Yrityksiin kohdistuvat. kyberuhat 2016

Transkriptio

1 Yrityksiin kohdistuvat kyberuhat 2016 Helsinki

2 HELSINGIN SEUDUN KAUPPAKAMARI YRITYKSIIN KOHDISTUVAT KYBERUHAT 2016 Joulukuu 2016 Helsingin seudun kauppakamari Kalevankatu 12, 0010 Helsinki

3 2 SAATTEEKSI Selvitys on osa Helsingin seudun kauppakamarin ja ELY-keskuksen rahoittamaa DigiCyber -hanketta. Yli seitsemän ja puolensadan suomalaisyrityksen johto on antanut luottamuksellisesti tähän selvitykseen arvokkaita tietoja ja näkemyksiä yrityksiin kohdistuviin kyberuhkiin liittyvistä asioista. Olemme kiitollisia yritysjohdon merkittävästä panoksesta ja siitä luottamuksesta, jota he ovat osoittaneet kauppakamarille antamalla tietoa. Tämä Helsingin seudun kauppakamarin Yrityksiin kohdistuvat kyberuhat selvitys painottuu yritysten tietoverkkoon kohdistuviin tunkeutumisiin ja niihin varautumiseen. Selvitykseen on lisätty joitain uusia kysymyksiä ja vaihtoehtoja. Ne ovat tulleet DigiCyber -hankkeen ohjausryhmän jäseniltä, jotka ovat Elisa Oyj, F-Secure Oyj Kesko Oyj ja Nixu Oyj. Elisa Oyj on antanut arvokasta apua selvityksen toteutusvaiheessa ja julkistamisessa. Yritykset tarvitsevat tietoa ja opastusta aiheesta kyetäkseen varautumaan siihen. Helsingin seudun kauppakamari pitää tärkeänä synnyttää ja ylläpitää keskustelua yritysten kybertietoisuuden parantamiseksi. Helsingissä Helsingin seudun kauppakamari

4 3 SISÄLLYS 1 JOHDANTO KYBERTURVALLISUUDESTA SELVITYKSEN TULOKSIA: YRITYKSIIN KOHDISTUVAT UHAT JA VARAUTUMISEN ESTEET... 7 KYSYMYS 1. Mitkä seuraavista vaihtoehdoista ovat suurimmat kyberturvallisuuden uhat suomalaisille yrityksille?... 8 KYSYMYS 2. Mitkä ovat kolme suurinta estettä tehokkaan kyberturvallisuuden toteuttamisessa? TIETOA KYBERTURVALLISUUDESTA OSA SELVITYKSEN TULOKSIA: YRITYKSIIN KOHDISTUVAT TUNKEUTUMISET 20 KYSYMYS 3. Mitkä seuraavista vaihtoehdoista ovat raskaimmat seuraukset kyberhyökkäyksistä? KYSYMYS 4. Miten organisaationne havaitsisi yrityksenne tietoverkossa käynnissä olevan tunkeutumisen? KYSYMYS 5. Minkälaista tietoa luulette tunkeutujien etsivän? KYSYMYS 6. Minkä tyyppistä tietoa olette menettäneet tietoverkkotunkeutumisten vuoksi? KYSYMYS 7. Tietääkö henkilökuntanne miten toimia, jos he epäilevät tunkeutumista tietojärjestelmiinne? KYSYMYS 8. Organisaation tietoverkon tai -järjestelmän luvaton/rikollinen käyttö? KYSYMYS 9. Havaitsisiko organisaatio tietoverkon tai -järjestelmän luvattoman/rikollisen käytön? TIETOA KYBERTURVALLISUUDESTA OSA SELVITYKSEN TULOKSIA: VIRANOMAISTEN ROOLI JA TIEDON SAATAVUUS Viranomaisten toiminnan merkitys yrityksille KYSYMYS 10. Miten hyvin tunnette suomalaisten viranomaisten roolia ja toimintaa kyberuhkiin liittyen? KYSYMYS 11. Oletteko saaneet jostakin käytännöllistä tietoa kyberuhkiin liittyen? KYSYMYS 12 Helpottaisiko tiedonsaantianne kyberturvallisuusasioista, jos Kyberturvallisuuskeskuksella olisi oma internetsivut? KYSYMYS 13 Viranomaisten resurssien riittävyys yrityssalaisuuksien tutkinnassa? KYSYMYS 14 Pitäisikö yrityssalaisuusrikoksista annettavien rangaistusten olla ankarampia? KYSYMYS 15 Miten hyvin tunnette EU:n tietosuoja-asetuksen? TIETOA KYBERTURVALLISUUDESTA OSA SELVITYKSEN TULOKSIA: VARAUTUMINEN VASTUUT, SUUNNITELMAT JA HARJOITUKSET KYSYMYS 16. Miten organisaationne on järjestänyt tietoturvallisuusvastuut johtotasolla? KYSYMYS 17. Kenelle tietoturvavastuullinen henkilö raportoi organisaatiossa KYSYMYS 18. Onko teillä käytössä käytännössä toimivia suunnitelmia tunkeutumisten varalle? KYSYMYS 19. Mitä asioita suunnitelmiin on sisällytetty?... 61

5 4 KYSYMYS 20. Oletteko koskaan harjoitelleet suunnitelmienne toimivuutta jollakin seuraavista tavoista? KYSYMYS 21. Onko teillä vahvistettua koulutus- ja harjoitusohjelmaa kyberturvallisuuteen liittyen? KYSYMYS 22. Ovatko kyberuhkiin liittyvät harjoitukset osa muihin liiketoimintaa uhkaaviin uhkiin liittyvää harjoittelua? KYSYMYS 23. Oletteko varautuneet kyberuhkiin seuraavin tavoin konkreettisesti tai suunnitelmilla? TIETOA KYBERTURVALLISUUDESTA OSA JOHTOPÄÄTÖKSET LÄHTEITÄ JA LISÄTIETOA LIITE: SELVITYKSEN KYSYMYSLUETTELO... 77

6 5 1 JOHDANTO Selvityksessä tutkitaan suomalaisten yritysten käsityksiä niihin kohdistuvista kyberuhista ja niihin varautumisesta. Selvitys perustuu 754 suomalaisen yrityksen antamiin vastauksiin. Taloustutkimus toteutti kyselyn Helsingin seudun kauppakamarin toimeksiannosta. Yritykset vastasivat kyselyyn yhden viikon aikana lokakuussa Tulokset on esitetty taulukkoina, joista yksittäisen vastaajan mielipide ei käy ilmi. Selvityksen ovat laatineet projektipäällikkö Panu Vesterinen Helsingin seudun kauppakamarista ja Chris Fogle CyVantage Llc:stä. Uusia kysymyksiä ja vastausvaihtoehtoja ehdottivat hankkeen ohjausryhmän jäsenet Elisa Oyj, F-Secure Oyj, Kesko Oyj ja Nixu Oyj. Kyselyyn vastanneista 754 yrityksestä 50 prosenttia edustaa palveluita, 25 prosenttia teollisuutta ja 16 prosenttia kauppaa. Rakennusalan yrityksistä on vastaajista 10 prosenttia. Kolme neljäsosaa (74 %) vastanneista yrityksistä on henkilömäärältään pieniä yrityksiä, jotka työllistävät alle 50 henkilöä. Kahdeksasosa (13 %) vastaajista on keskisuuria yrityksiä, joiden palveluksessa on työntekijää. Suuria yrityksiä, jotka työllistävät yli 200 henkilöä, oli noin kymmenesosa (12 %) vastaajista. Useimmat vastaajat olivat yritysten toimitusjohtajia (38 %), yrittäjiä tai omistajia (34 %) tai muita johtajia (11 %). Asiantuntijatehtävissä olevia vastaajia oli kuusi prosenttia. Päällikkötason tehtävissä vastaajista oli yksitoista prosenttia. Vastaajajoukon rakenne kertoo, että kysely on jälleen tavoittanut yritysten päätöksentekijät turvallisuuden kehittämisen kannalta ratkaisevan ryhmän. Heitä vastaajista oli yhteensä 83 prosenttia. Selvitykseen on liitetty lainauksia eri lähteistä. Kaikissa lainauksissa on mainittu lähde. Lähdeluetteloon on lisäksi koottu lisätietoa yrityksen turvallisuustoiminnan tueksi. Selvityksessä on kursiivilla lainauksia yritysten vapaamuotoisista vastauksista. Selvityksen tavoitteena on tukea ja kehittää yritysten omaa riskienhallintatyötä. Kysely on käytännössä tarkistuslista, jonka läpikäymällä yritysten päättäjät saivat käsityksen erilaisista uhista ja siitä miten uhkiin voi varautua. Aiheen käsittely tässä selvityksessä ei ole teknistä. Selvityksen kysymykset laadittiin tarkoituksella siten, etteivät ne ole ammattilaisia ja asiantuntijoita varten, vaan yritysjohdolle. Tavoite oli herättää yritysjohdon edustajat ajattelemaan aihetta ja ymmärtämään liiketoimintaan kohdistuva uhka.

