Kyberturvallisuuden tila

Samankaltaiset tiedostot
Kyber- hyökkäykset. Mitä on #kyberturvallisuus #CyberSecurity.

Kyberturvallisuudesta

Elisa Oyj Prior Konsultointi Oy

KYBERTURVAMARKKINA KASVAA TEEMME KYBERTURVASTA TOTTA

KYBERTURVALLISUUS. digitalisoituvassa maailmassa. Digitaalinen murros. Uudet liiketoimintamahdollisuudet

TEEMME KYBERTURVASTA TOTTA

TEEMME KYBERTURVASTA TOTTA

Tietoturvan johtaminen suomalaisen liikkeenjohdon näkökulmasta

KASVAVAN KYBERTURVAMARKKINAN PELINTEKIJÄ

YRITTÄJÄKYSELY 2017 TUTKIMUSRAPORTTI: TIETOTURVA

Varmaa ja vaivatonta viestintää kaikille Suomessa

Fennian tietoturvavakuutus

Kyberturvallisuudessa on kyse luottamuksesta digitalisaation hyötyihin

TEEMME KYBERTURVASTA TOTTA

Rakenna muuri verkkorosvolle. Antti Nuopponen, Nixu Oy

Tuntematon uhka Mikä se on ja miten siltä suojaudutaan

Kävijäkysely Helsingin Messukeskus

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Aseta kaupunginosanne identiteetin kannalta annetut vaihtoehdot tärkeysjärjestykseen 26 % 0 % 10 % 20 % 30 % 40 % 50 % 60 %

Kartoitus investointi- ja projektiprosessien harmonisointiasteesta. Juuso Äikäs Suomen Projekti-Instituutti Oy

Kyber uhat. Heikki Silvennoinen, Miktech oy /Safesaimaa

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

Kävijäkysely Helsingin Messukeskus

Talousjohdon haasteet kyselyn tulokset Amy Skogberg Markkinointipäällikkö Business Intelligence and Performance Management

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Kyselytutkimus sosiaalialan työntekijöiden parissa Yhteenveto selvityksen tuloksista

Yritykset ostopäätösten äärellä

Kysely yritysten valmiudesta palkata pitkäaikaistyötön

Pk-yritysten johtaminen ja hallinto Yrittäjägallup helmikuu 2019

KyberotsikoitaSuomesta. Lähteet: Helsingin Sanomat, Yle Uutiset, Talouselämä, Tivi

TILINPÄÄTÖS 2015 JA NÄKYMÄT

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

Kaupan liitto Jäsenetuna kyberriskien kattaminen erikoisvakuutusratkaisulla

Toiminnanohjausjärjestelmien hyödyntäminen Suomessa 2013

Päivitämme materiaalia säännöllisesti kesän ja syksyn 2017 aikana.

Suomen finanssisektori vastaa digitalisaatioon kehittämällä uusia palveluja

Vesihuolto päivät #vesihuolto2018

Sosiaalisen median käyttö autokaupassa. Autoalan Keskusliitto ry 3/2012 Yhdessä Aalto Yliopisto, Helsingin kauppakorkeakoulu opiskelijatiimi

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE VÄESTÖREKISTERIKESKUS

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

UUSIX. Työkaluja INWORK hankkeesta

Kaupan alan esimiesten jaksamisbarometri. Kaupan alan esimiesten neuvottelujärjestö

Pirkanmaan Talentian työturvallisuuskartoitus 2018

Liiketoimintaa ICT-osaamisesta vahvuuksilla eteenpäin. Jussi Paakkari, teknologiajohtaja, VTT, R&D, ICT

Yrittäjien hyvinvointi, työkyky ja osallistuminen kuntoutukseen. Projektipäällikkö Kimmo Terävä, VTM

Jytyn Keneen sinä luotat-kampanjakyselyn tuloksia, lokakuu 2013

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

Biotuli-kyselytutkimus

Kysely maahanmuuttajayrittäjille

Kooste riskienhallinnan valmistelusta

Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

Julkiset hankkijat ostopäätösten äärellä Tiivistelmä selvityksen keskeisimmistä löydöksistä

