IT-palveluyritys CGI:n tutkimusten ja selvitysten mukaan yritykset vähättelevät yhä tietoturvan ja kyberturvallisuuden merkitystä liiketoiminnalle, mikä näkyy alimitoitettuina ja väärin kohdistettuina turvallisuusinvestointeina. - Nykypäivän turvallisuusriskit edellyttävät tehokasta valvontaa, jossa hyödynnetään sekä teknologiaa että inhimillistä asiantuntemusta. Organisaatiot luottavat yhä liikaa pelkkiin teknisiin ratkaisuihin, tiivistää CGI Suomen kyberturvallisuusjohtaja Jan Mickos.
Toinen yleinen ongelma on epärealistinen luottamus kykyyn välttää ja havaita kyberturmat. - Monet ovat kuin kilpa-autoilijoita, jotka istuvat itseohjautuvissa autoissa turvavyöt kiinnittämättä. Uhkat kyllä tiedostetaan, mutta oma rooli koetaan silti sivustaseuraajaksi. Luja usko oman henkilöstön kykyihin puolustautua kyberrikollisia vastaan kertoo karua kieltään niin kyberturvallisuuden johtamisen puuttumisesta kuin epärealistisista kuvitelmista, Mickos sanoo.
CGI:n Suomessa tekemän Kyberturvallisuuden tila suomalaisissa organisaatioissa 2018 -selvitys kertoo, että viimeisen kahden vuoden aikana joka viides (18 %) yritys on jo ollut kiristyshaittaohjelman ja joka kolmas (31 %) muun haittaohjelman kohteena. Yli puolet (57 %) arvioi todennäköiseksi, että organisaatio on joskus ollut sellaisen tietomurron tai -vuodon kohteena, joka on jäänyt tunnistamatta. Vain 13 % kertoo tunnistetun kyberhyökkäyksen tai -vahingon tulleen julkisuuteen.
Tulevaisuudessa 70 % arvioi todennäköisesti joutuvansa hyökkäyksen kohteeksi seuraavan vuoden aikana. 75 % arvioi kyberhyökkäyksen ja vahingon vaikutuksen organisaatiolleen haitalliseksi.
Mickosin kokemuksen mukaan merkittävä kyberturvatasosta kertova indikaattori on se, löytyykö organisaatiosta tietoturvaan erikoistunut johtaja. Parhaiten asiat ovat pankki- ja vakuutustoimialalla. Suomessa finanssialan yrityksistä 93 prosentilla on tietoturvajohtaja, kun taas terveyden ja hyvinvoinnin toimialalla vain 20 prosentilla.
- Terveys- ja hyvinvointiyritykset käsittelevät arkaluontoisia tietoja ihmisistä. Selvityksen mukaan niistä kaikki kokevat kyberhyökkäyksissä pelottavimpana riskinä loukkaukset asiakkaiden ja potilaiden yksityisyyttä kohtaan. Silti tietoturvajohtaja, jolla olisi selkeä vastuu kokonaisuudesta, loistaa poissaolollaan monissa organisaatioissa, ihmettelee Mickos.
Selvityksessä kysyttiin 144 suomalaisen yrityksen ja julkisen sektorin organisaation kyberturvallisuuden johtamisesta, varautumisesta, riskienhallinnasta ja ymmärtämystä kyberhyökkäyksiä kohtaan. Vastaajat olivat liiketoiminta-, it- ja kyberturvallisuusjohtoa sekä asiantuntijoita.