7 6 2 KYBERTURVALLISUUDESTA Koskaan aiemmin liike-elämään ei ole kohdistunut riskiä, joka toteutuessaan voi yhtäaikaisesti vaikeuttaa useiden yritysten liiketoimintaa ja jopa kansantalouden toimintaa. Edellisen selvityksen jälkeisen puolentoista vuoden aikana fyysisen ja digitaalisen maailman yhdistyminen on vain kiihtynyt. Yhä useammat yritykset lisäävät digitaalista liiketoimintaa ja altistuvat sen myötä yhä enemmän kyberuhille. Digitaalinen liiketoiminta avaa yrityksille valtavia kasvumahdollisuuksina, mutta samalla myös riskejä. Georgia Institute of Technologyn tekemän Emerging Cyber Threats Report 2016 selvityksen mukaan yritykset keräävät kuluttaja-asiakkaistaan yhä enemmän yksityisyyteen liittyvää tietoa altistaen sen hyökkäyksille. Tätä tietoa rikolliset voivat helposti myydä ja käyttää hyväkseen. Yritysten tulee suojata luottamuksellisia tietojaan, mutta Emerging Cyber Threats Report 2016 tutkimuksen mukaan vuoteen 2020 mennessä maailmassa on 1,5 miljoonan kyberammattilaisen puute. Nykyiset koulutusohjelmat eivät kykene tuottamaan riittävästi tekijöitä digitaalisen liiketoiminnan suojaamiseksi. Yritystasolla kyberturvallisuutta voisi määritellä toiminnaksi, jolla suojataan liiketoimintaa keskeytyksiltä ja yrityksen tietoverkossa olevaa tietoa siihen kohdistuvilta hyökkäyksiltä. Hyvä tapa lähestyä kyberturvallisuutta on käsitellä sitä riskienhallinnan ja liiketoiminnan jatkuvuuden kautta. Tällöin varautumisessa säilyy yritystoiminnan näkökulma ja vältetään teknologian ottaminen kärjeksi. Teknologisia ratkaisuja tarvitaan, mutta liiketoiminta ja ihmiset tulee ottaa huomioon varauduttaessa. Pelkkä teknologia ei yritystä turvaa. Kyberuhkien huomioiminen ja niihin varautuminen tarvitsevat taustalle toimivan tietoturvallisuuden, sekä hallinnollisen ja teknisen. Näihin liittyvää tietoa löytyy kauppakamarin kustantamista kirjoista Yrityksen turvallisuusopas ja Turvaa logistiikka. Jos tietoturvallisuuden perusteita ei ole hoidettu, voi kyberuhkiin varautuminen olla tehotonta.

8 7 3 SELVITYKSEN TULOKSIA: YRITYKSIIN KOHDISTUVAT UHAT JA VARAUTUMI- SEN ESTEET Liiketoiminnan digitalisoitumisen myötä uusien tietoteknisten ratkaisujen riskit saattavat käydä ilmi vasta käyttöönottamisen jälkeen. Tämän sai kokea itä-suomalainen kiinteistöpalveluyritys, jonka palvelimeen kohdistui palvelunestohyökkäys. Palvelin kaatui ja joitain taloja jäi vailla lämmintä vettä ja lämmitystä. Jos yritys olisi tiennyt toimintansa olevan haavoittuvaista, olisi se varmasti suunnitellut toimintansa toisin välttääkseen seurauksen. Kyberturvallisuuskeskuksen ohjeessa Palvelunestohyökkäysten ehkäisy ja torjunta, kerrotaan seuraavaa: Kun pääsyä tietoihin tai tietojenkäsittelyyn vaikeutetaan pahantahtoisesti, on kyse palvelunestohyökkäyksestä. Tavallisesti palvelunestohyökkäykset ovat hajautettuja: lukuisat hyökkääjän hyväksikäyttämät tietokoneet lähettävät kohteeseen tietoliikennettä, joka saa kohteen toiminnan hidastumaan merkittävästi tai kokonaan pysähtymään. Hajautetut palvelunestohyökkäykset (DDoS) ovat internetin arkipäivää. Netin avoimen luonteen vuoksi niiden estäminen kokonaan on käytännössä mahdotonta, mutta jokainen nettiin kytketyn palvelun omistaja ja ylläpitäjä voi tehdä jotakin palvelunsa häiriösietoisuuden parantamiseksi. Varautuminen ei ole pelkästään tietotekniikkaa, vaan myös sopimista ja suunnittelua. Tämä ohje jakautuu kolmeen osaan. Ohjeen pääosa "Palvelunestohyökkäyksiltä suojautuminen" käsittelee palvelunestohyökkäyksiä ilmiönä ja esittelee keinoja, joilla hyökkäyksiin voi varautua hyvän sään aikana. Liitteessä 1 esitellään palvelunestohyökkäysten tekniikkaa puolustajan näkökulmasta. Sitä voidaan päivittää aina, kun hyökkäysten tekniikassa tapahtuu merkittävää kehitystä. Liitteessä 2 on tiiviit toimintaohjeet palvelunestohyökkäyksen kohteeksi joutuneelle. Kyberturvallisuuskeskuksen sivuilla on paljon käytännön ohjeita, joita yritykset voivat hyödyntää suojautuessaan digitaalista liiketoimintaansa uhkaavilta kyberuhilta.

9 8 KYSYMYS 1. Mitkä seuraavista vaihtoehdoista ovat suurimmat kyberturvallisuuden uhat suomalaisille yrityksille? Phishing- ja haittaohjelmahyökkäykset Puolet kaikista vastaajista (47%), pitää phishing- tai haittaohjelmahyökkäyksiä suurimpana uhkana suomalaisille yrityksille. Toimialoittain niitä pidetään uhkana seuraavasti: teollisuus 47%, rakentaminen 41%, kauppa 58% ja palvelut 44%. Suurten vastaajayritysten keskuudessa phishing- tai haittaohjelmahyökkäys on vasta kolmanneksi suurin (35%) ongelma. Aihe on säännöllisesti julkisuudessa Kyberturvallisuuskeskuksen ansiosta ja tapauksista voidaan toistuvasti lukea eri medioista. Yrityksen luottamuksellisen tiedon vuotaminen