Poliittinen riski Suomessa. Kyselytutkimuksen keskeisimmät löydökset

Turvallisuuden kehittäminen Verohallinnossa. Turvallisuusjohtaja Samuli Bergström

Porvoolaisten yrittäjien hyvinvointi sekä neuvonta- ja tukipalvelut

Pankkialan tyytyväisyys ollut viime vuosina hienoisessa nousussa. EPSI Rating Pankki ja rahoitus 2017

PÄIHTEET TYÖELÄMÄSSÄ -TUTKIMUS. HENRY ry sekä Ehkäisevän Päihdetyön EHYT ry:n HUUGO-työ Syksy 2013

IT-PÄÄTTÄJÄBAROMETRI 2016 ATEA FINLAND OY

YRITTÄJIEN LOMAT

Kyberturvallisuuden ja kybersodankäynnin todellisuus

TAISTO19-harjoitus. Skype-info

YHTENÄINEN EUROMAKSUALUE. Yrityksien siirtyminen yhtenäiseen euromaksualueeseen

Kansalaistutkimus seksuaalisesta häirinnästä STTK /12/2018 Luottamuksellinen 1

Kyselyn tuloksia. Kysely Europassin käyttäjille

VERKOSTOFOORUMI KUOPIO

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Kauppakamarin kysely: Miten Venäjän talousromahdus ja -pakotteet vaikuttavat suomalaisiin yrityksiin?

Sidosryhmäkysely tilintarkastuksen merkityksestä

Kauppakeskusbarometri 2011

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

Talousjohtajabarometri I/2016 Kevät 2016

Turvattomuus työelämässä, väkivalta

Huumeiden käytön haitat muille ihmisille internetkyselyn haasteita ja tuloksia. Marke Jääskeläinen Alkoholitutkimussäätiö

KESKUSKAUPPAKAMARIN LUOTEIS-VENÄJÄN BUSINESS-BAROMETRI 2011

MATALAPALKKATUKI 54 VUOTTA TÄYTTÄNEILLÄ TUEN KÄYTTÖ VUONNA 2006

Koulutus työn tukena kyselyn tuloksia

Työnantajien suhtautuminen alle 30- ja yli 50-vuotiaisiin Toukokuu 2018

KESÄTYÖNTEKIJÄT JA LOMAT PK-YRITYKSISSÄ

Miten tietojärjestelmän laatu näkyy yrityksen tuloksessa? Esko Hannula, CEO Qentinel

Mitä pitää huomioida tämän päivän tietoturvasta ja kuinka varautua kyberturvariskeihin. Mikko Saarenpää Tietohallintopäällikkö MPY Palvelut Oy

Yritykset ostopäätösten äärellä - tiivistelmä selvityksen keskeisimmistä löydöksistä

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

ILMASTONMUUTOS. Erikoiseurobarometri (EB 69) kevät 2008 Euroopan parlamentin / Euroopan komission kyselytutkimus Tiivistelmä

Markkinariskipreemio Suomen osakemarkkinoilla

KURKISTUS ÄLYKKÄÄN MARKKINOINNIN MAAILMAAN. Kuinka tiedolla johdettu markkinointi nähdään Suomessa?

Arjen katsaus Kuluttajakysely maaliskuu 2016

Pk yritysten toimintaympäristö. Pk toimintaympäristökysely & EK:n yrittäjävaltuuskuntakysely

Live demo miten tietomurto toteutetaan?

