Yrityksiin kohdistuvat
kyberuhat 2015
Helsinki 26.3.2015
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
2
SAATTEEKSI
Tietoverkot yhdistävät suomalaiset yritykset osaksi maailmanlaajuista toimintaa ja samalla avaavat yritykset mistä päin tahansa tehtäville tietoverkkorikoksille. Tämä Helsingin seudun kauppakamarin ”Yrityksiin kohdistuvat kyberuhat 2015”selvitys painottuu yritysten tietoverkkoon kohdistuviin tunkeutumisiin. Nämä rikokset ovat nykyisin jääneet suurimmalta osalta piilorikollisuudeksi. Yritykset tarvitsevat tietoa ja opastusta aiheesta kyetäkseen varautumaan siihen riittävällä tavalla. Helsingin seudun kauppakamari pitää tärkeänä synnyttää ja ylläpitää keskustelua aiheesta yritysten kybertietoisuuden parantamiseksi. Selvitys on osa Helsingin seudun kauppakamarin yritysturvallisuuteen liittyvää selvitystoimintaa. Yli seitsemänsadan suomalaisyrityksen johto on antanut tähän selvitykseen luottamuksellisesti arvokkaita tietoja ja näkemyksiä yrityksiin kohdistuviin kyberuhkiin liittyvistä asioista. Olemme kiitollisia yritysjohdon merkittävästä panoksesta sekä siitä luottamuksesta, jota he ovat osoittaneet kauppakamarille antamalla tietoa selvityksen käyttöön.
Helsingissä 26.3.2015
Helsingin seudun kauppakamari
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
3
SISÄLLYS
1 JOHDANTO .................................................................................................................... 5 2 KYBERTURVALLISUUDESTA ................................................................................... 6 3 SELVITYKSEN TULOKSIA: YRITYKSIIN KOHDISTUVAT UHAT JA VARAUTUMISEN ESTEET ..................................................................................................... 8 KYSYMYS 1. Mitkä seuraavista vaihtoehdoista ovat suurimmat kyberturvallisuuden uhat suomalaisille yrityksille?.............................................................................................................. 9 KYSYMYS 2. Mitkä ovat kolme suurinta estettä tehokkaan kyberturvallisuuden toteuttamisessa? ......................................................................................................................... 11 TIETOA KYBERTURVALLISUUDESTA – OSA 1..................................................................... 13 4 SELVITYKSEN TULOKSIA: YRITYKSIIN KOHDISTUVAT TUNKEUTUMISET ................................................................................................................. 15 KYSYMYS 3. Mitkä seuraavista vaihtoehdoista ovat raskaimmat seuraukset kyberhyökkäyksistä?................................................................................................................... 16 KYSYMYS 4. Miten organisaationne havaitsisi yrityksenne tietoverkossa käynnissä olevan tunkeutumisen?........................................................................................................................... 18 KYSYMYS 5. Minkälaista tietoa luulette tunkeutujien etsivän?................................................. 20 KYSYMYS 6. Minkä tyyppistä tietoa olette menettäneet tietoverkkotunkeutumisten vuoksi? .... 22 KYSYMYS 7. Tietääkö henkilökuntanne miten toimia, jos he epäilevät tunkeutumista tietojärjestelmiinne?................................................................................................................... 23 TIETOA KYBERTURVALLISUUDESTA – OSA 2..................................................................... 25 5 SELVITYKSEN TULOKSIA: VIRANOMAISTEN ROOLI JA TIEDON SAATAVUUS .......................................................................................................................... 28 Taustaa viranomaisten toiminnasta ........................................................................................... 28 KYSYMYS 8. Miten hyvin tunnette suomalaisten viranomaisten roolia ja toimintaa kyberuhkiin liittyen?....................................................................................................................................... 30 KYSYMYS 9. Oletteko saaneet jostakin käytännöllistä tietoa kyberuhkiin liittyen? .................. 31 TIETOA KYBERTURVALLISUUDESTA – OSA 3..................................................................... 33 6 SELVITYKSEN TULOKSIA: VARAUTUMINEN – VASTUUT, SUUNNITELMAT JA HARJOITUKSET ................................................................................................................ 35 KYSYMYS 10. Miten organisaationne on järjestänyt tietoturvallisuusvastuut johtotasolla?.... 36 KYSYMYS 11. Onko teillä käytössä käytännössä toimivia suunnitelmia tunkeutumisten varalle? .................................................................................................................................................... 