10 9 Toiseksi suurimmaksi uhaksi (36%) nousi tänä vuonna uutena vaihtoehtona lisätty yrityksen luottamuksellisen tiedon vuotaminen. Toimialoittain tätä vaihtoehtoa pidetään uhkana seuraavasti: teollisuus 35%, rakentaminen 32%, kauppa 29% ja palvelut 39%. Myös suurten vastaajien keskuudessa se on toiseksi yleisin uhka (38%). Yritysten tietoisuus luottamuksellisen tiedon vuotamisesta uhkana on merkittävä asia kyberturvallisuuden kannalta. Tiedon luokittelu ja suojattavan tiedon tunnistaminen ovat kyberturvallisuustoiminnan perusteita. Yritys joka ei ole luokitellut tietojaan, ei voi tietää mitä sen kannattaa suojata ja mihin sen kannattaa kohdistaa ponnistuksena. Meidän pienen yritystoiminnan alle 10k /v IT ratkaisut ( = kirjanpito veroilmoitukset ja laskutus) ovat koti-pc ssä. Uhkana on että joku pääsee niitä EXELeitä sotkemaan, ja sitä varten kaikista kotikoneen tärkeistä tiedoista on säännöllisesti otetut varmuuskopiot. Suurimmat tietoturvaa uhkaavat tekijät ovat kuitenkin olleet kovalevyjen hajoamiset. Yhtiön sisäinen uhka Kolmanneksi suurimpana uhkana (27%) vastaajayritykset pitävät sisäistä uhkaa omien työntekijöiden taholta. Vastausvaihto ei eritellyt työntekijöiden tahallista ja tahatonta toimintaa. Toimialoittain tätä pidetään suurimpiin kuuluvana uhkana seuraavasti: teollisuus 27%, rakentaminen 32%, kauppa 22% ja palvelut 26%. Kaksi viidestä suuresta yrityksestä (40%) piti yhtiön sisäistä uhkaa suurimpana uhkana. Tiettävästi yksi tietokone on saastunut pahasti ja syynä työntekijän huolimattomuus. Yksi työntekijä on yllätetty IPR-varkaudesta sattumalta, mikä on saanut meidät ajattelemaan että meillä sisäinen uhka on yhtä iso kuin ulkoa tuleva. Yhdysvaltaisessa Netdiligence 2015 Cyber Claims Study -tutkimuksessa yhteensä 22% prosenttia kybervakuutusten nojalla tehdyistä korvausvaatimuksista johtui oman henkilökunnan tahallisista tai tahattomista teoista. Lähinnä tulee mieleen että ihmiset joutuvat väärille sivuille klikattuaan tuntemattomia linkkejä tai ladattuaan vahingossa lisäohjelmia. Pari käyttäjää on avannut sähköpostin liitetiedoston, josta lunnasvaatimus-virus on päässyt koneelle. Kyseessä on ollut "vale-dhl"-viesti, jonka avaaminen on ymmärrettävää, koska meille tulee myös lähes saman näköisiä oikeita viestejä. Palvelunestohyökkäykset Joka viides vastaaja (22%) kokee palvelunestohyökkäykset vakavana uhkana. Toimialoittain tätä uhkaa painotetaan seuraavasti: teollisuus 17%, rakentaminen 18%, kauppa 19% ja palvelut 27%. Palvelunestohyökkäykset saattavat olla harhautuksia, joilla saadaan kohteen huomio kiinnittymään harhautuksena tehtyyn palvelunestohyökkäykseen tietoverkossa tapahtuvan muun hyökkäystoiminnan suojaamiseksi. 0-päivän viruksen pääseminen ympäristöön, epäonnistunut DDoS hyökkäyksen rajoitus.

11 10 Kyberturvallisuuskeskus on tehnyt Palvelunestohyökkäysten ehkäisy ja torjunta (Ohje 3/2016) -ohjeen palvelunestohyökkäyksistä ja niiden torjumisesta. Opas löytyy osoitteesta: Lunnasohjelmat Tänä vuonna selvitykseen lisätty vaihtoehto lunnasohjelmista (ransomware) on joka viidennen yrityksen (20%) mielestä huomattava uhka. Toimialoittain tätä pidetään uhkana seuraavasti: teollisuus 24%, rakentaminen 14%, kauppa 26% ja palvelut 17%. Kolmasosa (29%) suurista vastaajayrityksistä pitää lunnashaittaohjelmia vakavimpien uhkien joukossa. Sisäverkkoon tunkeutumiset ja mm. lunnasohjelma on pystytty todennetusti estämään nykyaikaisella verkon suojauksella, kyse on enemmänkin halusta torjua verkkouhat kuin siitä ettei niitä olisi tarjolla Lunnashaittaohjelmat ovat yleistyneet viime vuosien aikana ja ne ovat hyvin tuottoisia rikollisille. Liiketoiminnan jatkuvuuden kannalta yksi varautumistoimenpide on riittävän usein tehty ja riittävän laajojen back up -kopioiden ottaminen. Hyökkäyksen tapahduttua liiketoimintaa voidaan jatkaa, vaikka tiedot muutoin ovat hyökkääjän kryptauksen sulkemia. Yrityksen on kuitenkin kokeiltava back up- kopioiden palauttaminen. Muutoin hyökkäyksen sattuessa voi käydä nolo tilanne, mikäli tiedostoja ei saadakaan käyttöön back up -kopioista tai niihin ei ole väärien asetusten vuoksi tallentanut liiketoiminnan kannalta kaikkia olennaisia tietoja. Kiristysohjelma asentunut yhdelle koneelle jolloin serverillä olevat ohjelmat lukkiutuivat. Kiristyshaittaohjelmia on päässyt verkkoon useita kertoja Menetimme tietokoneen, koska olisi pitänyt maksaa excelin uudelleen avaamisesta Kerran on haittaohjelma päässyt sisäverkkoon, jossa lunnasohjelma onnistui salakirjoittamaan 2 PCtä sekä osan palvelimella olevista tiedoista. Tietoa lunnasohjelmista ja neuvoja löytyy internetsivuilta: ja Ensimmäinen on Kybertuvallisuuskeskuksen, F-Securen ja poliisin yhteinen sivusto. Jälkimmäinen on Europolin ja usean eri tahon yhteistyöhanke. Kyberturvallisuuskeskus on tehnyt Selviytymisopas kiristyshaittaohjelmia vastaan - Kokemuksia kiristyshaittaohjelmista Suomessa ja neuvoja niistä selviytymiseen - oppaan. Se löytyy osoitteesta: Teollisiin tuotantoprosesseihin kohdistuvat hyökkäykset Teollisuuden vastaajista vain kymmenesosa (13%) pitää tuotantoprosesseihin kohdistuvia hyökkäyksiä vakavana uhkana. Suomi on Dellin vuonna 2015 tekemän

12 11 tutkimuksen mukaan ensimmäisellä sijalla maailmassa Scada valvomo-ohjelmistoihin kohdistettujen hyökkäyksien määrässä. Vuoden 2014 aikana Dell havaitsi Scada -hyökkäystä Suomessa, Englannissa ja Yhdysvalloissa. Teolliset prosessit ovat usein valtiollisten hyökkääjien kohteena. Näissä hyökkäyksissä järjestelmiin asennetaan uinuvia ohjelmia odottamaan tulevaisuudessa tapahtuvaa aktivoimista esimerkiksi kansainvälisen tilanteen kiristyessä. Ammattimainen rikollisuus voisi käyttää samanlaista hyökkäystä kiristysmielessä. Mikäli lunnaita ei makseta, tuotantoprosessit keskeytyvät. Tuotantotietokoneemme eivät ole yhteydessä internettiin (oma verkko). Internet yhteydet tehdään erillisillä kannettavilla tietokoneilla. Teollisuuden on tärkeää ymmärtää paremmin korkea asemansa rikollisten ja valtioiden hyökkäyslistoilla. Teollisiin prosesseihin kohdistuvat hyökkäykset voivat rikkoa tuotantokoneita, pysäyttää liiketoiminnan, vaarantaa ihmishenkiä ja pysäyttää yhteiskunnan perustoimintoja. Jäljempänä on kaavio siitä miten kohdistettu hyökkäys teollisuuden prosesseihin tapahtuu.

13 12 Muut vastaukset Vastaajayritysten muut vastaukset olivat muun muassa seuraavanlaisia: Advanced persistent threat Suurimmat ja merkittävimmät riskit painottuvat maksuliikennepetoksiin Identtiteettivarkaudet Sosiaalinen hakkerointi Sähköpostiväärennöksiin liittyvät petokset Toimitusjohtajahuijaukset (CEO fraud) Yrityskaappaukset, valeostot/kauppa

14 13 KYSYMYS 2. Mitkä ovat kolme suurinta estettä tehokkaan kyberturvallisuuden toteuttamisessa? Käyttäjien piittaamattomuus tietoturvasta ja kyberuhista Kaikkien vastaajien mukaan käyttäjien piittaamattomuus tietoturvallisuudesta ja kyberuhista on suurin este tehokkaalle kyberturvallisuuden toteuttamiselle. Kaksi viidestä (42%) vastaajasta kertoo asian olevan näin. Toimialoittain näin vastattiin seuraavasti: teollisuus 44%, rakentaminen 38%, kauppa 40% ja palvelut 43%. Henkilöstö muodostaa aina riskin omalla toiminnalla, vaikka se ei olisikaan tarkoituksellista. Käyttöoikeuksien rajaamisella ja tehokkaalla suojaamisella voidaan onneksi minimoida, myös meillä. Yhdelläkään käyttäjällä ei ole järjestelmänvalvoja oikeuksia koneeseen. Joten vaikka muut seulat ovat pettäneet ja käyttäjä on mokannut, ei vahingot ole olleet vakavia.

