Lehdistötiedote

EY:n tutkimus: Yritykset osaavat entistä paremmin ennustaa ja torjua kyberhyökkäyksiä

Hyökkäyksistä toipuminen silti vaikeaa

  • Jaa

19.12.2016 Globaalisti toimivat yritykset ovat entistä vakuuttuneempia siitä, että ne pystyvät ennustamaan ja torjumaan kehittyneitä kyberhyökkäyksiä. Ongelmia sen sijaan aiheuttaa hyökkäyksistä toipuminen, jonka vaatimiin toimenpiteisiin ei ole investoitu tarpeeksi tai jota varten ei ole tehty suunnitelmia. Tämä haastaa organisaatiot hetkellä, jolloin uhkakuvien määrä on lisääntynyt huomattavasti liike¬toiminnan digitalisoitumisesta, laitteiden verkottumisesta (Internet of Things) ja kyber¬rikollisuuden ammatti¬maistumisesta johtuen. Tiedot käyvät ilmi EY:n vuosittaisesta Global Information Security Survey -tutkimuksesta, Path to cyber resilience: Sense, resist, react.

Nyt 19. kerran toteutettuun tutkimukseen vastasi 1 735 yritystä maailmanlaajuisesti, näistä suomalaisia top 100 -yrityksiä oli 41. Tavoitteena oli selvittää, millaisia kyberuhkia yritykset kohtaavat liiketoimin¬nassaan. Tutkimuksen mukaan 50 prosenttia globaaleista vastaajista pystyy tunnistamaan kehittyneen kyberhyökkäyksen. Syynä itsevarmuuteen on se, että yritykset ovat investoineet kyberhyökkäyksiä tunnistaviin teknologioihin. Niiden avulla yritys voi paremmin ennustaa millainen hyökkäys on kyseessä, rakentaa valvontamekanismeja, perustaa tietoturvan valvontakeskuksen (Security Operations Center, SOC) sekä ottaa käyttöön aktiivisemmat suojautumiskeinot.

Investoinneista huolimatta 86 prosenttia vastaajista kertoo, että yrityksen kyberturvallisuuden hallinta ei edelleenkään täysin vastaa liiketoiminnan tarpeisiin. Melkein kahdella kolmasosalla (64%) vastaajaorganisaatioista ei ole virallista kyberuhkien tiedusteluohjelmaa (threat intelligence program) tai käytössä on vain epävirallinen ohjelma. Yli puolella (55%) vastaajista ei myöskään ole toimintatapoja haavoittuvuuksien tunnistamista varten tai heillä on käytössään vain epävirallisia toimintatapoja. Ja 44 prosenttia vastaajista kertoi, ettei heillä ole tietoturvan valvontakeskusta, joka seuraisi kyberhyökkäyksiä jatkuvasti.

Kysyttäessä viimeaikaisista kyberhyökkäyksistä yli puolet (57%) vastaajista kertoi organisaatioonsa kohdistuneesta merkittävästä tietoturvahäiriöstä. Melkein puolet (48%) mainitsi vanhentuneet  tietoturvakontrollit tai tietoturva-arkkitehtuurin yrityksensä merkittävimpänä haavoittuvuutena – vuoden 2015 tutkimuksessa vastaava luku oli 34 prosenttia. Tämän lisäksi vastaajat ilmoittivat, että kaikki heidän yritystensä keskeisimmät kyberuhat – haittaohjelmat, tietojen kalastelu, taloudellisen tiedon, tuotetiedon tai datan varastaminen ¬- ovat merkittävästi lisääntyneet.

Top Cybersecurity Threats

EY Global Information Security Survey 2016 - Top Cybersecurity Threats

“Yritykset ovat entistä valmiimpia vastamaan kyberhyökkäyksiin, mutta samaan aikaan hyökkääjät kehittävät vauhdilla uusia uhkia. Siksi yritysten tulee olla entistä valppaampia estääkseen hyökkäykset. Niiden pitää tarkastella ja suunnitella tietoturvallisuutta nykyistä laajemmin ja muodostaa koko organisaation laajuinen toimintamalli uhkien varalle. Kyberhyökkäyksen tapahtuessa yrityksillä tulee olla käytössään toimintasuunnitelma sekä valmius korjata mahdolliset vahingot nopeasti ja tehokkaasti voidakseen jatkaa toimintaansa mahdollisimman vähäisin häiriöin ja menetyksin. Mikäli tähän ei pystytä, vaikutukset ja riskit saattavat nousta liian korkeiksi myös asiakkaille, työntekijöille, toimittajille ja koko yrityksen tulevaisuudelle”, sanoo EY:n IT-riskienhallinta- ja kyberturvallisuuspalveluista vastaava johtaja Antti Herrala.