HANKINTATOIMEN NYKYTILA JA TULEVAISUUDEN HAASTEET

TAPAHTUMAKARTOITUS 2013

Rahoituskysely pk-yrityksille

Mainosbarometri 2007 ennakoi mainonnan kasvua

Työ kysely KYSELYN TULOKSET 9/2018. Kyselyn toteuttaja YTK-Yhdistys ry Kysely toteutettiin

EAKR: DigiLeap Hallittu digiloikka:

Transkriptio:

Kyberturvallisuuden tila suomalaisissa organisaatioissa 2016

Sisältö Tutkimuksen taustatietoja... 1 Kyberturvallisuuden johtaminen... 4 Varautuminen ja riskienhallinta... 7 Tietomurrot ja -vuodot... 11

CGI: Kyberturvallisuuden tila suomalaisissa organisaatioissa 2016 1 Hyvä lukija Kyberturvallisuus on jo useamman vuoden puhuttanut niin mediassa kuin toimistojen käytävillä. Uhkakuvia on maalailtu eri toimialoille. Tutkimuksia on tehty ja tuloksia tulkittu. Suurin osa tutkimustiedosta tulee kuitenkin Pohjois-Amerikasta. Halusimme ulkomaisten tutkimustulosten rinnalle tietoa Suomessa toimivien yritysten ja julkisen sektorin organisaatioiden kyberturvallisuuden tilasta sekä käytännön kokemuksista. Valtaosa vastaajista (86 %) kokee kyberriskin kasvaneen viimeisen vuoden aikana. 74 prosenttia vastaajista pitää todennäköisenä, että organisaatio joutuu hyökkäyksen kohteeksi seuraavan vuoden aikana. 63 prosenttia pitää todennäköisenä, että edustamansa organisaatio on altistunut kyberhyökkäykselle kenenkään siitä tietämättä. Kyberhyökkäyksen havainnointi sekä siihen tehokkaasti ja ajallaan reagoiminen on haastava ja mielenkiintoinen alue. Kansainväliset tutkimukset antavat hyvin synkän kuvan organisaatioiden kyvyistä tällä saralla. Tämän tutkimuksen valossa vastaajilla on kuitenkin varsin positiivinen näkemys omasta havainnointikyvystään. Tietoturvajohdosta ja -asiantuntijoista 18 prosenttia, sekä kaikista vastaajista peräti 40 prosenttia uskoo edustamansa organisaation pystyvän havaitsemaan ns. edistyneet uhkat. Jo toteutuneiden ja havaittujen hyökkäysten osalta peräti 60 prosenttia tapauksista havaittiin organisaation itsensä toimesta. Luvut ovat niin korkeat että ne väistämättä herättävät kysymyksen niiden realistisuudesta. Erityisesti suhteutettuna siihen, että samalla 34 prosentilla organisaatioista ei ole nimettyä tietoturvasta vastaavaa henkilöä tai tahoa ja noin puolella vastaajista kyberturvallisuutta hoitaa käytännön tasolla joku muu kuin tietoturvaan erikoistunut taho. Toimialavertailussa on havaittavissa paikoin jopa merkittäviä eroja sekä koetun riskin että odotetun kyberhyökkäyksen aiheuttaman vahingon ja varautumisen tason suhteen. Erityisen huolestuttavana näyttäytyvät yhteiskunnan kriittistä infrastruktuuria ylläpitävät, energia ja vesi- sekä terveys ja hyvinvointi -toimialat, joissa korostuvat kyberturvallisuuden organisoimattomuus, kohonnut koettu riski, suuret potentiaaliset vahingot yhdistettynä vain vähäisiin investointeihin tilanteen parantamiseksi. Omalta osaltani pidän tutkimusta varsin mielenkiintoisena ja toivonkin voivamme toistaa tutkimuksen määräajoin, jotta voimme myös seurata kokemamme kyberturvallisuuden kehittymistä ajan funktiona. Suuri kiitos kuuluu kaikille tutkimukseen osallistuneille! Jan Mickos kyberturvallisuusjohtaja CGI

2 CGI: Kyberturvallisuuden tila suomalaisissa organisaatioissa 2016 Tutkimuksen taustatietoja Tässä CGI:n tukemassa, oppilasyhteistyönä toteutetussa tutkimuksessa selvitettiin kyberturvallisuuden tilaa suomalaisissa yrityksissä ja julkisen sektorin organisaatioissa. Vastaajien työnantajasektori Tutkimuksen aiheita ovat kyberturvallisuuden johtaminen, varautuminen, riskienhallinta sekä organisaatioille tapahtuneet tietomurrot ja -vuodot. Vastaajat olivat liiketoiminta-, IT- ja tietoturvajohtoa sekä -asiantuntijoita. Tutkimus suoritettiin sähköisenä kvantitatiivisena kyselynä ajalla 11/2015 3/2016. Vastaajia oli yhteensä 200. Vastaajien toimiala