15 14 Jos yrityksen työntekijät eivät piittaa turvallisuudesta, avaa se hyökkääjälle reitin yrityksen tietoverkkoon. Aina on joukossa niitä, jotka klikkaavat epämääräistäkin sähköpostin liitettä. Kouluttamisen ja tiedon jakamisen kautta voidaan kuitenkin parantaa henkilökunnan ymmärrystä ja osaamista kyberturvallisuuden suhteen. Samalla hyökkäysten onnistuminen käy vaikeammaksi. Kyberturvallisuus on pettänyt tilanteessa, jossa käyttäjä on avannut kiellosta huolimatta sähköpostin liitteen ja työasema on kryptattu haittaohjelman toimesta. Joskus oma henkilökunta voi aiheuttaa merkittäviä vahinkoja, koska heillä työtehtäviensä takia on pääsy suojattuun tietoon. Oman henkilökunnan edustaja (vapautettu tehtävistään, mutta oli vielä irtisanomisajalla töissä), vei runsaasti tietomateriaalia johtamisprosesseihin liittyen. Ei siis tuotteisiin yms. liittyvää, mutta yrityksen johtamiseen ja prosessien kehittämiseen liittyvää talon sisällä tehtyä ja kehitettyä materiaalia. Kun avainhenkilö on poistunut työsuhteesta, emme ole varmoja kuinka paljon tietoa lähti mukana? Meillä toistaiseksi suurimmat riskit ovat liittyneet työsuhteen katkaisemisvaihetilanteeseen ja lähtevän työntekijän toimintaan. Kyberuhkiin liittyvän tiedon riittämättömyys Vastaajista kolmasosa (34%) piti kyberuhkiin liittyvän tiedon riittämättömyyttä merkittävänä esteenä. Toimialoittain näin vastattiin seuraavasti: teollisuus 33%, rakentaminen 21%, kauppa 39% ja palvelut 37%. Kyberturvallisuustietoa on saatavissa Kyberturvallisuuskeskuksen internetsivuilta. Yritykset vastaavat turvallisuudestaan itse ja siksi niiden tulee myös hakea tietoa itse. Tietoa löytyy myös tämän selvityksen lähdesivulla olevista muista linkeistä, mutta Kyberturvallisuuskeskuksen internetsivut ovat hyvä paikka aloittaa tiedonhaku. Henkilökunnan kyberuhkiin liittyvän tieto-taidon ylläpitäminen Kolmanneksi yleisin vastaus (33%) oli henkilökunnan kyberuhkiin liittyvän tietotaidon ylläpito. Yrityksillä ei vieläkään ole riittävästi tietoa kyberuhista ja niihin varautumisesta. Toimialoittain tätä estettä painotettiin seuraavasti: teollisuus 39%, rakentaminen 20%, kauppa 36% ja palvelut 33%. Yritykset voivat hankkia tietoa ja osaamista itse tai sitten käyttää ulkopuolisia kouluttajia henkilöstönsä kouluttamiseen. Yritysten on tehtävä päätöksiä kyberuhkiin varautumisesta, arvioitava riskit ja tehtävä suunnitelma siitä miten varautuminen aloitetaan. Nykyisten monitoimittajaympäristöjen monimutkaisuus ja dynaamisuus Kolmasosa (29%) kaikista vastaajista pitää tänä vuonna selvitykseen lisättyä vaihtoehtoa Nykyisten monitoimittajaympäristöjen monimutkaisuus ja dynaamisuus merkittävänä esteenä kyberturvallisuuden toteuttamiselle. Toimialoittain tätä pidettiin esteenä seuraavasti: teollisuus 28%, rakentaminen 17%, kauppa 27% ja palvelut 33%.

16 15 Julkisen verkkosivun haavoittuvuutta hyödynnettiin hyökkäyksessä. Monitoimittajaympäristöt lisääntyvät yrityksissä nopeasti. Tietohallintajärjestelmien ja liiketoimintapalvelujen käyttöönotto mutkistuu niissä samalla tahdilla. Monitoimittajaympäristöissä on usein haasteita jo normaalin liiketoiminnan sujuvuuden kanssa. Kun tähän lisätään kyberturvallisuus, on ymmärrettävää että monet yritykset kokevat monitoimittajaympäristöt esteenä kyberturvallisuuden toteuttamiselle. Turvallisuustoimiin ja - liittyvän tiedon riittämättömyys Kolmasosa (29%) kaikista vastaajista pitää nykyiseen puolustautumiseen liittyvän tiiedon puutetta esteenä kyberturvallisuuden toteuttamiselle. Toimialoittain tätä estettä painotettaan seuraavasti: teollisuus 25%, rakentaminen 24%, kauppa 28% ja palvelut 32%. Osaavien ammattilaisten löytämisen vaikeus Osaavien ammattilaisten löytämistä pitää ongelmana 15 prosenttia vastaajista. Osaajien puutteeseen tulisi pian löytää ratkaisuja alan koulutusta kehittämällä. Lähivuosina pätevien osaajien tarve moninkertaistuu ja arvioiden mukaan vuonna 2020 maailmassa on puutetta 1,5 miljoonasta kyberammattilaisesta. Toimialoittain osaajien puutetta painotetaan seuraavasti: teollisuus 16%, rakentaminen 14%, kauppa 15% ja palvelut 15%.

17 16 Rahoitus Tehottomat teknologiaratkaisut Laadukkaiden kyberturvapalveluiden puute Suomen markkinoilla Riittämätön integraatio kyberturvallisuuden ja muiden turvallisuuden osa-alueiden välillä (jatkuvuussuunnittelu, Muu En osaa sanoa Kaikki vastaajat, n=754 Mikrot (1-4 henkilöä), n=206 Pienet (5-49 henkilöä), n=357 Keskikokoiset ( henkilöä), n=100 Isot (yli 200 henkilöä), n= % Rahoitus Kuten vuoden 2015 selvityksessä, vain joka kahdeksas (13%) yritys piti rahoitusta suurimpien esteiden joukossa. Toimialoittain rahoitusta esteenä painotettiin seuraavasti: teollisuus 14%, rakentaminen 16%, kauppa 13% ja palvelut 13%. Raha on usein esteenä muiden turvallisuuden osa-alueiden kehittämiselle. Syytä, miksi se ei nouse esille kyberturvallisuuden toteuttamisen esteenä, voidaan vain arvailla. Vaihtoehtoja voi olla kaksi. Kyberhankinnat saavat rahoituksen tai sitten kyberasioita ei ole kehitetty ja siksi rahoitus ei ole ehtinyt nousta esteeksi niiden kehittämiselle. Yhdysvalloissa tehty Cyber Edge Groupin tekemä 2016 Cyber Threat Defence - tutkimus tukee tätä näkemystä. Yritykset pitävät omien työntekijöidensä suunnalta tulevaa uhkaa suurimpana esteenä, mutta jaetulla kolmannella sijalla ammattilaisten löytämisen vaikeuden kanssa on rahoitus. Yritykset ovat siis yrittäneet kehittää kyberturvallisuuttaan ja rahoitus on noussut esteeksi. Rahoitus on enää ongelma joka kuudennelle (16%) suurelle vastaajalle kun vuonna 2015 se oli esteenä (27%) neljännelle esteenä. Suurten yritysten keskuudessa on tapahtunut myönteistä kehitystä. Suuret yritykset ovat alkaneet varautua kyberuhkiin

