Yli puolet pohjoismaisista yrityksistä on kasvattanut kyberturvallisuusbudjettiaan vähintään 15 % kuluneen vuoden aikana – ja syystä. EY:n tuoreen tutkimuksen mukaan valtaosa (65 %) yrityksistä arvioi, että niille on viime vuonna aiheutunut kustannuksia tietovuotojen seurauksena. Kansainvälisesti vastaava osuus on 42 %. Tyypillisimmin kokonaisvahinkojen uskotaan jäävän alle 100 000 euron, mutta osa vastaajista kertoo jopa miljoonakustannuksista. Tarkkoja laskelmia tietoturvapoikkeamien kustannusvaikutuksista tekee kuitenkin vain murto-osa.
EY:n vuosittainen laaja tietoturvallisuustutkimus Global Information Security Survey (GISS) toteutettiin tänä vuonna 21. kerran ja tutkimukseen osallistui lähes 1400 yritysjohtajaa 59 maasta ympäri maailman. Tutkimuksessa selvitettiin maailman suurimpien yritysten näkemyksiä tieto- ja kyberturvallisuuden hallintaan liittyen.
Vaikka 68 % vastaajista arvioi yrityksensä olleen jo kyberhyökkäyksen kohteena, vain puolet uskoo, että hyökkäys pystyttäisiin havaitsemaan. Tulos on linjassa EY:n kyberturvallisuustiimin havaintojen kanssa: kyvykkyydet tietoturvan valvontaan ovat usein vielä puutteellisia. Kuvaavaa onkin, että pohjoismaisista tutkimukseen osallistuneista yrityksistä ainoastaan puolella on tietoturvan valvontaan keskittyvä toiminto.
Tietovuotojen tyypillisiä syitä niin Pohjoismaissa kuin kansainvälisestikin ovat erilaiset haittaohjelmat ja tietojen kalastelu. Pohjolassa kuitenkin tärkeimmäksi yksittäiseksi syyksi nousevat puutteellisesti konfiguroidut tietojärjestelmät. Puutteelliset konfiguraatiot, kuten heikot salasana-asetukset ja kovennusten puute, johtavat täällä vuotoihin lähes kolme kertaa useammin kuin maailmalla.
”Tietovuodoista aiheutuu kustannuksia esimerkiksi vuodon syyn ja laajuuden selvittämisen yhteydessä. Toisaalta rahaa palaa menetettyjen liiketoimintamahdollisuuksien ja imagohaittojen myötä. Tämä osoittaa, etteivät yritykset vieläkään pidä kyberturvallisuutta kilpailutekijänä, saati näytä sisäistäneen sen arvoa maineenhallinnassa”, summaa Suomen EY:n kyberturvallisuuspalveluista vastaava Timo Valonen.
Pohjoismaissa ja muualla Euroopassa kustannuksia aiheutuu myös tiukan sääntelyn myötä: GDPR:n takia on alettu varautua hallinnollisten sakkojen uhkaan, mikä näkyy esimerkiksi panostuksina yritysten viestintä- ja tiedotuskyvykkyyksiin.
Haasteena henkilöstön puute sekä budjettikysymykset
Pohjoismaisista tutkimukseen osallistuneista yrityksistä vain 2 prosenttia katsoo organisaationsa kyberturvallisuuden olevan täysin tarpeitaan vastaavalla tasolla. Asia on tiedostettu ja 60 % yrityksistä aikookin panostaa tietoturvansa kehittämiseen lähitulevaisuudessa. Täysin ongelmatonta ei sekään ole. Suurimpina haasteina nähdään etenkin osaavan henkilöstön puute (31 % vastaajista) sekä käytettävissä olevan budjetin rajallisuus (24 %).
”Osaavan henkilöstön puute ja budjettien rajallisuus lisäävät yritysten haavoittuvuutta, mikä puolestaan konkretisoituu erilaisina uhkatekijöinä”, toteaa Valonen.
Uhkatekijöistä erityisesti tietojen kalastelu (31 %) ja erilaiset petokset (16 %) huolestuttavat pohjoismaisia yrityksiä. Muita suurimpia uhkatekijöitä olivat erilaiset haittaohjelmat sekä kyberhyökkäykset, jotka tähtäävät joko taloudellisten tietojen, kuten luottokorttitietojen, anastamiseen tai yrityksen toiminnan häiritsemiseen.
Suurimmat haavoittuvuudet puolestaan liittyivät aiempien vuosien tapaan huolimattomiin tai piittaamattomiin työntekijöihin (34 %), vanhentuneisiin tietoturvakontrolleihin (33 %), tietojen luvattomaan käyttöön (12 %) ja pilvipalveluihin (11 %). Vaikka pilvipalveluita ei nähty suurimpana uhkatekijänä, kuluneen vuoden aikana niiden turvallisuuteen panostettiin Pohjoismaissa huomattavasti muuta maailmaa enemmän.
Kyberturvallisuuteen liittyvä raportointi selkeä kehityskohde
Tutkimuksen perusteella selkeä haaste yrityksille niin Pohjoismaissa kuin muuallakin maailmassa on tietoturvakyvykkyyksiin ja -uhkiin liittyvä raportointi. Pohjoismaisista yritysjohtajista lähes puolet kertoo raportoinnin olevan puutteellista tai puuttuvan kokonaan. Esimerkiksi vain 23 % vastaajien raporteista kertoo tietoturvaloukkausten lukumäärät ja sitäkin harvempi, vain 4 %, arvioi merkittävien tietovuotojen taloudellista vaikutusta.
"Yritysten tulisi panostaa tietoturvapoikkeamien taloudellisten vaikutusten arviointiin nykyistä enemmän. Tietoturvallisuuden lisäresurssien tarvetta on vaikea perustella, mikäli poikkeamien hintalappu ei ole useammin tiedossa”, Valonen pohtii.
Tietoturva-asioista myös viestitään usein liian myöhään. Suurin osa yrityksistä viestii tietovuodoista ja muista tietoturvapoikkeamista ulkoisille sidosryhmilleen keskimäärin kuukauden kuluessa tapahtuman selvityksen aloittamisesta ja huolestuttavan iso joukko yrityksiä, Pohjoismaissakin lähes viidesosa, ei viestisi lainkaan.
Global Information Security Survey 2018-2019:
EY:n vuosittainen, nyt 21. kertaa toteutettu kyberturvallisuustutkimus on teemaltaan ”Is Cybersecurity About more than Protection?”. Tutkimukseen osallistui maailmanlaajuisesti lähes 1400 yritysjohtajaa ja päättäjää 59 maasta. Pohjoismaista tutkimuksessa oli mukana 58 yritystä.