CGI: Kyberturvallisuuden tila suomalaisissa organisaatioissa 2016 3 Tutkimuksen taustatietoja Vastaajien asema ja rooli organisaatiossa Vastaajan asema: Johtoa 49 % Asiantuntijoita 36 % Vastaajan rooli: Liiketoiminta 33 % IT 38 % Tietoturva 14 % Organisaation henkilömäärä Suomessa Organisaation henkilömäärä globaalisti

4 CGI: Kyberturvallisuuden tila suomalaisissa organisaatioissa 2016 Kyberturvallisuuden johtaminen Onko organisaatiollasi erikseen nimettyä tietoturvajohtajaa tai tietoturvaosastoa? 34 prosentilla kaikkien vastaajien organisaatioista ei ole erikseen nimettyä tietoturvajohtajaa tai -osastoa. Pk-sektorilla (alle 250 työntekijää) jopa 54 prosenttia on ilman tietoturvasta vastaavaa henkilöä. Kansainväliset organisaatiot ovat hieman järjestäytyneempiä tietoturvan saralla kuin suomalaiset organisaatiot. 70 prosentilla kansainvälisistä organisaatioista, joiden pääkonttori on joko Suomessa tai ulkomailla, on nimetty tietoturvajohtaja tai -osasto. Suomalaisilla organisaatioilla sama luku on 63 prosenttia. Toimialoista parhaiten ovat järjestäytyneet Julkishallinto ja puolustus, Kauppa, palvelut ja kuljetus sekä IT ja viestintä. Huonoin tilanne on Energia ja vesi sekä Terveys ja hyvinvointi -toimialoilla. Suurin yksittäinen syy, miksi kaikilla vastaajaorganisaatioilla ei ole nimettyä tietoturvajohtajaa tai -osastoa, on se, että sellaiselle ei nähty tarvetta (54 % vastauksista). Yksityisen sektorin organisaatioilla luku on jopa 65 prosenttia ja pk-yrityksillä (alle 250 työntekijää) 76 prosenttia. Vaikka organisaatiot kokevat ettei tietoturvaan dedikoidulle henkilölle tai osastolle ole tarvetta, kokevat he silti samaan aikaan, että kyberhyökkäyksen kohteeksi joutumisen riski ja varautumisen tarve ovat kasvaneet. Miksi organisaatiollasi ei ole erikseen nimettyä tietoturvajohtajaa tai tietoturvaosastoa?

CGI: Kyberturvallisuuden tila suomalaisissa organisaatioissa 2016 5 Kyberturvallisuuden johtaminen Kuka vastaa kyberturvallisuudesta? Kun organisaatioilta kysyttiin, kuka heidän organisaatiossaan vastaa kyberturvallisuudesta, oli huolestuttavaa huomata, miten vastuun hyvin usein otti sellainen taho, jolla ei välttämättä ole ymmärrystä kyberturvallisuudesta. 18 prosentissa tapauksista kyseessä oli toimitusjohtaja tai jokin muu johtaja. Noin kolmannessa (33 %) vastanneista organisaatiosta vastuussa oli IT-johtaja, joka vastasi kyberturvallisuudesta varsinaisen työnsä ohella. Tietoturvajohtajan tai -osaston puuttuminen saa aikaan monia hälyttäviä tilanteita. Organisaatiossa ei esimerkiksi välttämättä ole ollenkaan pätevää tahoa, joka hoitaisi kyberturva-asioita. Noin 50 prosentissa organisaatioista kyberturvallisuutta hoitaa joku muu kuin tietoturvaan erikoistunut taho. Kuka hoitaa kyberturvallisuutta?