18 17 ja yritysten johto on sitoutunut toimintaan myöntämällä rahoituksen sen kehittämiseen. Koko yritys on sitoutunut parantamaan yrityksen tieto/kyberturvallisuutta. Laadukkaiden kyberpalveluiden puute Laadukkaiden kyberpalvelujen puutetta pitää ongelmana joka kymmenes (8%) vastaaja. Toimialoittain tätä estettä painotettiin seuraavasti: teollisuus 8%, rakentaminen 13%, kauppa 8% ja palvelut 7%. Sekä keskikokoisista että suurista vastaajista joka kymmenes (10%) piti laadukkaiden kyberpalvelujen puutetta ongelmana. Näin vastanneilla yrityksillä saattaa olla kykyä arvioida palveluja ja vertailla niitä muualla oleviin palveluihin. Toisaalta vastaukset voivat myös kertoa kotimaisten palvelujen olevan pääsääntöisesti laadukkaita. Syystä tai toisesta kymmenesosa vastaajista kokee asian olevan näin. Suurten vastaajien tilanne Omat työntekijät ovat yhä huolena suurille yrityksille. Käyttäjien piittaamattomuus (46%) ja nykyisen henkilökunnan tietotaidon ylläpitäminen (42%) ovat kolmen suurimman esteen joukossa. Toiseksi suurimmaksi esteeksi (44%) suurille vastaajille nousee nykyisten monitoimittajaympäristöjen monimutkaisuus ja dynaamisuus. Muut vastaukset Vastaajayritysten muut vastaukset olivat seuraavanlaisia: Asian vaatiman huomion määrä - siis pienessä yrityksessä, jossa ei ole tietoturvalle dedikoitua henkilökuntaa Asiasta oikeasti vastaavien tietämättömyys ja asioista vastaamaan pantujen asenneongelma Asioiden monimutkaisuus - ei osaa sanoa mikä on olennaista ja mikä, mistä aloittaa Hakkerit edellä, torjunta ei ole ydinliiketoimintaa vaan kulu Helpot paketoidut ratkaisut, ei aikaa perehtyä itse johdon ymmärtämättömyys kyberuhista Kaiken kattavat tiedustelujärjestelmät mm. käyttöjärjestelmissä, sähköposteissa ja pilvipalveluissa Liian monta järjestelmää päällekkäin Suomessa heikosti saatavissa penetraatiotestauspalveluita muilta kun palveluntarjoajalta jotka ratkaisun myyvät. teknologia- ja tuotelähtöisyys Tietoturva ei ole oikeasti luonnollinen osa kaikkea tekemistä ja omistajuutta tietoturvaa tehostavien ratkaisujen kömpelyys ja huono käytettävyys Visualisoi johdolle miten tietoturvan mittaaminen parantaa työn laatua, mitä rahalla saadaan aikaan?

19 18 TIETOA KYBERTURVALLISUUDESTA OSA 1. Tämä osio on otettu osaksi tätä selvitystä koska yritysten vastauksista käy ilmi etteivät ne ole saaneet riittävästi tietoa kyberuhkiin liittyen. Nämä lainaukset ovat lyhennelmä, niihin tehdyt korostukset ovat tähän selvitykseen tehtyjä lisäyksiä, jotka eivät muuta sisältöä. Alkuperäinen versio löytyy Viestintäviraston sivuilta osoitteesta: Älä panikoi, näin pääset eroon haittaohjelmasta Huolellisuus verkkoselailussa, päätelaitteen päivittämisessä ja virussuojauksessa estää liki kaikki haittaohjelmatartunnat. Jos oma päätelaite kuitenkin saastuu, se on usein vielä pelastettavissa. Tärkeää on huomata haittaohjelmatartunta nopeasti ja puhdistaa laite esimerkiksi luotettavalla virustorjuntaohjelmalla. Tässä artikkelissa päätelaitteella tarkoitetaan tietokoneita ja mobiililaitteita kuten matkapuhelimia tai tabletteja. Ennaltaehkäisy on helpompaa kuin jälkien siivoaminen Ohjelmistopäivitykset sisältävät usein runsaasti tietoturvaan liittyviä korjauksia. Siksi päätelaite, jonka käyttöjärjestelmä ja siinä käytetyt ohjelmistot on pidetty ajan tasalla, on turvallisempi ja vähemmän altis haittaohjelmatartunnalle kuin päivittämätön. Haittaohjelma voi tarttua päätelaitteeseen esimerkiksi www-selailun yhteydessä murretun verkkosivuston välityksellä. Tyypillisesti saastumiselle alttiissa järjestelmässä käytetään vanhentunutta selainta, käyttöjärjestelmää tai liitännäissovelluksia (muun muassa Adobe Flash Player tai Java). Myös USB-muistitikku tai sähköpostiviestin liitetiedosto voi toimia haittaohjelman välittäjänä ja tartuttaa päätelaitteen. Verkosta ladattavat ohjelmatkin voivat sisältää haitallista koodia, siksi tällaisten ohjelmien alkuperä on syytä tarkistaa. Hyvinkin ylläpidetty päätelaite voi saada haittaohjelmatartunnan tuoreesta haavoittuvuudesta, jos esimerkiksi päätelaitteen virustorjunta ei tunnista tuoretta haittaohjelmaa tai ohjelmaan ei ole vielä päivitettyä versiota saatavilla. Päätelaitteelle pesiytynyt haittaohjelma voi saattaa laitteen käyttäjän yksityisyyden ja tiedot vaaraan. Haittaohjelma voi kerätä esimerkiksi käyttäjätunnus ja salasana -yhdistelmiä eri palveluihin kirjauduttaessa (engl. keylogger) tai se voi avata laitteeseen takaoven (engl. backdoor), joka tarjoaa hyökkääjälle pääsyn käyttäjän päätelaitteelle verkon yli. Päätelaite saatetaan myös valjastaa osaksi bottiverkkoa. Tällaiseen bottiverkkoon koottuja tietokoneita voidaan käyttää esimerkiksi roskapostittamiseen tai hajautettuihin palvelunestohyökkäyksiin (engl. DDoS, Distributed Denial of Service). Haittaohjelmatartuntojen suuri määrä kertoo niiden olevan varsin yleisiä. Valitettavan suuri osa verkon käyttäjistä saa tietokoneeseensa tai älykännykkäänsä haittaohjelman huolellisesta varautumisestaan huolimatta. Haittaohjelmien välttämiskeinojen lisäksi on myös hyvä tietää, miten haittaohjelmatartunnan voi huomata päätelaitteessaan ja miten tällaisessa tilanteessa tulee toimia. Miten haittaohjelmatartunta havaitaan? Jos päätelaitteen virustorjuntaohjelmisto hälyttää, se on todennäköisesti havainnut jotain vahingollista käyttäjän tiedostoissa. Virustorjunta ei kuitenkaan tunnista kaikkia haittaohjelmia. Myös päätelaitteen normaalista poikkeava toiminta voi viitata haittaohjelmatartuntaan. Seuraavat oireet herättävät epäilyksiä tartunnasta: - itsekseen aukeavat mainosikkunat - koneen merkittävä hidastuminen - tunnistamattomat tai omituiset prosessit - saat nettiliittymän palveluntarjoajalta ilmoituksen haittaohjelmahavainnosta.

20 19 Kiristyshaittaohjelmat ja tiedostot salaavat haittaohjelmat esittävät käyttäjälle kiristysilmoituksen, joka kertoo tartunnasta. Mitä tehdä, jos olet saanut haittaohjelmatartunnan? - Älä hätäänny. - Tarkista päätelaite ja pyri poistamaan haittaohjelma virustorjuntaohjelmiston avulla. - Hankalasti poistettavien haittaohjelmien kanssa voidaan tarvita esimerkiksi torjuntaohjelmistojen valmistajien tarjoamia korjaus-cd:n (engl. recovery/rescue CD) tai USB:n kaltaisia apuvälineitä. - Selvitä, onko tälle haittaohjelmalle julkaistu erityisiä poisto-ohjeita. Hankalissa tapauksissa päätelaite on tyhjennettävä kokonaan ja käyttöjärjestelmä asennettava uudelleen (esim. itsensä piilottavat rootkit-tyyppiset haittaohjelmat). Tällöin ajantasaiset, ennen saastumista otetut varmuuskopiot ovat helppo tapa palauttaa tiedostot. Jo saastuneesta päätelaitteesta otetun varmuuskopion palauttaminen voi saastuttaa laitteen uudelleen, sillä se saattaa samalla sisältää "varmuuskopion" haittaohjelmasta! Käyttäjän tietoja salakirjoittavat haittaohjelmat tekevät tietojen siirtämisen saastuneesta järjestelmästä puhtaaseen järjestelmään mahdottomaksi. Turvallisin tapa saada haittaohjelmalla saastunut tietokone uudelleen käyttöön on alustaa levyt ja asentaa käyttöjärjestelmä uudelleen. Muista tarkistukset! Virustorjuntaohjelmistojen tunnistetiedot päivittyvät jatkuvasti. Virustorjuntaohjelmistojen ajastettua tarkistusominaisuutta kannattaa käyttää säännöllisesti ja vaikka ajastaa tarkistus toistumaan säännöllisin väliajoin, esimerkiksi ennen varmuuskopioiden ottamista. Virustorjuntaohjelmistot skannaavat käsiteltävät tiedostot "lennossa", mutta kovalevylle on voitu tallentaa haitallista sisältöä ennen kuin virustorjuntaohjelmiston virustietokanta on ehtinyt päivittyä.