Liiketoiminnan jatkuvuus ja kyberhyökkäyksistä toipuminen ovat keskeisessä roolissa yritysten reagoidessa kyberhyökkäyksiin. Vastaajista 57 prosenttia arvioi ne sekä tietovuotojen ehkäisemisen tärkeimmiksi prioriteeteikseen. Vaikka 42 prosenttia vastaajista suunnittelee investoi¬vansa enemmän tietovuotojen ehkäisyyn, vain 39 prosenttia aikoo investoida enemmän liiketoiminnan jatkuvuuden kehittämiseen ja kyberhyökkäyksistä toipumiseen.

Tutut haavoittuvuudet ja esteet

Tämän vuoden tutkimus osoittaa, että tutut kyberuhat huolettavat vastaajia yhä enenevässä määrin: henkilöstön huolimattomuudesta ja tietämättömyydestä aiheutuvat riskit (2016: 55% vs. 2015; 44%); sekä luvaton pääsy dataan (2016; 54% vs. 2015; 32%). Myös tehokasta tieto¬turvallisuuden hallintaa haittaavat esteet ovat samat kuin viime vuoden tutkimuksessa:
-Budjettirajoitteet (2016; 61% vs. 2015; 62%)
- Puutteet osaamisessa (2016: 56% vs. 2015; 57%)
- Johdon ymmärryksen ja tuen puute (2016 ja 2015; 32%)

Digitaalinen ekosysteemi ja verkottuneet laitteet tuovat haasteita

Liiketoiminnan jatkuvasta verkottumisesta huolimatta globaaleista vastaajista 62 prosenttia ja Suomessa jopa 74% kertoi, että tapahtunut kyberhyökkäys ei johda tietoturvan lisäinvestointeihin, jos sillä ei ole ollut vaikutusta organisaation toimintaan. Yli puolet (58%) vastaajista kertoi, että lisäinvestointeja ei myöskään tehtäisi, mikäli kyberhyökkäys kohdistuisi kilpailijaan. Vastaava luku tavarantoimittajaan kohdistuvan hyökkäyksen kohdalla oli tutkimuksen mukaan 68 prosenttia. Vastaajista 48 prosenttia ei myöskään ilmoittaisi kyberhyökkäyksestä asiakkaille, vaikka se uhkaisi heidän tietoturvaansa ja vaikuttaisi heidän toimintaansa ensimmäisen viikon aikana. 42 prosentilla vastaajista ei ole viestintästrategiaa tai -suunnitelmaa merkittävän kyberhyökkäyksen varalle.

”Ylimmän johdon pitää arvioida uudelleen lähestymistapaansa kyberturvallisuutta kohtaan, sillä kyberrikolliset testaavat usein yrityksen turvallisuustasoa ja kykyjä ennen varsinaista laajamittaista hyökkäystä. Siksi myös ne hyökkäykset, joilla ei näytä olevan seurauksia, tulee ottaa vakavasti. Lisäksi kilpailijoihin, toimittajiin ja alihankkijoihin kohdistuneet kyberhyökkäykset tulee huomioida ja arvioida oman yrityksen turvallisuuden kannalta, koska kyberrikolliset kohdistavat hyökkäykset usein saman toimialan yrityksiin”, toteaa Antti Herrala.

Yritysten haasteena on myös jatkuvasti kasvava laitteiden määrä niiden digitaalisessa ekosysteemissä. Vastaajista 73 prosenttia on huolissaan mobiililaitteiden, kuten kannettavien tietokoneiden, tablettien ja älypuhelinten, käyttöön liittyvästä huolimattomuudesta ja tietämättömyydestä. Puolet (50%) vastaajista nimesi merkittävimmäksi uhaksi älylaitteen häviämisen, koska siitä seuraa sekä tietojen että identiteetin menettäminen.

”On huolestuttavaa, että liian monen yrityksen johdolla ei ole edelleenkään kattavaa ymmärrystä ja kuvaa yrityksensä kyberturvallisuuden hallinnoinnin tilasta ja että vain pienellä osalla yrityksistä kyber¬turvallisuuden raportointiin liittyvät mallit täyttävät johtoryhmän ja hallituksen vaatimukset. Kyberturva¬tietoisuuden heikko taso yritysjohdossa on johtanut siihen, että yrityksillä on harvoin olemassa pidem¬män aikajakson suunnitelmaa kyberturvallisuuden kehittämiseksi. Pitkän aikavälin kehityssuunnitelma on kuitenkin avainasemassa, jotta yritys pystyy nostamaan kyber-turvallisuutensa tasoa siten, että se vastaa sen sisäisessä ja ulkoisessa toimintaympäristössä tapahtuneisiin muutoksiin ja liiketoiminnan tarpeisiin”, pohtii Antti Herrala.

Tutkimus on ladattavissa tästä linkistä: Path to cyber resilience: Sense, resist, react.

Lisätietoja:
Antti Herrala, johtaja, IT-riskienhallinta- ja kyberturvallisuuspalvelut, EY, puh. 040 7688 397, antti.herrala@fi.ey.com

Keskeisiä tutkimustuloksia toimialoittain:

EY Global Information Security Survey 2016 - Keskeisiä tutkimustuloksia toimialoittain