38 KYSYMYS 12. Mitä asioita suunnitelmiin on sisällytetty? ......................................................... 39 KYSYMYS 13. Oletteko koskaan harjoitelleet suunnitelmienne toimivuutta jollakin seuraavista tavoista? ..................................................................................................................................... 40 KYSYMYS 14. Onko teillä vahvistettua koulutus- ja harjoitusohjelmaa kyberturvallisuuteen liittyen?....................................................................................................................................... 42 KYSYMYS 15. Ovatko kyberuhkiin liittyvät harjoitukset osa muihin liiketoimintaa uhkaaviin uhkiin liittyvää harjoittelua?...................................................................................................... 43 KYSYMYS 16. Oletteko varautuneet kyberuhkiin seuraavin tavoin konkreettisesti tai suunnitelmilla? ........................................................................................................................... 44 TIETOA KYBERTURVALLISUUDESTA – OSA 4..................................................................... 46 7 JOHTOPÄÄTÖKSET.................................................................................................... 48 LÄHTEITÄ JA LISÄTIETOA ................................................................................................. 50 LIITE: SELVITYKSEN KYSYMYSLUETTELO .................................................................. 52
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
4
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
1
5
JOHDANTO Selvityksessä tutkitaan suomalaisten yritysten käsityksiä niihin kohdistuvista kyberuhista ja niihin varautumisesta. Erityisesti selvitys keskittyy vastaajayrityksiin kohdistuviin tunkeutumisuhkiin. Selvitys perustuu 748 suomalaisen yrityksen sähköpostitse antamiin vastauksiin. Taloustutkimus toteutti kyselyn Helsingin seudun kauppakamarin toimeksiannosta. Yritykset vastasivat kyselyyn helmikuussa 2015. Tutkimustulokset on esitetty taulukkoina ja kuvioina, joista yksittäisen vastaajan mielipide ei käy ilmi. Selvityksen ovat laatineet projektipäällikkö Panu Vesterinen Helsingin seudun kauppakamarista, Chris Fogle Delta Risks Llc:stä ja Associate partner Mika Laaksonen KPMG:ltä. Selvitys on osa kauppakamarijärjestön yritysturvallisuus-toimintaa. Kyselyyn vastanneista 748 yrityksestä 49 prosenttia edustaa palveluita, 19 prosenttia teollisuutta ja 19 prosenttia kauppaa. Rakennusalan yrityksistä on vastaajista 10 prosenttia. Kolme neljäsosaa (75 %) vastanneista yrityksistä on henkilömäärältään pieniä yrityksiä, jotka työllistävät alle 50 henkilöä. Noin kahdeksasosa (12 %) vastaajista on keskisuuria yrityksiä, joiden palveluksessa on 50 - 200 työntekijää. Suuret yritykset, jotka työllistävät yli 200 henkilöä, muodostavat myös kahdeksasosan (12 %) vastaajista. Vastaajat olivat yritysten toimitusjohtajia (31 %), yrittäjiä tai omistajia (40 %), muita johtajia (6 %). Kymmenesosa vastaajista (10 %) oli asiantuntijatehtävissä olevia. Päällikkötason tehtävissä vastaajista oli yksitoista prosenttia. Vastaajajoukon rakenne kertoo siitä että kysely on tavoittanut yritysten päätöksentekijät – turvallisuuden kehittämisen kannalta ratkaisevan ryhmän. Selvitykseen on liitetty lainauksia eri lähteistä. Kaikissa lainauksissa on mainittu lähde. Lähdeluetteloon on lisäksi koottu lisätietoa yrityksen turvallisuustoiminnan tueksi. Selvityksessä on kursiivilla lainauksia yritysten vapaamuotoisista vastauksista. Selvityksen tavoitteena on tukea ja kehittää yritysten omaa riskienhallintatyötä. Tutkimustuloksista yritykset saavat paremman kokonaiskuvan kyberuhista ja siitä miten uhkiin on osattu varautua. Tämä puolestaan auttaa torjumaan yrityksiin kohdistuvia uhkia.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
2
6
KYBERTURVALLISUUDESTA
Yhteiskunta on viimeisten kahden vuosikymmenen aikaan siirtänyt suuren osan aiemmin reaalimaailmassa tehtyjä toimia virtuaalimaailmaan. Georgia Institute of Technologyn tekemän Emerging Cyber Threats Report 2014 –tutkimuksen mukaan erilaisten mobiilien päätelaitteiden lukumäärä on ylittänyt jo seitsemän miljardin rajan. Yritykset käyttävät tietoverkkoja lähes kaikessa toiminnassaan. Toimintojen siirtäminen virtuaalimaailmaan ja mobiilien päätelaiteiden räjähdyksenomainen lisääntyminen johtavat toisinaan turvallisuuden ja käytettävyyden välisiin valintatilanteisiin. Käytön halutaan olevan mahdollisimman helppoa ja samalla sen pitäisi olla turvallista. Näiden kahden yhdistäminen ei ole mahdotonta, mutta se vaatii sen että uhka ymmärretään ja