6 CGI: Kyberturvallisuuden tila suomalaisissa organisaatioissa 2016 Kyberturvallisuuden johtaminen Käsitelläänkö kyberuhkia johdon tasolla? Kyberturvallisuuden johtaminen ja johdon osallistuminen kyberturvallisuutta koskevien asioiden päättämiseen yllätti muutamien toimialojen osalta. Toimialat, joiden voisi lähtökohtaisesti olettaa tuottavan palveluita tietoturva-asiat huomioon ottaen, pitivätkin sisällään muutaman mielenkiintoisen poikkeaman. Edukseen näyttäytyivät Energia ja vesi -toimiala sekä Julkishallinto ja puolustus, joissa johto käsitteli uhkia keskimäärin 77 prosentissa tapauksista. Teollisuus sekä Terveys ja hyvinvointi -toimialat käsittelivät kyberuhkia johdon tasolla vain noin 40 prosentissa tapauksista. Onko organisaatiossasi kyberturvallisuusstrategiaa? Vaikka kyberuhkia käsitelläänkin valtaosassa organisaatioista (56 %) johdon tasolla, on vasta 29 prosenttia organisaatioista laatinut kyberturvallisuustrategian. Kyberturvallisuusstrategian puuttuminen viestii riittämättömästä varautumisesta ja rakenteellisten lähestymistapojen puuttumisesta. Tyypillisesti kirjallisessa muodossa olevan politiikan tai strategian puuttuminen aiheuttaa sen, ettei kaikkea kyseisen osa-alueen asioita kyetä hoitamaan riittävällä tarkkuudella. Yksi kyberturvallisuusstrategian tärkeimmistä seikoista on riskien tunnistaminen. Kyberturvallisuusstrategian puuttuminen saattaa osaltaan vaikuttaa siihen, että 33 prosenttia ei usko olevansa kovinkaan tietoinen organisaatioon kohdistuvista tietoja kyberturvallisuusuhkista. Arvioimalla riskit huolella ja kohdentamalla torjuntakeinot viisaasti, voi turvallisuuden tasoa nostaa merkittävästi.

CGI: Kyberturvallisuuden tila suomalaisissa organisaatioissa 2016 7 Varautuminen ja riskienhallinta Uskotko olevasi tietoinen organisaatioosi kohdistuvista tietoja kyberturvallisuusuhista? 67 prosenttia vastaajista on sitä mieltä, että he ovat joko täysin tai jonkin verran tietoisia omaan organisaatioonsa kohdistuvista kyberuhista. Tämän prosentin ollessa suhteellisen korkea, kuitenkin vain 34 prosentilla on tietoturvaan erikoistunut tietoturvajohtaja tai -osasto, joka olisi osaltaan vastuussa kyberuhkien havaitsemisesta. Suurin luottamus omaan havainnointikykyynsä on Energia ja vesi, IT ja viestintä sekä Pankki ja vakuutus -toimialoilla. Realistisimpia omaan havainnointikykyynsä ollaan Terveys ja hyvinvointi sekä Teollisuus -toimialoilla. Uskotko, että organisaatiosi pystyy havaitsemaan kyberhyökkäykset itse? Uskotko, että organisaationne kykenee havaitsemaan ns. edistyneet hyökkäykset (Advanced Persistent Threat, APT) itse? Vastaajat ovat erittäin optimistisia omasta kyvystään havaita edistyneitä hyökkäyksiä (Advanced Persistent Threat, APT). Tietoturvajohdosta ja -asiantuntijoista yli 18 prosenttia uskoo organisaationsa kykenevän havaitsemaan edistyneet hyökkäykset. Kaikista vastaajista jopa 40 prosenttia uskoo havaitsevansa ne. Edistyneiden hyökkäyksien havaitseminen on tyypillisesti erittäin hankalaa ja vaatii hyvin kohdennettuja panostuksia järjestelmien valvontaan ja tietoliikenteen analysointiin.

