Kenen käsissä yrityksesi maine on?

By

EY Global

Multidisciplinary professional services organization

5 minute read 25 tammikuuta 2019
Samankaltaisia aiheita TMT Kyberturvallisuus Digitaalisuus

EY:n Global Information Security Survey 2019 -tutkimuksessa perehdytään TMT-yritysten mahdollisuuksiin suojata brändinsä kyberhyökkäyksiltä.

Brändin — yrityksen ja asiakkaiden välisen suhteen — rakentaminen voi kestää sukupolvia, mutta kyberhyökkäys voi tuhota sen yhdessä yössä. Uhka on valtava, mutta tekevätkö media-, viihde- ja televiestintäteollisuuden (TMT) yritykset riittävästi suojatakseen toimintansa, hallitakseen kyberriskejä ja suojatakseen asiakkaansa sekä brändinsä?

Useat TMT-yhtiöt ovat digitaalisen muutoksen suunnannäyttäjiä, joten ne ovat syystäkin myös todennäköisempiä verkkohyökkäysten kohteita, ja tietoturvaloukkausten seuraukset ovat myös vakavampia. Ota nämä huomioon:

  • Digitalisointi tekee TMT-yrityksistä ketterämpiä toimijoita, mutta samalla se myös altistaa käytännössä koko yritysten sisällön ja toiminnan kaappauksille, jotka sisältävät mm. digitaaliset oikeudet, liikesalaisuudet, puolijohdemuotoilun ja tunkeutumisen.
  • Perinteisessä teollisuudessa, kuten valmistus- ja kuljetusalalla, palveluntarjoajan vaihtamisesta voi aiheutua asiakkaalle merkittäviä siirtymiskustannuksia. Tämä ei kuitenkaan päde TMT-sektorilla, jossa tyytymätön asiakas on vain yhden klikkauksen päässä kilpailijasta.
  • Useat TMT-yritykset, ja erityisesti teknologiasektorin yritykset, nähdään digitaalisen turvallisuuden ja tuoteturvallisuuden vartijoina. Tämä asettaa korkeat vaatimukset yritysten turvallisuustoimille, ja myös seuraukset ovat kohtalokkaammat näiden toimien osoittautuessa riittämättömiksi.
  • Digitaalisessa muutoksessa TMT-yritykset kärsivät kykyjen puutteesta, kuten muutkin yritykset, ja erityisesti tietoturvaosaamiselle on kysyntää. Siksi TMT-sektorin yritykset ovat erityisen alttiita tietoturvahaitoille.

Digitaalisen muutoksen kärjessä olevat TMT-yritykset ovat myös haavoittuvampia kyberhyökkäyksille.

Brändiin kohdistuva kyberuhka

Asiakastiedot ovat edelleen kyberrikollisten suosikkikohde. Vakava kyberhyökkäys voi saada yrityksen näyttämään epäluotettavalta yhteistyökumppanilta, ja brändille aiheutuneen haitan korjaaminen voi kestää vuosia ja vaikuttaa koko yrityksen olemassaoloon.

Vain harvat TMT-yritykset voivat varmuudella sanoa havaitsevansa järjestelmiinsä kohdistuneet hyökkäykset ja pystyvänsä määrittämään mahdollisen asiakastietojen ja muiden tietojen vaarantumisen.

Asiakastiedot ovat edelleen kyberrikollisten suosikkikohde.

Vaarojen perusteella voisi luulla, että tietoturvallisuus olisi etusijalla yrityksen toiminnassa, mutta luvut kertovat jotain muuta.

Globaalit yritykset panostivat brändeihinsä miltei 600 miljardilla dollarilla 2016, mutta vain noin kymmenesosa tästä summasta käytettiin kyberturvallisuuteen. Tutkimuksemme mukaan TMT-sektori ei ole mikään poikkeus.

TMT-alan johtajien mukaan yritysten panostus on alle puolet riittävän turvallisuuden varmistamiseen tarvittavasta summasta, ja tällä on seurauksia yritysten maineelle ja asiakkaille.

Valitettavan hyvä esimerkki tästä on vähäinen työntekijöiden tietoisuuden lisääminen ja koulutus. Pyysimme TMT-johtajia arvioimaan yritystensä kyberuhkia ja määrittämään todennäköisimmät uhat. Molemmissa tapauksissa vastaukset liittyivät työntekijöiden toimintaan.

Tutkimukseen osallistuneet TMT-yritykset pitivät työntekijöitä myös suurimpana uhkana joko turvallisuustietoisuuden puuttumisen tai vihamielisen toiminnan vuoksi.

Useat TMT-yritykset tunnistavat työntekijöihin liittyvät vaarat, mutta työntekijöiden aiheuttamiin kyberriskeihin liittyvään koulutukseen ja valvontaan panostetaan siitä huolimatta yllättävän vähän.