kyseenalaistamatta hyväksytään tosiasiana kohteeksi joutumisen mahdollisuus. ”Turvallisuus petti mobiileissa, koska meiltä puuttui turvaohjelmat.” Yrityksiin voi kohdistua erilaisia uhkia. Ne vaihtelevat alkaen yrityksen ulkopuolisesta uhasta kuten tulipaloista, maineriskeistä, yritysvakoilusta jatkuen aina oman henkilökunnan aiheuttamaan uhkaan. Yritykseen voi kohdistua myös uhka, joka ei ole yrityksen itsensä aiheuttama. Sen syntymiseen on voinut vaikuttaa yhteistyökumppani, asiakas tai maailmapoliittinen tilanne. Koska syyt kohteeksi valikoitumiselle voivat olla ennalta-arvaamattomia, on tärkeää että yritys tekee jatkuvaa ja suunnitelmallista riskienhallintatyötä. Tässä työssä on otettava huomioon niin ”reaalimaailman” fyysiset” riskit kuin sähköisen maailman ”virtuaaliset tai kyber” –riskit. Kyberturvallisuus on määritelty Suomen kyberturvallisuusstrategiassa seuraavasti. ”Kyberturvallisuudella tarkoitetaan tavoitetilaa, jossa kybertoimintaympäristöön voidaan luottaa ja jossa sen toiminta turvataan.” Tämä määritelmä kuvaa aihetta yhteiskunnan tasolla. Yritystasolla kyberturvallisuutta voisi luonnehtia tilaksi, jossa yrityksen tiedot ovat turvassa ja toiminta ei keskeydy tai vaarannu sen tietoverkkoihin kohdistuneiden hyökkäysten vuoksi. Kyber –termissä on yksi haittapuoli. Se tuntuu vievän keskustelun nopeasti ammattilaisille ja teknisille asiantuntijoille. Kyberturvallisuus kuuluu kuitenkin kaikille. Kyberturvallisuuden kehittäminen ja siihen varautuminen ei aina vaadi yritykseltä teknisen henkilökunnan palkkaamista. Tiedon hankkiminen ja uhkien ymmärtäminen ovat avainasemassa. Näiden kautta yritys voi kehittää toimintaansa ja käyttää tarvittaessa ulkopuolisia asiantuntijoita. Aiheen käsittely ei tässä selvityksessä ole teknistä. Selvityksen tavoitteena on ennen kaikkea se, että liiketoiminnalle koituva uhka ja mahdolliset seuraukset ymmärretään, jotta yritykset voisivat järkevällä tavalla ottaa kybervarautuminen osaksi yrityksen riskienhallintaa.
”Perusinfrastruktuuriin liittyvät tekniset turvallisuustoimenpiteet (vpn, firewall, antivirus, laptop & mobile device access) ovat olleet tehokkaita, tällä alueella ei ole todettu turvallisuusongelmia.”
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
7
Selvityksen kysymykset laadittiin tarkoituksella siten, etteivät ne ole ammattilaisia ja asiantuntijoita varten, vaan yritysjohdolle. Tavoite oli herättää yritysjohdon edustajat ajattelemaan aihetta ja ymmärtämään uhka. Usein kun yritykset tekevät tietoteknisiä hankintoja ja uusia digitaalisia toimintatapoja syntyy vanhan fyysisen toiminnan siirtyessä verkkoon, unohdetaan ottaa huomioon turvallisuus. Ajat ovat muuttuneet ja teknologian kehittyminen avaa lähes päivittäin uusia tapoja tunkeutua varautumattomien yritysten tietoverkkoon. Kehitys on nopeaa ja siksi mielestäni sana ”kyber” kuvaa hyvin uutta aikaa ja siihen liittyviä uusia uhkia. Se ei korvaa eikä ohita millään tapaa tietoturvallisuutta, mutta kuvaa osa-aluetta joka on kehittynyt viimeisten vuosien aikana sen osana ja osittain sen ohi. Tässä selvityksessä käsitellään tietoverkkoon kohdistuvia uhkia ja tunkeutumisiin liittyviä kysymyksiä. On olennaista että yritykset osaavat tunnistaa itseensä mahdollisesti kohdistuvan uhan. Kun pankkiin astuu asetta kädessään heiluttava ryöstäjä tai toimiston kahvihuoneen verho syttyy kynttilän liekistä tuleen, on jokaiselle tilassa olevalle henkilölle varsin selvää että kyseessä oleva riski on realisoitunut käytännön uhaksi. Tilanne on aivan erilainen kun puhutaan kybermaailman riskeistä. On suuri todennäköisyys etteivät yritys ja sen työntekijät huomaa tunkeutumista ja sen tietoja viedään aivan kuin toimiston käytäviä pitkin kävelisi näkymätön mies joka kopioisi mukaansa kaiken mielenkiintoisena pitämänsä, rahan arvoisen tiedon tai pyrkisi rikkomaan sen miksi hänet on palkattu vaeltamaan yrityksen digitaalikäytäville. ”Ulkopuolinen taho lähetti suuren määrän vakoiluohjelmia ja sai osittain tuhottua tietoa.” ”Varmuuskopionti ei ole aina ollut ajan tasalla.” Kyberuhan aiheuttamat vahingot voivat kuitenkin realisoitua suoraan yrityksen toimintaan. Hyökkääjä voi ottaa haltuunsa yrityksen tietoverkon tai tuotantoprosessien toiminnot ja hiljaisuudessa pyytää yritystä maksamaan lunnaat järjestelmän käytettäväksi palauttamisesta. Ja koko tuon ajan yrityksen toiminta on seisauksissa. Yritys tekee tällaisessa tilanteessa valinnan siitä maksaako lunnaat ja jää kyberkaapparin muistiin maksavana tahona vai maksaako asiantuntijoille siitä että tunkeutuminen ja tietoverkon kaappaus saadaan purettua vastatoimenpiteillä. ”Nettisivumme on kerran kaapattu.” ”Huomattiin reititinkaappaus muuttuneista DHCP-asetuksista.”