21 20 4 SELVITYKSEN TULOKSIA: YRITYKSIIN KOHDISTUVAT TUNKEUTUMISET KYSYMYS 3. Mitkä seuraavista vaihtoehdoista ovat raskaimmat seuraukset kyberhyökkäyksistä? Tuoton menetys suora tai epäsuora Yksityisyyden (henkilökunnan tai asiakkaiden tiedot) loukkaus Aineettoman omaisuuden menetys Negatiivinen julkisuus Kansallisen turvallisuuden vaarantuminen Menetetään kilpailuetu Markkinaosuuden menetys Muu En osaa sanoa Kaikki vastaajat, n= Mikrot (1-4 henkilöä), n= Pienet (5-49 henkilöä), n= Keskikokoiset ( henkilöä), 1 3 n= Isot (yli 200 henkilöä), n= % Suora tai epäsuora tuoton menetys Kaikista vastaajayrityksistä noin puolet (45%) pitää suoraa tai epäsuoraa tuoton menetystä raskaimpana seurauksena kyberhyökkäyksistä. Ymmärtäessään tuoton vaarantumisen yritykset ovat valmiita sijoittamaan resursseja riskin torjumiseen tai pienentämiseen. Toimialoittain tuoton menetystä pidetään raskaana seuraavasti: teollisuus 49%, rakentaminen 38%, kauppa 54% ja palvelut 42%.

22 21 Yksityisyyden loukkaus Kaksi viidesosaa (40%) kaikista vastaajayrityksistä kertoo henkilökunnan tai asiakkaiden yksityisyyden loukkauksen olevan vakavimpien seurausten joukossa. Kaksi viidestä (38%) suuresta vastaajayrityksistä pitää tätä raskaimpien seurausten joukossa. Toimialoittain tätä seurausta painotettiin seuraavasti: teollisuus 31%, rakentaminen 45%, kauppa 31% ja palvelut 47%. Sain juuri kuulla eilen it-tuelta, että AppStoresta oli ostettu Pokemon Go -peli vuosia vanhoilla tunnuksillani - Kiinassa!? Aineettoman omaisuuden menetys Neljä kymmenestä (37%) vastaajasta toi esille aineettoman omaisuuden menetyksen yhtenä raskaimmista seurauksista. Mikroyrityksistä puolet (47%) koki tämän olevan yksi raskaimmista seurauksista. Muihin kokoryhmiin verrattuna mikroyritysten vastausten määrä oli yli kymmenen prosenttia suurempi. Syynä saattaa olla se, että mikroyritykset ovat toiminnassaan riippuvaisempia yksittäisistä innovaatioista ja tieto-taidosta ja siksi kokevat niihin kohdistuvan uhan vakavaksi. Toimialoittain tätä seurausta painotettiin seuraavasti: teollisuus 41%, rakentaminen 33%, kauppa 40% ja palvelut 35%. Salasanoja on vuotanut talosta ulos ja taho jolle ne vuotaneet on testannut salasanojen toimivuutta, on havaittu myöhemmin aikaisemmin tapahtunut tunkeutuminen järjestelmiin eikä pystytty verifioimaan mitä dataa on vuotanut. Negatiivinen julkisuus Neljäsosa (25%) vastaajista toi esille negatiivisen julkisuuden. Suurista yrityksistä kolmasosa (36%) koki negatiivisen julkisuuden vakavaksi seuraukseksi tunkeutumisesta. Suuret yritykset ovat näkyvämpiä kuin muut ja sen vuoksi maineriski nousee niiden keskuudessa vakavimpien seurausten joukkoon. Toimialoittain tätä seurausta painotettiin seuraavasti: teollisuus 17%, rakentaminen 20%, kauppa 20% ja palvelut 31%. Ostotoimintaan liittyvä huijausyritys on pystytty havaitsemaan ja torjumaan ISIS murtautui WordPress sivuillemme ja jouduimme puhdistamaan ympäristön. Kyberturvallisuuskeskuksen ohje Ohje 2/2016 Verkkosivujesi pimeä puoli - Ohjeita sisällönhallintajärjestelmien kyberuhkien torjumiseksi käsittelee sisällönhallintajärjestelmien haavoittuvuuksia. Ne aiheuttavat merkittävien kustannusten riskin. Riskit voi minimoida asianmukaisella päivittämisellä. Ohjeessa kerrotaan seuraavaa: Verkkosivujen julkaisujärjestelmä, kuten WordPress, Drupal tai Joomla, kannattaa pitää päivitettynä viimeisimpään versioonsa. Päivittämätön järjestelmä on altis hyökkäyksille. Menetetyn tiedon palauttaminen, julkisuuskuvan korjaaminen ja verkkonäkyvyyden saaminen takaisin voivat käydä kalliiksi. Raportissa kerrotaan haavoittuvuuksien seurauksista, vahinkojen kustannuksista ja suojautumiskeinoista. Ohje löytyy osoitteesta:

23 22 Kansallisen turvallisuuden vaarantuminen Joka viides (17%) vastaaja piti kansallisen turvallisuuden vaarantumista kolmen raskaimman seurauksen joukossa. Kansallinen turvallisuus voi vaarantua, kun viranomaisten eri johtamis- ja viestintäjärjestelmiin, ohjausjärjestelmiin, lennonohjausjärjestelmiin jne. hyökätään ja estetään niitä toimimasta normaalisti. Toimialoittain näin vastattiin seuraavasti: teollisuus 18%, rakentaminen 18%, kauppa 13% ja palvelut 17%. Kilpailuedun menetys Yritys voi menettää kilpailuedun, jos kilpaileva taho saa haltuunsa yrityksen tuotekehitystiedot, tulevaisuuden toimintasuunnitelmat, hinnat, asiakastiedot tai muut vastaavat tiedot. Joka kymmenes (11%) vastaaja piti kilpailuedun menettämistä kolmen raskaimman seurauksen joukossa. Toimialoittain näin vastattiin seuraavasti: teollisuus 16%, rakentaminen 9%, kauppa 8% ja palvelut 10%. Joskus hyökkäys tapahtuu reaalielämässä sähköisen maailman sijaan. Toimitilaturvallisuuden ylläpito on olennainen osa kyberturvallisuuden kokonaisuutta. On hyödytöntä suojata tietoverkkoja turvatakseen luottamuksellista tietoa, jos hyökkääjä pääsee helposti toimitiloihin ottaen tietokoneet ja serverit tietoineen mukaansa. Mahdollinen hyökkääjä on päässyt fyysisesti käsiksi laitteistoon. Toimistoomme murtauduttiin ja vietiin kaikki tietotekniikka. Ei varsinaista Kyberiä mutta aineeton omaisuus hävisi tietokoneiden lisäksi.