TMT-yritykset priorisoivat erityisesti Internet of Things:in (IoT) turvallisuuden. IoT:stä on paljon hyötyä TMT-yrityksille, ja sen avulla voidaan digitalisoida vaikkapa yrityksen koko verkosto tai hyödyntää robottiautomaatiota koko puolijohdelaboratoriossa, mutta tähän voi liittyä myös suuria kyberriskejä.

Yrityksen kannalta kriittisen toiminnan siirtäminen IoT-alustalle voi lisätä haavoittuvuutta (esim. useampia hyökkäyksenvälittäjiä), ja tietoturvaloukkauksilla voi olla vakavammat seuraukset (esim. tuotantojärjestelmien kiristysohjelmat).

Neljä keinoa estää verkkohyökkäykset

Globaalin käsityksen mukaan verkkohyökkäykset eivät pelkästään jatku, vaan hyökkäysten määrä kasvaa nopeasti, ja ne ovat myös entistä monimutkaisempia: hyökkäykset kohdistuvat dataan, pilvipalvelujen tarjoajiin, automaatioon ja IoT-tuotteisiin. Yritysten on hyväksyttävä, että brändi on yrityksen tärkeää omaisuutta, joka on suojattava mahdollisimman tehokkaasti muun muassa seuraavilla keinoilla:

1. Brändin ja siihen liittyvän omaisuuden suojaaminen on priorisoitava

Käsitys, jonka mukaan kaikkea omaisuutta ei voi suojata, saa yhä enemmän jalansijaa kyberturvallisuudessa. Se puolestaan tarkoittaa, että yritysten on priorisoitava tietyt omaisuusluokat paremmin, ja suojattava ne tehokkaammin.

2. TMT-yritysten tulisi priorisoida brändiin liittyvän omaisuuden suojaaminen

Tietojen ostamiseen, salasanoihin, transaktiotietoihin, henkilötietoihin ja muihin asiakastietoihin liittyviä erottelutoimenpiteitä on käytettävä. Juuri nämä tiedot ovat todennäköisimpiä sellaisten verkkohyökkäysten ja tietoturvaloukkausten kohteita, jotka voivat aiheuttaa yrityksille myös eniten haittaa.

Siksi ne on priorisoitava. Lisäksi IoT-tuotteita rakentavien ja myyvien yritysten tulisi hallita koko IoT-ekosysteemin kyberturvallisuusriskit kehityksestä, tuotantoon ja ennen kaikkea aktiiviseen ylläpitoon.

3. Kyberturvallisuuteen liittyvän työntekijäkulttuurin rakentaminen

Useat IT-asiantuntijoiden hallinnoimat kyberturvallisuusohjelmat keskittyvät äärimmäisen teknisiin ratkaisuihin kyberhyökkäyksiltä suojautumiseksi. Yritysten on tiedostettava, että hyökkääjät voivat olla myös heidän omia työntekijöitään, ja pahantahtoisen toiminnan havaitseminen verkon sisällä on aivan yhtä tärkeää.

Kyberturvallisuuteen liittyvä koulutus, valvonta ja vastuullisuus — eli työntekijöihin liittyvä valppautta painottava kyberturvallisuus — ovat kriittisessä roolissa kyberhyökkäyksiltä puolustauduttaessa.

4. Luo ennakoivasti brändinelvytysohjelma mahdollisen verkkohyökkäyksen toteutumisen varalle

Useat kyberturvallisuuden asiantuntijat ovat tietoisia siitä, että heidän yrityksiinsä tulee jossain vaiheessa kohdistumaan tietoturvahyökkäys. Tällaisiin hyökkäyksiin reagoiminen on aivan yhtä tärkeää kuin niiltä suojautuminen.

Yrityksillä tulisi olla proaktiivinen kriisivalmius- ja elvytyssuunnitelma tällaisten hyökkäysten varalta, joka sisältää viestintäsuunnitelman, kriisivalmiuden, rikosteknisen tutkintakapasiteetin sekä johtamiseen ja tekniseen palauttamiseen liittyvät toimenpiteet, jotka auttavat minimoimaan haitat, mahdollistavat lakien noudattamisen ja asiakkaiden luottamuksen palauttamisen.

Global Information Security Survey 2019 -tutkimus

Tuorein Global Information Security Survey -tutkimuksemme kertoo monien organisaatioiden edelleen lisäävän kyberturvallisuuskulujaan.

Lue lisää (EN)

Yhteenveto

EY:n TMT Global Information Security Survey 2019 -tutkimuksessa tarkastellaan tekevätkö teknologia-, media- ja viihdeteollisuuden yritykset riittäviä toimia suojatakseen toimintansa, hallinnoidakseen kyberriskejä ja varmistaakseen asiakkaidensa ja brändiensä turvallisuuden.

Tästä artikkelista

By

EY Global

Multidisciplinary professional services organization