Kyberuhkien huomioiminen ja niihin varautuminen tarvitsevat taustalle toimivan tietoturvallisuuden, sekä hallinnollisen ja teknisen. Näihin liittyvää tietoa löytyy kauppakamarin kustantamista kirjoista esimerkiksi ”Yrityksen turvallisuuusopas” ja ”Turvaa logistiikka”. Jos tietoturvallisuuden perusteita ei ole hoidettu, voi kyberuhkiin varautuminen menettää suuren osan tehostaan.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
3
8
SELVITYKSEN TULOKSIA: YRITYKSIIN KOHDISTUVAT UHAT JA VARAUTUMISEN ESTEET Reilusti yli kymmenen vuotta sitten tietyissä luokitelluissa hankkeissa kiellettiin käyttämästä tietokoneita jotka ovat joskus olleet tai ovat kytkettyinä internetiin. Tunkeutumisiin liittyvät uhat on tunnettu pitkän aikaa, mutta jostain syystä tätä uhkaa ei ole saatu yritysten tietoisuuteen. Suojelupoliisi varoitti yrityksiä uhasta jo vuosia sitten. Snowden –tapauksen julkisuus on tuonut ihmisten tietoisuuteen paljon siitä, mitä valtiolliset toimijat kykenevät tekemään. Hyökkäykset yritysten verkkoon pääsemiseksi alkavat usein työntekijöiden toiminnan hyödyntämisellä. Ihmisten pitäisi ymmärtää että hyökkäys ei ulkoisesti ole mitään ”teknistä ymmärryksen yläpuolella olevaa” jota tavallinen ihminen ei voi tunnistaa tai välttää toimimalla turvallisuusohjeiden mukaan. Yleisistä riskeistä kuten sähköpostien linkeistä ja liitteistä on puhuttu jo vuosia. Silti työntekijät avaavat liitteitä ja klikkaavat linkkejä vaikkeivat ole varmoja lähettäjästä tai sähköpostissa esitetyn asian oikeellisuudesta. Kyberuhkien takana on monia tahoja. Niiden takana voivat olla yksittäiset ihmiset, eri tahojen aktivistit ja ääriliikkeiden edustajat, järjestäytyneet rikollisryhmät tai valtiot. Näitä eri tahoja yhdistää sen kohteen lisäksi se, että rikollisena toimijana on aina ihminen. Ihminen hyödyntää toisten inhimillisiä heikkouksia etsiessään tapaa päästä yrityksen verkon sisälle. Tämän vuoksi työntekijöiden kouluttaminen ja heidän turvallisuustietoisuutensa nostaminen valppauden tasolle on tehokas ja suositeltava tapa varautua näihin uhkiin. ”Klassinen tapaus: saimme yhteistyökumppanilta levykkeen, jota ei tarkastettu riittävän huolellisesti. Otimme opiksemme.”
Viestintäviraston raportissa ”Kohdistettujen haittaohjelmahyökkäysten uhka on otettava vakavasti” (elokuu 2014), kerrotaan seuraavaa: ”Kohdistettujen haittaohjelmahyökkäysten kohteita ovat organisaatiot, joilla on hallussaan hyökkääjää kiinnostavaa tietoa liittyen poliittiseen päätöksentekoon, talouteen tai teknologiaan. Näihin kuuluvat julkishallinnon organisaatiot, yliopistot ja yritykset koosta riippumatta Keskeisiä hyökkäykselle altistavia ja hyökkäyksen torjumisen hankaloittavia syitä ovat: - kiinnostava informaatio - merkittävät yhteistyökumppanit - verkon ja järjestelmien teknisesti tarjoamat mahdollisuudet - puutteet hyökkäysten havainnointi- ja reagointikyvyssä Suomeen kohdistuvia haittaohjelmahyökkäyksiä todetaan suhteellisen vähän. Syytä ei kuitenkaan selitä väite Suomen yleisten viestintäverkkojen puhtaudesta, sillä ne eivät suojaa kohdistetuilta hyökkäyksiltä.”