8 CGI: Kyberturvallisuuden tila suomalaisissa organisaatioissa 2016 Varautuminen ja riskinhallinta Onko kyberhyökkäyksen kohteeksi joutumisen riski mielestäsi kasvanut kuluneen vuoden aikana? Onko kyberuhkiin varautumisen tarve mielestäsi muuttunut organisaatiossasi kuluneen vuoden aikana? 86 prosenttia organisaatioista on sitä mieltä, että uhka joutua kyberhyökkäyksen kohteeksi on kasvanut kuluvan vuoden aikana. Lisäksi 81 prosenttia organisaatioista toteaa, että kyberuhkiin varautumisen tarve on kasvanut. Huomattava enemmistö organisaatioista (74 %) pitää enemmän todennäköisenä kuin epätodennäköisenä sitä, että organisaatio joutuu hyökkäyksen kohteeksi seuraavan vuoden aikana. Tietoturva-asiantuntijat sekä tietoturvajohto näkee riskin kasvun kyberhyökkäyksen kohteeksi joutumisessa merkittävänä useammin kuin muut kyselyyn vastanneet. Huolimatta siitä, että merkittävä enemmistö organisaatioista (86 %) tunnistaa kyberhyökkäyksen kohteeksi joutumisen uhan ja varautumisen tarpeen (81 %) kasvaneen, puolet organisaatioista ei investoi tietoturvan parantamiseen. Toisin sanoen 49 prosenttia ainoastaan tarkastaa jo olemassa olevia suunnitelmiaan, eikä investoi kyberturvallisuuteen mitenkään tai ei osaa sanoa tehdäänkö asian eteen mitään. Ainoastaan 13 prosenttia kertoo tekevänsä merkittäviä investointeja tai parannuksia. Joitain investointeja tai parannuksia aikoo tehdä 37 prosenttia organisaatioista. Millaisia investointeja organisaatiosi on tehnyt tai on aikeissa tehdä kyberuhkiin varautumisessa?

CGI: Kyberturvallisuuden tila suomalaisissa organisaatioissa 2016 9 Varautuminen ja riskienhallinta Miten organisaatiossasi varaudutaan kyberuhkiin? Onko organisaatiosi hankkinut tai aikeissa hankkia kybervakuutusta? Kun organisaatioiden varautumistapoja vertaillaan keskenään, nousee suosituimmaksi investoinniksi riskianalyysin teettäminen. Toiseksi suosituin on turvamekanismeihin sijoittaminen ja kolmanneksi suurimpana oli pelkkä nykyisten suunnitelmien katselmointi ilman varsinaisia investointeja. Kybervakuutus oli vain 2 prosentilla vastaajista. 18 prosenttia kertoo olevansa aikeissa ottaa tai ainakin harkitsevansa kybervakuutuksen ottamista. Suurin osa vastaajista (50 %) ei osannut sanoa, onko yritys aikeissa hankkia tai jo hankkinut kybervakuutuksen. Tätä osittain selittää se, että kybervakuutus on monille vielä tällä hetkellä vieras ja ne ovat vasta hiljattain alkaneet kasvattaa suosiotaan.

10 CGI: Kyberturvallisuuden tila suomalaisissa organisaatioissa 2016 Varautuminen ja riskinhallinta Miten vähäinen tai suuri haitallinen vaikutus kyberhyökkäyksellä, tietomurrolla tai -vuodolla on organisaatioosi? Vain 11 prosenttia vastaajista kokee, että kyberhyökkäyksen, tietomurron tai -vuodon vaikutukset jäisivät vähäisiksi. Loput 89 prosenttia uskovat vaikutuksien olevan haitallisia tai erittäin haitallisia. Vaikka Pankki ja vakuutus- sekä Terveys- ja hyvinvointi -toimialat näkivät molemmat kyberhyökkäyksen vaikutukset erittäin haitallisina, Pankki- ja vakuutustoimiala investoi selvästi voimakkaammin kyberuhkiin varautumisessa. 55 prosenttia vastaajista arvioi oman tai asiakkaan yksityisyyden loukkauksen, aineettoman omaisuuden kuten maineen menetyksen ja tuoton menetykset merkitettävimpinä kyberhyökkäyksen vaikutuksina. Vaikka henkilöstön tai asiakkaiden yksityisyydenloukkaus olikin selkeästi oletetuin vahinko, myös täydellinen liiketoiminnan keskeytyminen oli valittu mahdolliseksi 40 prosentissa tapauksista. Toinen liiketoiminnan jatkuvuuden kannalta olennainen vahinko, markkinaosuuden menetys, oli myös suhteellisen tyypillinen. 18 prosenttia organisaatioista vastasi markkinaosuuden menetyksen olevan mahdollinen seuraus kyberhyökkäyksestä. Minkälaista vahinkoa arvioisit kyberhyökkäyksen aiheuttavan organisaatiossasi?