24 23 KYSYMYS 4. Miten organisaationne havaitsisi yrityksenne tietoverkossa käynnissä olevan tunkeutumisen? Kolmas taho, kuten internet operaattori tai palveluntarjoaja, ilmoittaisi meille Havaitsisimme sen itse käyttäen omia torjunta- ja hälytysjärjestelmiämme Me emme todennäköisesti havaitsisi käynnissä olevaa tunkeutumista Käyttäjämme tunnistaisivat sen ja ilmoittaisivat eteenpäin Tunnistaisimme itse, koska tarkastamme ja analysoimme lokejamme ja arvioimme niistä ilmenevää uhkaan Kotimaiset lainvalvontaviranomaiset tai tiedusteluorganisaatiot varoittaisivat meitä En osaa sanoa Kaikki vastaajat, n=754 Mikrot (1-4 henkilöä), n=206 Pienet (5-49 henkilöä), n=357 Keskikokoiset ( henkilöä), n=100 Isot (yli 200 henkilöä), n= % Kolmas taho kuten internetoperaattori tai palveluntarjoaja Neljä kymmenestä vastaajasta (40%) vastasi Kolmanen tahon, kuten internet operaattorin tai palveluntarjoajan, ilmoittavan heille tunkeutumisesta. Suurten yritysten keskuudessa tämä vaihtoehto oli toisella sijalla (42%). Verrattuna viime selvitykseen suurten vastaajien osalta vastausprosentti laski seitsemän prosenttia Toimialoittain tätä vaihtoehtoa painotettiin seuraavasti: teollisuus 34%, rakentaminen 42%, kauppa 43% ja palvelut 42%. Suomalaisten teleoperaattoreiden tehokas työskentely haittaohjelmistojen poistamiseksi verkosta selittää yritysten luottamusta kolmannen tahon kuten operaattorin tai palveluntarjoajan tekemään ilmoitukseen. Teleoperaattorit ovat yhdessä viranomaisten kanssa jakaneet aktiivisesti tietoa asiasta ja se on lisännyt vastaajien tietoisuutta toiminnasta.

25 24 Havaitseminen käyttäen omia hälytys- ja torjuntajärjestelmiä Toiseksi eniten vastauksia (36%) sai Havaitsisimme sen itse käyttäen omia torjunta- ja hälytysjärjestelmiämme. Joka toinen (55%) suurista yrityksistä ja keskikokoisista (51%) kykenee havaitsemaan tunkeutumisen itse. Toimialoittain näin vastattiin seuraavasti: teollisuus 44%, rakentaminen 26%, kauppa 35% ja palvelut 34%. Vuosia sitten yhden www-palvelimen php päästi harrastelijat sisään. Vahinko rajoittui yhdelle palvelimelle DMZ:lla. Hetkellinen ongelma. Vanhentuneen asiakasohjelmiston kautta kehityspalvelimelle tunkeutuneen hakkerin eristys hänen tietämättään, sosiaalinen jäljittäminen ja ilmoitus murrosta ja murtajasta osoitteineen ja puhelinnumeroineen Puolan tietoturvaviranomaisille. Todennäköisesti ei tunnista hyökkäystä Kolmanneksi yleisimpänä vastausvaihtoehtona (32%) oli Me emme todennäköisesti havaitsisi käynnissä olevaa tunkeutumista. Kolmasosa vastaajayrityksistä tiedostaa ettei heillä ole valmiuksia tunnistaa hyökkäystä. Suurista yrityksistä joka viides (20%) vastasi tilanteen olevan näin ja mikroyrityksistä puolet (45%). Toimialoittain vastaukset jakautuivat seuraavasti: teollisuus 27%, rakentaminen 43%, kauppa 25% ja palvelut 34%. Tunkeutumisen havaitseminen vaatii resursseja ja osaamista yrityksiltä. On huolestuttavaa, ettei yli puolentoista vuoden aikana ole tapahtunut juurikaan kehitystä. Vähintään kolmasosa kaikista yrityksistä on yhä vailla kykyä havaita hyökkäyksiä, joiden takana usein on rikollinen toiminta, joko järjestäytynyt tai valtiollinen. Tunnistaminen on vaativaa ja hyökkääjien tavat kehittyvät koko ajan. Ei jatkuvaa seurantaa, joten tietoa onnistuneesta hyökkäyksestä ei saada Käyttäjät tunnistavat ja ilmoittavat eteenpäin Kymmenesosa (12%) vastaajista kertoi käyttäjien tunnistavan hyökkäyksen ja ilmoittavan siitä eteenpäin. Osaavat käyttäjät ovat merkittävässä roolissa kyberhyökkäysten torjunnassa. He käyttävät työnantajan järjestelmiä alkaen sähköpostijärjestelmistä aina tuotannonohjausjärjestelmiin. He tuntevat miten ne toimivat ja tunnistavat poikkeamat nopeasti. Poikkeavan toiminnan havaitsemisesta ilmoitukseen kuluva aika voi olla elintärkeä yrityksen kannalta. Toimialoittain näin vastattiin seuraavasti: teollisuus 20%, rakentaminen 7%, kauppa 13% ja palvelut 9%. Meillä käyttäjät ovat havainneet sekä phishing että ransomeware tilanteita ja raportoineet nopeasti oikeaan paikkaan. Henkilökunta on koulutettu tietoturvan ja tietosuojan osalta, tietoverkkomme on suojattu palomuurilla, omaamme tehokkaita sopimuskumppaneita. Suurten yritysten keskuudessa on tapahtunut merkittävää kehitystä, sillä kolmasosa (31%) vastasi omien työntekijöiden tunnistavan hyökkäyksen. Aiemmin vain 16 prosenttia vastasi näin. Kehitystä on tapahtunut 15 prosentin verran. Omien työntekijöiden osaamisen ja valppauden kehittäminen on yksi tehokkaista tavoista nostaa yrityksen kyberturvallisuuden tasoa.

26 25 Tiedotus on jatkuvaa ja haittaohjelmien torjunta on ajan tasalla. Haittaohjelmia on havaittu ja torjuttu. Ei ole tiedossa merkittäviä vahinkoja. Koemielessä olemme operoineet huonolla tietoturvalla pilvipalveluissa ja saaneet kokemuksia haittaohjelmista ja lukittujen tiedostojen lunnasvaatimuksista. Havaitseminen lokien tarkastamisen ja analysoimisen kautta Joka kymmenes yritys (11%) havaitsisi hyökkäyksen tarkastamalla ja analysoimalla lokeja, Sen jälkeen tehtävässä kerätyn tiedon analysoinnissa yritykset havaitsisivat käynnissä olevan hyökkäyksen. Yhdeksän kymmenestä yrityksestä ei analysoi omia lokejaan. Suurten yrityksien keskuudessa joka viides vastaaja (22%) seuraa ja analysoi lokejaan. Kolme neljäsosaa suurista vastaajista ei kuitenkaan käytä resursseja tähän. Toimialoittain tätä havaitsemisen vaihtoehtoa painotettiin seuraavasti: teollisuus 11%, rakentaminen 5%, kauppa 8% ja palvelut 14%. Kerran ulkopuolinen pääsi sisään yhteen meidän asiakasrekisteriin sisälle. Ei varastanut mitään tietoja, yritti käyttää koneita Ddos hyökkäykseen Jatkuva lokien seuraaminen ja tiedon analysointi ovat osa yritysten puolustautumista hyökkäyksiä vastaan. Ne antavat yritykselle mahdollisuuden havaita hyökkäys, mutta vain mikäli tietoa analysoivat tahot osaavat työnsä hyvin. Oman verkon toiminnan tunteminen edesauttaa hyökkäyksen tunnistamista ja siksi yritysten on hyvä kouluttaa omia työntekijöitään analysointiin. Hyökkäyksen tunnistamisen jälkeen seuraava osaamistaso on vastatoimien toteuttaminen. Yritysten kannattaa selvittää miten palveluntarjoajat voivat auttaa tässä, jos yrityksellä ei ole omia resursseja tähän osaamiseen. Kyberturvallisuuskeskus on tehnyt Lokien keräys ja käyttö - Ohje lokitietojen tallentamiseen ja hyödyntämiseen (Ohje 4/2016) -ohjeen. Ohje löytyy osoitteesta: Kotimaiset lainvalvontaviranomaiset tai tiedusteluorganisaatiot ilmoittaisivat Joka viides (19%) suurista yrityksistä uskoo saavansa varoituksen kotimaisilta lainvalvonta- tai tiedusteluviranomaisilta. Yritykset luottavat korkealaatuiseen viranomaistoimintaan. Hyökkäysten lisääntyessä on viranomaisille annettava enemmän resursseja kuin niillä nykyisin on käytettävissään. Hyökkäyksiä yrityksiin ja eritoten kriittisen infran toimijoihin on tehty jo vuosikausia. Yritysten verkoissa saattaa olla erilaisia uinuvia hyökkäysohjelmia, jotka odottavat aktivoimista hyökkääjätaholta. Monet yritykset tarvitsevat myös valtion asiantuntija-apua ja sitä viranomaiset eivät nykyisillä resursseilla voi antaa kovinkaan laajasti.