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
9
KYSYMYS 1. Mitkä seuraavista vaihtoehdoista ovat suurimmat kyberturvallisuuden uhat suomalaisille yrityksille?
Valtaosa yrityksistä, melkein kaksi kolmesta (64%), piti phishing- tai haittaohjelmahyökkäyksiä suurimpana uhkana suomalaisille yrityksille. Aihe on ollut viimeisten vuosien aikana paljon julkisuudessa ja tämä osoittaa että aktiivinen tiedottaminen ja keskustelun ylläpitäminen ovat hyvä tapa jakaa tietoa yrityksille. Toiseksi suurimpana uhkana (34%) vastaajayritykset pitivät sisäistä uhkaa omien työntekijöiden taholta. Vastausvaihto ei eritellyt työntekijöiden tahallista ja tahatonta toimintaa. Puolet (53%) suurista vastaajayrityksistä piti phishing- tai haittaohjelmahyökkäyksiä suurimpana ongelmana. Yhtä moni suurista yrityksistä (53%) piti yhtiön sisäistä uhkaa suurimpana uhkana. Kolmanneksi suurimpana uhkana vastaajayritykset pitivät varsinaisia tunkeutumisia. Miltei kolmasosa (32%) vastasi näin. Ero omien työntekijöiden aiheuttamaan uhkaan oli vain kaksi prosenttia ja neljänneksi suurimpana uhkana pidettyihin palvelunestohyökkäyksiin yksi prosentti. Palvelunestohyökkäykset ovat saaneet julkisuutta viime aikoina erityisesti pankkeihin kohdistuneiden hyökkäyksien ansiosta.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
10
Kaksi viidestä (40%) suuresta vastaajayrityksestä piti palvelunestohyökkäyksiä suurimpiin uhkin kuuluvana vaihtoehtona. Tuotantoprosesseihin kohdistuvia hyökkäyksiä piti uhkana hieman alle kymmenesosa, 70 vastaajaa. Asia koskettaa eniten teollisuusalan yrityksiä, joita oli 142 vastaajayrityksistä. Erilaisissa teollisissa tuotantoprosesseissa on enenevissä määrin ohjelmistoja ohjaamassa perinteisiä koneita. Nykyaikaisissa paperikoneissa on enemmän ohjelmistoja kuin joissain Boeingin matkustajalentokoneissa. Teolliset prosessit ovat aivan yhtä haavoittuvaisia kuin yritysten tietoverkot yleisesti. Vastaajayritysten muut vastaukset olivat muun muassa seuraavanlaisia: -
Henkilöstön johtaminen Laitteistojen vanhentaminen softalla Lama Median luomat kuvitelmat Palveluntarjoajien surkeat palvelut joissa kaikki vastuu jätetään käyttäjälle (vaikka puhutaan ihan muuta) Päämiestemme järjestelmät Some -hyökkäykset Sähkön saannin ja tietoliikenteen vakava häiritseminen Tiedonsiirtoon liittyvät haasteet kuten salaamaton yhteys Ympäristöaktivistien haitanteko.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
11
KYSYMYS 2. Mitkä ovat kolme suurinta estettä tehokkaan kyberturvallisuuden toteuttamisessa?