CGI: Kyberturvallisuuden tila suomalaisissa organisaatioissa 2016 11 Tietomurrot ja -vuodot Kuinka todennäköisenä pidät sitä, että organisaatioosi on kohdistunut tietomurto tai -vuoto kenenkään siitä tietämättä? Kuinka todennäköisenä pidät sitä, että organisaatiosi joutuu kyberhyökkäyksen kohteeksi seuraavan vuoden aikana? Suurin osa vastaajista (63 %) pitää todennäköisenä sitä, että heidän organisaatioonsa on tapahtunut tietomurto kenenkään siitä tietämättä. Tietoturvaroolissa toimivat henkilöt (johto ja asiantuntijat) pitävät tietomurtoa todennäköisempänä (33 % vastasi 9 tai 10 asteikolla 1-10) kuin kaikki vastaajat keskimäärin (16 % vastasi 9 tai 10 asteikolla 1-10). Vielä suurempi osa, 74 prosenttia, vastaajista pitää todennäköisenä sitä, että oma organisaatio joutuu hyökkäyksen kohteeksi seuraavan vuoden aikana. Huolimatta siitä, että 63 prosenttia vastaajista pitää salassa tapahtunutta tietomurtoa todennäköisenä, on 47 prosenttia vastaajista varmoja ettei heidän organisaationsa ei ole kohdistunut tietomurtoa tai -vuotoa viimeisen kahden vuoden aikana. 15 prosenttia vastaajista tietää joutuneensa tietomurron tai -vuodon kohteeksi. Teoriassa organisaation on mahdotonta tietää varmasti, että se ei ole joutunut tietomurron tai -vuodon kohteeksi. Näin ollen ainoa asia jonka organisaatio todellisuudessa pystyy kertomaan, on jo tapahtunut tietomurto tai -vuoto, jonka organisaatio on kyennyt havaitsemaan. Tämä seikka huomioon ottaen kielteisten vastauksien tulisi jakautua kokonaisuudessaan myönteisten ja epävarmojen vastauksen kesken, mikäli vastaajat olisivat realistisia omasta tilanteestaan. Onko organisaatiosi joutunut tietomurron tai -vuodon kohteeksi viimeisen kahden vuoden aikana?

12 CGI: Kyberturvallisuuden tila suomalaisissa organisaatioissa 2016 Tietomurrot- ja vuodot Kuinka kauan tietomurron tai -vuodon havaitseminen kesti sen alkamisesta? 55 prosenttia tietomurroista ja -vuodoista havaittiin alle kuukaudessa sen alkamisesta. 1-6 kuukaudessa tietomurron- tai vuodon havaitsi 19 prosenttia vastaajista. Vain 6 prosenttia hyökkäyksistä oli vastausten perusteella kestänyt yli 7 kuukautta. Tulos on valtavassa ristiriidassa kansainvälisten tutkimusten* kanssa joissa havainnon tekeminen kestää keskimäärin useita satoja päiviä. Kuka havaitsi tietomurron tai -vuodon? Mistä tietomurto tai -vuoto johtui? Kun tietomurron tai -vuodon kohteeksi joutuneilta organisaatioilta kysyttiin kuka tapahtuneen havaitsi, olivat vastaukset suuressa ristiriidassa aikaisempien tutkimusten** kanssa. 60 prosenttia organisaatioista kertoi havainneensa itse tietomurron tai -vuodon. 47 prosenttia vastaajista kertoi, että havainto tehtiin jonkun ulkopuolisen tahon toimesta. Aikaisempien tutkimusten mukaan 94 prosenttia organisaatioista kuulee kyberhyökkäyksestä joltain ulkopuoliselta taholta. Tästä voidaan päätellä, että joko havainnointikyky on kasvanut merkittävästi tai todellisuus tietomurtojen määrästä ei ole käynyt ilmi yhtä hyvin. Tehdyn kyselyn perusteella liiketoimintajohto ajattelee, että tietomurto johtui yhtä usein inhimillisestä virheestä (40%) kuin ulkoisesta kyberhyökkäyksestä (40%). Asiantuntijoiden mielestä syy on kuitenkin selkeästi enemmän (67%) ulkoisessa kyberhyökkäyksessä, eikä niinkään inhimillisessä virheessä (22%). Kaikkien vastaajien osalta ulkoisen kyberhyökkäyksen osuus oli 53 %. * Forrester Research study on targeted threats, jossa keskimääräinen kyberhyökkäyksen kesto on 416 päivää ** Center for a new American Security: Active Cyber Defense A Framework for Policymakers 2/2013