27 26 Kyberturvallisuuskeskuksen raportti kohdistetuista hyökkäyksistä Elokuussa 2014 Kyberturvallisuuskeskus julkaisi raportin kohdistetuista haittaohjelmahyökkäyksistä. Sen tarkoituksena on lisätä tietoisuutta, parantaa suojausta ja lisätä kansallista yhteistyötä kohdistettujen haittaohjelmahyökkäysten uhkan torjunnassa. Tässä raportissa Kyberturvallisuuskeskus mainitsee seuraavaa: Kohdistettuja haittaohjelmahyökkäyksiä on paljastunut viime vuosina yhä enemmän. Kohteena ovat olleet pääasiassa valtiolliset organisaatiot ja kriittisen infrastruktuurin yritykset, mutta hyökkäyksen uhka voi tulla ajankohtaiseksi myös muille toimijoille esimerkiksi alihankintaketjujen kautta. Yritykselle hyökkäyksen seuraukset voivat olla huomattavia, jos hyökkääjä kopioi ja vie sen huomaamatta liikesalaisuudet, kryptaa sen tiedostoja, ehkä sekoittaa sen logistiikka- tai tuotantoprosessit siten että väärät tavarat lähtevät väärille tahoille tai tuotantomäärät menevät sekaisin tai vain julkistaa sille haitallisia sisäisiä tietoja.

28 27 KYSYMYS 5. Minkälaista tietoa luulette tunkeutujien etsivän? Immateriaalista omaisuutta tai luottamuksellista tietoa tuotteistamme tai palveluistamme Me emme osaa sanoa millaista tietoa vietäisiin tunkeutumisen yhteydessä Tietoa alihankkijoista, yhteistyökumppaneista, tavarantoimittajista tai asiakkaista Tietoverkkoonne liittyvää tietoa kuten verkon arkkitehtuuri, asetukset tai tarkoitus Ylempään johtoon kuuluvien henkilökohtaista tietoa Henkilökunnan jäseniin liittyvää tietoa, kuten nimet, vastuualueet ja yksiköt Kaikki vastaajat, n=754 Mikrot (1-4 henkilöä), n=206 Pienet (5-49 henkilöä), n=357 Keskikokoiset ( henkilöä), n=100 Isot (yli 200 henkilöä), n= % Riskienhallintaprosessin kautta toteutettava kyberturvallisuus on suositeltava tapa toimia. Yrityksen on ensin tunnistettava mitä on suojattava ja suhteuttaa toimenpiteet tunnistettuihin ja realistisiin riskeihin. Suora teknologian käyttöönotto vailla riskienarviointia ei ole hyvä tapa kehittää kyberturvallisuutta. Immateriaalinen omaisuus tai luottamuksellinen tieto palveluista tai tuotteista Neljä kymmenestä (40%) kaikista vastaajista uskoi tunkeutujan etsivän immateriaalista omaisuutta tai luottamuksellista tuotteisiin- tai palveluihin liittyvää tietoa. Puolet (48%) suurista yrityksistä vastasi näin. Aiemmin kaksi kolmasosaa (64%) suurista yrityksistä vastasi näin. Toimialoittain tunkeutujan oletettiin hakevan näitä tietoja seuraavasti: teollisuus 46%, rakentaminen 34%, kauppa 27% ja palvelut 42%.

29 28 Emme tiedä mitä tietoa vietäisiin Neljä kymmenestä (40%) vastaajasta ei osannut sanoa millaista tietoa vietäisiin. Miten yritys voi suojautua, jos se ei tiedä mitä joku haluaisi viedä yritykseltä? Toimialoittain tämä tietämättömyys ilmeni seuraavasti: teollisuus 33%, rakentaminen 49%, kauppa 46% ja palvelut 39%. Aasiassa tehtaaseen on hyökätty ja viety valmistustietoa. Luottamuksellista tietoa on tahattomasti päätynyt ohjelmistojen automaation vuoksi pilveen ja periaatteessa siten esimerkiksi valtiollisen verkkotiedustelun saataville. Aiemmin suurista yrityksistä joka viides (19%) ei tiennyt mitä tietoa heiltä etsittäisiin, kun tänä vuonna suurista melkein kolmasosa (29%) ei tiennyt. Syytä on vaikea arvioida miksi näin on käynyt ja miksi immateriaalisen omaisuuden ja luottamuksellisen tiedon prosentti on laskenut kymmenen prosentin verran. Tieto alihankkijoista, yhteistyökumppaneista, tavarantoimittajista tai asiakkaista Kolmasosa kaikista vastaajista (33%) uskoi tunkeutujan etsivän tietoa alihankkijoista, yhteistyökumppaneista, tavarantoimittajista tai asiakkaista. Suurista yrityksistä neljä kymmenestä (43%) vastaajasta piti näitä tunkeutujan etsimänä tietona. Toimialoittain tämä vaihtoehto jakautui seuraavasti: teollisuus 30%, rakentaminen 25%, kauppa 36% ja palvelut 35%. Asiakkaan päivittämättömän julkaisujärjestelmän läpi on ujutettu palvelimelle haittaohjelma, joka esim. lähettää roskapostia. Tietoverkkoon liittyvä tieto arkkitehtuuri, asetukset tai tarkoitus Kaikista vastaajista kymmenesosa (12%) uskoi tunkeutujan etsivän tietoa verkon arkkitehtuurista, asetuksista tai tarkoituksesta. Suurista joka kolmas (33%) uskoi asian olevan näin. Toimialoittain näin vastattiin seuraavasti: teollisuus 15%, rakentaminen 11%, kauppa 13% ja palvelut 9%. Ylempään johtoon liittyvää henkilökohtaista tietoa Kymmenesosa (12%) kaikista vastaajayrityksistä uskoi tunkeutujan etsivän ylemmän johdon tietoja. Toimialoittain johdon tietojen etsimisen vaihtoehtoa painotettiin seuraavasti: teollisuus 19%, rakentaminen 7%, kauppa 4% ja palvelut 11%. Suurista vastaajista joka viides (22%) uskoi asian olevan näin. Henkilökuntaan liittyvä tieto Kymmenesosa kaikista vastaajista (9%) uskoi tunkeutujan etsivän henkilökuntaan liittyvää tietoa. Suurista vastaajista joka viides (18%) uskoi asian olevan näin. Olemme hajauttaneet palvelut eri paikkoihin, eli jos yhteen kohteeseen murtaudutaan ei sieltä ole linkkiä toiseen palveluun.

30 29 KYSYMYS 6. Minkä tyyppistä tietoa olette menettäneet tietoverkkotunkeutumisten vuoksi? Immateriaalista omaisuutta tai luottamuksellista tietoa tuotteistamme tai palveluistamme Tietoa alihankkijoista, yhteistyökumppaneista, tavarantoimittajista tai asiakkaista Henkilökunnan jäseniin liittyvää tietoa, kuten nimet, vastuualueet ja yksiköt Tietoverkkoonne liittyvää tietoa kuten verkon arkkitehtuuri, asetukset tai tarkoitus Ylempään johtoon kuuluvien henkilökohtaista tietoa Kaikki vastaajat, n=754 Mikrot (1-4 henkilöä), n=206 Pienet (5-49 henkilöä), n=357 Keskikokoiset ( henkilöä), n=100 Isot (yli 200 henkilöä), n= % Vastausten määrässä näkyi odotettavissa ollut ilmiö. Vastaajista suurin osa (93%) vastasi ettei osaa sanoa tai ei tiennyt mitä tietoa olisi viety. Syy voi olla tietämättömyyden ohella myös haluttomuus kertoa menettäneensä tietoa. Toisaalta jos riittäviä toimenpiteitä tietoverkon suojaamiseksi ei ole tehty, on mahdotonta tietää onko jotain tietoja kopioitu ja lähetetty ulos yrityksen verkosta. Immateriaalinen tieto tai muu luottamuksellinen tieto Kolme prosenttia kaikista vastaajayrityksistä kertoi tunkeutujan vieneen tietoa immateriaalisesta omaisuudesta tai luottamuksellista tuotteisiin- tai palveluihin liittyvää tietoa. Suurista yrityksistä miltei kymmenesosa (7%) kertoi näin käyneen.