Kysyttäessä kolmea suurinta estettä tehokkaalle kyberturvallisuuden toteuttamiselle, nousi käyttäjien piittaamattomuus tietoturvallisuudesta ja kyberuhista suurimmaksi esteeksi. Lähes joka toinen yritys (45%) vastasi asian olevan näin. Ihminen on luonteeltaan sellainen, ettei helposti ymmärretä uhkaa jollei sitä näe. Yritykset ja viranomaiset pyrkivät jakamaan tietoa erilaisista hyökkäystavoista ja turvallisista toimintamalleista. Se on ainoa tapa nostaa ihmisten valmiuksia toimia osana hyökkäysten torjuntaa. Tiedonhaku ja ajan tasalla pysyminen edellyttää aktiivisuutta yritykseltä. Yhdenkään yrityksen ei ole hyvä jäädä passiivisesti odottamaan sitä että joku varoittaisi. Heti seuraavana esille nousi kyberuhkiin liittyvän tiedon riittämättömyys. Vastaajista useampi kuin neljä kymmenestä (43%) piti tätä suurimpien esteiden joukossa. Kolmannelle sijalle esteiden joukossa sijoittui henkilökunnan kyberuhkiin liittyvän tieto-taidon ylläpito. Kun huomioidaan neljännelle sijalla oleva turvallisuustoimiin ja menetelmiin liittyvän tiedon riittämättömyys (32%), voidaan todeta että yrityksillä ei yksinkertaisesti ole riittävästi tietoa kyberuhista ja niihin varautumisesta. Kun kyberturvallisuudesta julkisuudessa käytyä keskustelua seuraa, vaikuttaa siltä, että moni
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
12
haluaa aiheesta lausua, mutta vain harva tuntuu tietävän mitä käytännössä pitäisi tehdä. Mielenkiintoisena voidaan pitää sitä, että vain noin joka kahdeksas (14%) yritys piti rahoitusta suurimpien esteiden joukossa. Raha on usein esteenä kun puhutaan muiden turvallisuuden osa-alueiden kehittämisestä. Syytä voidaan vain arvailla. Vaihtoehtoja voi olla kaksi. Se että kyberasiat, kun ne nousevat esille, saavat rahoituksen tai sitten kyberasioita ei ole kehitetty ja siksi rahoitus ei ole ehtinyt nousta esteeksi niiden kehittämiselle. Yhdysvalloissa tehty Cyber Edge Groupin tekemä ”2014 Cyber Threat Defence” tutkimus tukee tätä näkemystä. Yritykset sielläkin pitivät omien työntekijöidensää suunnalta tulevaa uhkaa suurimpana esteenä, mutta heti toiseksi suurimpana esteenä pidettiin rahoitusta. Yritykset ovat siis kyenneet tunnistamaan uhat ja tiedostamaan mitä pitäisi tehdä, mutta rahoituksen saatavuus on kehityksen tässä vaiheessa muodostunut esteeksi. Samaa edellä kuvattua ajatusta voisi tukea se, että noin joka viides (19%) vastaaja pitää riittämätöntä integraatiota liiketoiminnan ja kyberturvallisuuden välillä esteenä kehittämiselle. Mikäli toimintaa ei ole kehitetty, ei myöskään ole voitu kohdata kysymystä siitä, onko integraatio muiden yritystoiminnan osa-alueiden kanssa riittävää. Edellistä tukee myös suurten vastaajayritysten tilanne. Rahoitus on joka (27%) neljännelle esteenä, integraation puute liiketoiminnan kanssa esteenä joka toiselle (47%) ja integraation puute muun turvallisuuden kanssa esteenä joka kolmannelle (30%) niistä. Suuret yritykset ovat alkaneet varautua kyberuhkiin ja nämä esteet ovat nousseet esille niiden toiminnassa. Vastaajayritysten muut vastaukset olivat seuraavanlaisia: -
Vaikutuksia hankala hahmottaa konkreettisesti, miten siis suojautua? Alihankinta- ja palveluketjujen monimutkaisuus o Uhat näennäisesti ulkoistettu ja oman valvonnan ulkopuolella Johdon ymmärtämättömyys ja välinpitämättömyys tietoturvallisuudesta o Ei tiedetä mitä tehdä Pienen yrityksen vaatimattomat resurssit tätä varten Rangaistusten riittämättömyys Suomen lainsäädäntö Poliitikkojen sinisilmäisyys ja ymmärtämättömyys asian vakavuudesta Tietoturvainnovaatioiden puute Tuotantoprosessien ja muiden toimintojen hallinnan liittäminen verkkoon, o Liian suuri verkostoituminen Yhteiskunnan ja toimialan yhteinen varautuminen heikkoa. o Ei riitä, että ketjun yksi osa hoitaa varautumisen; kyse kokonaisuuksista ja pitkistä sidosryhmäketjuista.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
13
TIETOA KYBERTURVALLISUUDESTA – OSA 1. Tämä osio on otettu osaksi tätä tutkimusta koska yritysten vastauksista käy ilmi etteivät ne ole saaneet riittävästi tietoa kyberuhkiin liittyen. Nämä lainaukset ovat lyhennelmä, niihin tehdyt korostukset ovat tähän selvitykseen tehtyjä lisäyksiä, jotka eivät muuta sisältöä. Alkuperäinen versio löytyy Viestintäviraston sivuilta osoitteesta: https://www.viestintavirasto.fi/tietoturva/tietoturvanyt.html Älä panikoi, näin pääset eroon haittaohjelmasta Huolellisuus verkkoselailussa, päätelaitteen päivittämisessä ja virussuojauksessa estää liki kaikki haittaohjelmatartunnat. Jos oma päätelaite kuitenkin saastuu, se on usein vielä pelastettavissa. Tärkeää on huomata haittaohjelmatartunta nopeasti ja puhdistaa laite esimerkiksi luotettavalla virustorjuntaohjelmalla. Tässä artikkelissa päätelaitteella tarkoitetaan tietokoneita ja mobiililaitteita kuten matkapuhelimia tai tabletteja. Ennaltaehkäisy on helpompaa kuin jälkien siivoaminen Ohjelmistopäivitykset sisältävät usein runsaasti tietoturvaan liittyviä korjauksia. Siksi päätelaite, jonka käyttöjärjestelmä ja siinä käytetyt ohjelmistot on pidetty ajan tasalla, on turvallisempi ja vähemmän altis haittaohjelmatartunnalle kuin päivittämätön. Haittaohjelma voi tarttua päätelaitteeseen esimerkiksi www-selailun yhteydessä murretun verkkosivuston välityksellä. Tyypillisesti saastumiselle alttiissa järjestelmässä käytetään vanhentunutta selainta, käyttöjärjestelmää tai liitännäissovelluksia (muun muassa Adobe Flash Player tai Java). Myös USB-muistitikku tai sähköpostiviestin liitetiedosto voi toimia haittaohjelman välittäjänä ja tartuttaa päätelaitteen. Verkosta ladattavat ohjelmatkin voivat sisältää haitallista koodia, siksi tällaisten ohjelmien alkuperä on syytä tarkistaa. Hyvinkin ylläpidetty päätelaite voi saada haittaohjelmatartunnan tuoreesta haavoittuvuudesta, jos esimerkiksi päätelaitteen virustorjunta ei tunnista tuoretta haittaohjelmaa tai ohjelmaan ei ole vielä päivitettyä versiota saatavilla. Päätelaitteelle pesiytynyt haittaohjelma voi saattaa laitteen käyttäjän yksityisyyden ja tiedot vaaraan. Haittaohjelma voi kerätä esimerkiksi käyttäjätunnus ja salasana -yhdistelmiä eri palveluihin kirjauduttaessa (engl. keylogger) tai se voi avata laitteeseen takaoven (engl. backdoor), joka tarjoaa hyökkääjälle pääsyn käyttäjän päätelaitteelle verkon yli. Päätelaite saatetaan myös valjastaa osaksi bottiverkkoa. Tällaiseen bottiverkkoon koottuja tietokoneita voidaan käyttää esimerkiksi roskapostittamiseen tai hajautettuihin palvelunestohyökkäyksiin (engl. DDoS, Distributed Denial of Service). Haittaohjelmatartuntojen suuri määrä kertoo niiden olevan varsin yleisiä. Valitettavan suuri osa verkon käyttäjistä saa tietokoneeseensa tai älykännykkäänsä haittaohjelman huolellisesta varautumisestaan huolimatta. Haittaohjelmien välttämiskeinojen lisäksi on myös hyvä tietää, miten haittaohjelmatartunnan voi huomata päätelaitteessaan ja miten tällaisessa tilanteessa tulee toimia. Miten haittaohjelmatartunta havaitaan? Jos päätelaitteen virustorjuntaohjelmisto hälyttää, se on todennäköisesti havainnut jotain vahingollista käyttäjän tiedostoissa. Virustorjunta ei kuitenkaan tunnista kaikkia haittaohjelmia. Myös päätelaitteen normaalista poikkeava toiminta voi viitata haittaohjelmatartuntaan. Seuraavat oireet herättävät epäilyksiä tartunnasta: -
itsekseen aukeavat mainosikkunat koneen merkittävä hidastuminen tunnistamattomat tai omituiset prosessit saat nettiliittymän palveluntarjoajalta ilmoituksen haittaohjelmahavainnosta.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
14
Kiristyshaittaohjelmat ja tiedostot salaavat haittaohjelmat esittävät käyttäjälle kiristysilmoituksen, joka kertoo tartunnasta. Mitä tehdä, jos olet saanut haittaohjelmatartunnan? -
-
Älä hätäänny. Tarkista päätelaite ja pyri poistamaan haittaohjelma virustorjuntaohjelmiston avulla. Hankalasti poistettavien haittaohjelmien kanssa voidaan tarvita esimerkiksi torjuntaohjelmistojen valmistajien tarjoamia korjaus-CD:n (engl. recovery/rescue CD) tai USB:n kaltaisia apuvälineitä. Selvitä, onko tälle haittaohjelmalle julkaistu erityisiä poisto-ohjeita.
