Helsinki, 15.08.2016

IT-palveluyhtiö CGI:n tutkimuksen mukaan suomalaiset johtajat ja asiantuntijat pitävät todennäköisenä, että heidän edustamansa yritys tai julkishallinnon organisaatio joutuu kyberhyökkäyksen kohteeksi vuoden sisällä. Kuitenkin varautuminen kyberuhkiin on jäänyt puutteelliseksi. Erityisen huolestuttavaa on tilanne suomalaisen yhteiskunnan toiminnalle kriittisten toimialojen osalta.

”Suomessa on vihdoin herätty kyberriskien vakavuuteen myös johtajien tasolla. Vielä ollaan kuitenkin niin sanotulla awareness-tasolla. Jotain tarttis tehdä, mutta harva silti tekee riittävästi”, kiteyttää CGI:n kyberturvallisuusjohtaja Jan Mickos nykytilanteen.

Tutkimukseen vastanneista 89 % arvioi kyberhyökkäyksen, tietomurron tai -vuodon vaikutukset haitallisiksi tai erittäin haitallisiksi. 86 % kokee kyberriskien kasvaneen viimeisen vuoden aikana ja lähes yhtä moni (81 %) arvioi myös kyberuhkiin varautumisen tarpeen kasvaneen.

Kyberhyökkäykset yleistyvät

Vastaajista 15 % kertoo oman organisaationsa olleen tietomurron- tai vuodon kohteena viimeisen kahden vuoden aikana. Kaksi kolmesta (63 %) pitää todennäköisenä, että heidän edustamansa organisaatio on ollut kyberhyökkäyksen kohteena kenenkään siitä tietämättä. Oman organisaation joutumista kyberhyökkäyksen kohteeksi seuraavan vuoden aikana pitää todennäköisenä 74 % vastaajista.

Korkeaa uhkatietoisuutta vasten tarkasteltuna on huomiota herättävää, että vain puolet (50 %) kertoo kyberturvallisuudesta huolehtimisen olevan tietoturvaan erikoistuneen tahon käsissä ja vain 29 % kertoo organisaatiolla olevan kyberturvallisuusstrategian.

”Tulokset kyberturva-asioiden organisoinnista ja strategioiden puuttumisesta viestivät riittämättömästä varautumisesta. Ne ovat indikaatioita riskien ymmärtämisen, tunnistamisen ja hoitamisen mallien puutteellisuudesta”, analysoi Mickos peilaamalla tuloksia kokemuksiinsa suomalaisista organisaatioista.

Epärealistiset arviot omasta havainnointikyvystä yleisiä

Kuitenkin selkeä enemmistö vastaajista (69 %) uskoo organisaationsa kykyyn tunnistaa kyberhyökkäykset. Jopa erityisen hankalasti tunnistettavien edistyneiden hyökkäysten (Advanced Persistent Threat, APT) tunnistamiskykyynsä luotti jopa 40 % vastaajista. Edistyneille hyökkäyksille on kansainvälisten tutkimusten mukaan tyypillistä, että ne ehtivät jatkua useita satoja päiviä ennen paljastumistaan ja lähes aina (94 % tapauksista*) tieto niistä saadaan organisaation ulkopuolisilta tahoilta.

Suurin ristiriita kansainvälisiin tutkimuksiin onkin siinä, että Suomessa tietomurron- tai vuodon kohteeksi joutuneista peräti 74 % arvioi murron tai vuodon havaitsemisen tapahtuneen puolen vuoden sisällä niiden alkamisesta. Koska suurimmalla osalla suomalaisista organisaatioista resurssit erityisesti edistyneiden hyökkäysten havaitsemiseen ovat puutteelliset, indikoi tulos sitä, että organisaatioiden IT-ympäristöissä on todennäköisesti paljon tunnistamatonta ulkopuolista liikennettä ja tapahtumavirtaa.

”Suomalaisten luottamus omaan kyberkyvykkyyteen on epärealistisen korkea. Lähes jokainen luulee kuuluvansa siihen 6 %:n joukkoon, joka kykenee tunnistamaan hyökkäyksen itse. Tässä on sama dilemma kuin siinä, että enemmistö autoilijoista kokee olevansa keskimääräistä parempia kuljettajia”, havainnollistaa Mickos.

Investoinnit turvallisuuteen laahaa jäljessä

Epäsuhta riskitietoisuuden ja varautumisen välillä näkyy myös investointeja koskevissa vastauksissa. Varautumistarpeen toteamisesta huolimatta vain reilu kolmannes (37 %) aikoo tehdä jotain investointeja ja vain pieni joukko (13 %) merkittäviä investointeja turvallisuuden parantamiseen.