CGI: Kyberturvallisuuden tila suomalaisissa organisaatioissa 2016 13 Tietomurrot ja -vuodot Tuliko tietomurto tai -vuoto julkistuuteen? Tehtiinkö tietomurrosta tai -vuodosta rikosilmoitus? Miksi tietomurrosta tai -vuodosta ei tehty rikosilmoitusta? Oltiinko tietomurrosta tai -vuodosta yhteydessä muhin viranomaisiin tai tietoturvatoimijoihin? Vain 31 prosenttia tietomurroista tuli julkisuuteen. Tulevaisuudessa tämä prosenttiluku tulee kasvamaan, kun uusi tietosuoja-asetus astuu voimaan vuonna 2018. Vain murto-osa (7 %) ei halunnut julkistaa tapahtunutta ja jätti siksi ilmoittamasta viranomaisille. Suurin osa organisaatioista ei tehnyt asiasta rikosilmoitusta, koska ajatteli, että siitä ei ole mitään hyötyä. Huomattava, 62 prosentin enemmistö vastaajista oli kuitenkin jälkikäteen yhteydessä muihin viranomaisiin tai tietoturvatoimijoihin tietomurron takia. Vastaajat olivat yhteydessä muun muassa Viestintävirastoon/kyberturvallisuuskeskukseen, muihin ministeriöihin, turvallisuuspalveluiden toimittajaan, Valtoriin ja pankkiin. Jatkossa organisaatiot toivovat viranomaisilta erityisesti toimintamalleja, neuvontaa ja ohjeistusta kyberturvalliseen toimintaan. Tietoturvan palveluntarjoajilta toivotaan pääasiassa tietoturvapalveluita, tietoturvan kokonaisuuden hallintaa, toimintamalleja ja konsultointia. Minkälaista apua toivot jatkossa viranomaisilta? Minkälaista apua toivot jatkossa tietoturvapalveluita tarjoavilta yrityksiltä?

CGI on globaali, Suomessa yli 3 200 asiantuntijaa työllistävä ICT-palveluyritys, joka konsultoi asiakkaitaan liiketoiminnan sekä ICT-ratkaisujen kehittämisessä ja on luotettu ulkoistuskumppani. Olemme Suomen ainoa täyden palvelun kyberturvallisuustoimittaja. Autamme asiakkaitamme tiedostamaan riskejä, suojaamaan toimintoja ja tietoja sekä toimimaan turvallisesti digitaalisessa maailmassa. Lisätietoa cgi.fi ja cgi.fi/kyber Kysy lisätietoja tai ota yhteyttä: Jan Mickos kyberturvallisuusjohtaja jan.mickos@cgi.com Mika Heino johtaja, kyberturvallisuuskeskus mika.heino@cgi.com Jens Säynäjärvi johtaja, kyberturvallisuuskonsultointi jens.saynajarvi@cgi.com

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute