla sopivan, oikean tai parhaan työkalun ongelmat ratkeavat ja riskit tai uhat taklataan. Tosiasiassa yritysten tulisi ensin tehdä jo mainittu riskiarvio. Vasta sen jälkeen voi tunnistaa tarvittavat hallintakeinot ja toteuttaa ne liiketoiminnan kannalta optimaalisessa järjestyksessä. Usein hallintakeino on toimintamallin tai prosessin määrittely ja jalkautus. Sen yhteydessä pystyy harkitsemaan teknologian eli sopivan, prosessia tukevan työkalun käyttöönottoa.

Teknologian käyttö taistelussa kyberuhkia vastaan on nykypäivänä kuitenkin ehdoton edellytys, sillä teknologian avulla voidaan torjua tehokkaasti kyberhyökkäyksiä. Työkaluja ei silti kannata hankkia vain niiden olemassaolon vuoksi. Jokaisen hankittavan työkalun tulisi lähtökohtaisesti tukea jotakin tiettyä prosessia tai toimintamallia.

Toimialasta riippumatta ehdottomasti hyödyllisiä teknologisia ratkaisuja ovat ainakin palomuuri, roskapostisuodatin, virustorjuntaohjelmisto ja tietoliikenteen salauksen mahdollistavat verkkoratkaisut. Hieman isompien sekä erityisen arkaluontoista tietoa käsittelevien yritysten kannattaa harkita esimerkiksi keskitetyn lokienhallinnan, päätelaitteiden edistyneen suojauksen, ynnä muiden vähän järeämpien työkalujen käyttöönottoa.

Nämä ovat kuitenkin vain esimerkkejä. Jokaisen yrityksen tarpeet poikkeavat muiden yritysten tarpeista, joten jokaisen yrityksen tulee itse määritellä itselleen tarpeelliset ja sopivat ratkaisut. Osaamisen puuttuessa kannattaa kääntyä kyberturvaan erikoistuneiden, teknologiariippumattomien konsultointiyritysten puoleen.

Kybervakuutuksesta turvaa?

Monissa yrityksissä pohditaan kybervakuutuksen hankkimista. Vakuutusyhtiöt ovat kuitenkin tulleet aiempaa varovaisemmaksi kybervakuutusten myöntämisessä.

Kybervakuutuksia ei yleensä myönnetä, ellei yrityksen tietoturvaan ole panostettu jo merkittävästi. Tai jos myönnetään, on kybervakuutuksen hintalappu puolestaan merkittävä. Vakuutusta harkitessa kannattaa lukea ”pienellä painettu printti” kybervakuutussopimuksista tarkasti, sillä vakuutusyhtiöt asettavat usein runsaasti rajoituksia vakuutusehtoihin pienentäen siten omaa riskiään.

Kybervakuutuksen mahdollisesta olemassaolosta ei kannata puhua julkisesti, sillä rikollisryhmät kohdistavat hyökkäyk­siään yrityksiin, joilla on kybervakuutus. Lunnaiden maksu kun sisältyy usein kybervakuutuksen piiriin. Yritysten tulee kuitenkin muistaa, että vaikka hankkisivatkin kybervakuutuksen, varsinaista riskiä ei voi koskaan ulkoistaa!