”Erityisen huolissani olen yhteiskunnallisesti kriittisten toimialojen, kuten terveydenhuollon sekä energia- ja vesihuollon tilanteesta. Kyse on julkisista tai julkisomisteisista monitoimittajaympäristöistä, joissa tapahtuvat vahingot säteilevät laajalle. Siksi etenkin näillä aloilla kyberturvallisuuden johtaminen pitäisi olla hyvin organisoitua ja johdettua”, sanoo Mickos.

Lähes puolella kyberhyökkäys tarkoittaisi liiketoiminnan keskeytymistä

Todennäköisimmiksi kyberhyökkäysten aiheuttamiksi vahingoiksi vastaajat nimesivät henkilöstö- tai asiakastietojen varastamisen (77 %), aineettoman omaisuuden menettämisen (55 %), tuoton menettämisen (42 %), liiketoiminnan keskeytymisen (40 %) ja vahingonkorvausvastuun laukeamisen (34 %). Myös rikosoikeudellinen vastuu (25 %), kansallisen turvallisuuden vaarantuminen (24 %) ja markkinaosuuden menetys (18 %) koettiin melko mahdollisiksi vahinkotyypeiksi.

”Kyberriskeistä on kasvanut kaiken toiminnan uusi normaali, toimialasta riippumatta. Tämä on digitalisoitumisen varjopuoli, joka on vain hyväksyttävä yhtenä investointikohteena siinä missä vakuutuksetkin. Toistuvat, uutiskynnykset ylittäneet esimerkit niin Suomesta kuin maailmalta ovat osoittaneet, että kyse ei ole vain foliohattujen peloista vaan merkittävistä liiketoimintariskeistä, joiden realisoituminen tarkoittaa usein miljoonavahinkoja ja ylimmän johdon vaihtorulettia”, Mickos muistuttaa.

Mickosin mukaan nykypäivänä kyse on jatkuvasta kilpajuoksusta, jossa ei enää riitä pelkkä tekninen varustautuminen. Koska kaikki on murrettavissa, kyse on siitä, kuinka hyvin vahinkoihin varaudutaan paitsi ennaltaehkäisyn myös nopean palautumisen kannalta.

”Suomessa luottamus teknisiin laitteisiin on perinteisesti ollut vahvaa. Mutta enemmän pitää kiinnittää huomiota siihen, miten vahinkojen laajuus minimoidaan. Tässä keskeistä on kyky havaita hyökkäykset ja palauttaa toimintakyky normaaliksi nopeasti. Ja se ei onnistu ilman riittäviä asiantuntijaresursseja, olivatpa ne omaa väkeä tai palveluna ostettuja”, vetää Mickos yhteen trendimuutoksen.

Tutkimuksen taustalla halu saada tilannekuva Suomesta

Pontimena tutkimuksen tekemiseen oli halu selvittää Suomessa toimivien yritysten ja julkisten organisaatioiden kyberturvan tilaa ja kokemuksia. Toistaiseksi valtaosa aihepiirin tutkimuksesta on ollut voittopuolisesti ulkomaista ja etenkin Pohjois-Amerikasta.

CGI:n tutkimukseen osallistui 200 vastaajaa, joista johdon edustajia oli 49 % ja asiantuntijoita 36 %. Vastaajista 38 % työskenteli IT-tehtävissä, 33 % liiketoimintatehtävissä ja 14 % tietoturvatehtävissä. Parhaiten edustettuina olivat yleinen julkishallinto (28 % vastaajista), pankki- ja vakuutusalaa (16 %), kaupan, palvelujen ja kuljetusten toimiala (15 %), teollisuus (13,5 %), terveyden ja hyvinvoinnin toimiala (7 %) sekä energia- ja vesitoimiala (5,5 %). Tutkimus toteutettiin verkkokyselynä viime marraskuun ja maaliskuun välisenä aikana.

 

Lisätietoa

Tietoturvan ja kyberturvallisuuden palvelut

Jan Mickos
kyberturvallisuusjohtaja, CGI
+358 40 847 8740
jan.mickos@cgi.com

Media
Esa Luoto
viestintäpäällikkö, CGI
+358 50 380 5601
esa.luoto@cgi.com

 

Vuonna 1976 perustettu CGI on maailman 5. ja Suomen 2. suurin riippumaton ICT-palveluja tarjoava yritys. Yhtiön 65 000 asiantuntijaa palvelevat tuhansia asiakkaita maailmanlaajuisesti. Suomessa CGI työllistää yli 3 200 henkilöä 17 paikkakunnalla. CGI konsultoi asiakkaitaan liiketoiminnan ja ICT-ratkaisujen kehittämisessä, integroi ja kehittää tietojärjestelmiä kattaen mm. 150 omaa IP-tuotetta sekä on asiakkaidensa ulkoistuskumppani. CGI:n liikevaihto on yli 10 Mrd. C$, ja yritys on listattu Toronton sekä New Yorkin pörsseissä (TSX:GIB.A ja NYSE:GIB). Lisätietoa: www.cgi.com ja www.cgi.com/fi.

 

*Lähde: Center for a New American Security