Suomalaisyrityksiin kohdistuu enemmän ammattimaista kyberrikollisuutta, huijauksia ja tietoturvaloukkauksia kuin koskaan ennen. Miten näihin riskeihin tulisi varautua?
Yrityksiin kohdistuva verkkorikollisuus kasvaa nopeasti. Ammattirikolliset pyrkivät ensisijaisesti hyötymään taloudellisesti löytämällä yrityksistä haavoittuvuuksia.
Mitä yritys voi tehdä tietoturvan parantamiseksi ja torjuakseen verkkorikollisten pyrkimykset?
1. Ammattirikolliset eivät pidä taukoa edes kesällä – nämä ovat yleisimmät huijaukset
Rikolliset toimivat aktiivisesti kesälomakaudella, kun monissa yrityksissä on kausityöntekijöitä ja monet vastuuroolit on paikattu asiantuntijan kesäloman ajaksi. Rikolliset yrittävät iskeä, kun yritys on haavoittuvaisimmillaan.
Tyypillisimmät yrityksiin kohdistuvat verkkorikollisuuden muodot ovat väärennetyt laskut, tietojenkalastelu, kiristysohjelmat ja toimitusjohtajahuijaukset.
2. Toimitusjohtajahuijauksilla suomalaisyrityksiltä vietiin yksistään 2022 4,9 miljoonaa euroa
Viranomaisten ja yritysten Varo, varmista, varoita -kampanjan mukaan suomalaiset menettivät yhteensä 32,4 miljoonaa euroa nettirikollisille vuonna 2022. Yksistään toimitusjohtajahuijauksien myötä suomalaisilta huijattiin 4,9 miljoonaa euroa.
Pankit ja viranomaiset onnistuivat viime vuonna estämään 14,5 miljoonan euron edestä huijareille tehtyjä maksuja.
Huijaukset kohdistuvat niin yksityisyrittäjiin kuin suuryrityksiin, sillä verkkorikolliset hakevat volyymilla haavoittuvuuksia ja tavoittelevat käytännössä aina taloudellista hyötyä.
3. Jos kyberrikollisuus olisi valtio, se olisi maailman kolmanneksi suurin talous
Arviot kyberrikollisuudella vuosittain saavutetusta varoista vaihtelevat voimakkaasti, mutta yksi kuvaava esimerkki on, että valtioihin verrattaessa kyberrikollisuus olisi arviolta maailman kolmanneksi suurin talous.
Todennäköisesti merkittävä osa huijauksista ei käy edes ilmi, vaan lukuisat yritykset hyväksyvät taloudellisen tappion. Kuka tahansa voi joutua huijauksen kohteeksi, sillä ammattimaiset verkkorikolliset ovat yhä ovelampia ja hyödyntävät myös tekoälyä höynäyttääkseen ihmisiä.
Hakulinen toivoo, että huijauksista puhuttaisiin avoimesti, eikä niistä vaiettaisi.
Kun tietoisuus rikollisten keinovalikoimasta kasvaa, ihmiset ja yritykset ovat kyvykkäämpiä kohtaamaan erilaisia huijausyrityksiä.
4. Yhä useampi yritys suojaa toimintaansa kybervakuutuksella – mitä vakuutus korvaa?
Yhä useampi yritys on kiinnostunut suojaamaan liiketoimintansa jatkuvuutta kybervakuutuksella. Esimerkiksi tietomurron aiheuttama liiketoiminnan keskeytys ja kolmannelle osapuolelle aiheutuneiden vastuuvahinkojen korvaaminen kuuluvat kybervakuutuksen piiriin.
Kalastelun kautta rikollisiin käsiin saatettu tieto tai toimitusjohtajahuijauksen myötä yrityksen kärsimä taloudellinen vahinko eivät ikävä kyllä kuulu vakuutuksen piiriin. Jos yrityksessä epäillään toimitusjohtajahuijausta ja rahat on ehditty laittaa maksuun, kannattaa olla saman tien yhteydessä omaan pankkiin, joka saattaa pystyä estämään tilisiirron.
5. Yritysten tietoturva ei ole pysynyt työn nopean muutoksen perässä
Yritysten tietoturvatasoissa on Hakulisen mukaan suuria eroja. Koronapandemia aiheutti niin voimakkaan muutoksen yritysten etätyökulttuuriin ja toimintatapoihin, että monen yrityksen tietoturva ei ole pysynyt työkulttuurin nopean muutoksen perässä.
Varsin tyypillisiä puutteita ovat etätöissä suojatun verkkoyhteyden uupuminen tai ettei yritys ole ottanut käyttöönsä monivaiheista tunnistautumista, joka ennaltaehkäisisi väärinkäytösten riskiä.
6. Henkilöstön tietoturvataidot ovat yrityksen vastuulla
Yritysten kannattaa tarkastella tietoturvaan liittyviä käytäntöjä kriittisesti ja tunnistamaan kipupisteitä, jotka kaipaavat huolta, esimerkiksi henkilöstön tietoturvakoulutus.
Sekä yrityksen kesätyöntekijät että kokeneemmat asiantuntijat kaipaavat ohjausta tietoturvalliseen työskentelyyn vaikkapa koulutusten avulla. Monissa yrityksissä on vallalla hassu ajatus siitä, että tietoturva olisi ihmisiin sisäänrakennettu ominaisuus.
Työntekijät pystyvät huolellisuudella ja maltilla vaikuttamaan paljon tietoturvalliseen työskentelyyn, mutta Hakulinen peräänkuuluttaa yritysten vastuuta henkilöstön kouluttamiseen alati kasvavien tietoturvauhkien varalta.
Usein kuulee sanottavan, että ihmiset ovat yritysten tietoturvan heikoin lenkki. Se on turhan syyllistävää. Rohkaisen miettimään, mitä yrityksessä on tehty sen eteen, että näin ei olisi.
Nämä ovat kolme tärkeintä asiaa, jotka yrityksen kannattaa tehdä säännöllisin väliajoin ajantasaisen tietoturvan varmistamiseksi.
- Minkä järjestelmien ja tietojen varassa yritys toimii?
- Miten tiedot suojattu ja varmuuskopioitu?
- Millaisilla riskienhallinnan keinoilla tietoturvaa voidaan parantaa?
Kybervakuutus auttaa yritystäsi varautumaan kyberriskeihin ja muuttuvaan sääntelyyn. Lue lisää.
Lue lisää yrityksen kyberriskeistä täällä.
Millaisia ovat yleisimmät yritysten kohtaamat tietoturvariskit? Lue lisää tästä.
Kirjoittaja Sampsa Hakulinen on kybervakuuttamisen asiantuntija ja toimii senior underwriterina Pohjola Vakuutuksessa.