Hankalissa tapauksissa päätelaite on tyhjennettävä kokonaan ja käyttöjärjestelmä asennettava uudelleen (esim. itsensä piilottavat rootkit-tyyppiset haittaohjelmat). Tällöin ajantasaiset, ennen saastumista otetut varmuuskopiot ovat helppo tapa palauttaa tiedostot. Jo saastuneesta päätelaitteesta otetun varmuuskopion palauttaminen voi saastuttaa laitteen uudelleen, sillä se saattaa samalla sisältää "varmuuskopion" haittaohjelmasta! Käyttäjän tietoja salakirjoittavat haittaohjelmat tekevät tietojen siirtämisen saastuneesta järjestelmästä puhtaaseen järjestelmään mahdottomaksi. Turvallisin tapa saada haittaohjelmalla saastunut tietokone uudelleen käyttöön on alustaa levyt ja asentaa käyttöjärjestelmä uudelleen.
Muista tarkistukset! Virustorjuntaohjelmistojen tunnistetiedot päivittyvät jatkuvasti. Virustorjuntaohjelmistojen ajastettua tarkistusominaisuutta kannattaa käyttää säännöllisesti ja vaikka ajastaa tarkistus toistumaan säännöllisin väliajoin, esimerkiksi ennen varmuuskopioiden ottamista. Virustorjuntaohjelmistot skannaavat käsiteltävät tiedostot "lennossa", mutta kovalevylle on voitu tallentaa haitallista sisältöä ennen kuin virustorjuntaohjelmiston virustietokanta on ehtinyt päivittyä.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015 4
15
SELVITYKSEN TULOKSIA: YRITYKSIIN KOHDISTUVAT TUNKEUTUMISET
Yritykseen kohdistuvat hyökkäykset voisi jakaa seuraavasti: hyökkäys voi olla luonteeltaan massahyökkäys, kohdistettu hyökkäys tai sen takana voi olla valtiollinen toimija. Kaikille näille hyökkäyksille on kaksi yhteistä tekijää ja toinen niistä on kohde ja toinen on taustalla oleva tekijä – ihminen. Sama yritys voi olla jokaisessa hyökkäyksessä kohteena ja yrityksen tai sen asiakkaiden tiedot kuten yrityksen toimintakin saattaa olla uhattuna kussakin hyökkäyksessä. Yritys voi myös joutua kohtaamaan laiminlyömänsä kyberuhkien huomioimisen ja tietoturvallisuuden yllättävässä tilanteessa, nimittäin yrityskaupan yhteydessä. Yritykselle voidaan tehdä ostotarjous, mutta osana kauppaa toteutetaan yrityksen tietoverkon ”kyber” due diligence. Jos siinä yllättäen selviää, ettei kaupan kannalta tärkeitä yrityssalaisuuksia ole suojattu riittävästi ja jos vielä löytyy digitaalisia jälkiä jotka viittaavat siihen että verkossa on vierailtu ja tietoja on viety, voi kauppa jäädä toteutumatta tai hinta jäädä alle toivotun tason. Varauduttaessa tunkeutumisiin, on ajatustasolla hyväksyttävä että tunkeutuminen voi tapahtua siten ettei yritys sitä huomaa. Sen jälkeen on mietittävä mitä tietoa olisi hyvä suojata tai vaikkapa mikä toiminto on sellainen että se ei saa lamaantua. Kaikkeen ei voi varautua tai kaikelta voi suojautua, eivätkä yleensä käytettävissä olevat resurssit anna siihen mahdollisuutta. Siksi on hyvä miettiä esimerkiksi mikä tieto on sellaista ettei sitä voi käsitellä laitteissa jotka ovat yhteydessä tai josta voidaan luoda yhteys internetiin. Tai miettiä sitä millaisilla toimenpiteillä tai varajärjestelmillä jokin toiminto voidaan varmistaa siten ettei sen jatkuvuus ja merkitys liiketoiminnalle vaarannu. ”Tärkeimmät tietomme säilytetään koneella, joka ei koskaan ole ollut tai tule olemaan kytkettynä verkkoon ja jota ei kuljeteta talon ulkopuolelle.”
”Verkkoomme kytkettyä palvelinta on käytetty hyväksi hyökkäyksessä kolmatta tahoa vastaan.”
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
16
KYSYMYS 3. Mitkä seuraavista vaihtoehdoista ovat raskaimmat seuraukset kyberhyökkäyksistä?
”Laskutuksen pysähtyminen ja asiakastietojen menetys.”
”Virus on tullut pitkäaikaisen kumppanin lähettämien tietojen mukana.”
Vastaajayrityksistä lähes puolet (47%) piti suoraa tai epäsuoraa tuoton menetystä raskaimpana seurauksena kyberhyökkäyksistä. Yrityksien mieltäessä uhan kohdistuvan tuottoon, ne ovat valmiimpia sijoittamaan resursseja sen torjumiseen tai riskin pienentämiseen. Vaihtelu eri kokoluokkien välisissä vastaajamäärissä tämän vaihtoehdon kohdalla oli hyvin vähäistä. ”Ostoskoripalvelusta tullut tuotto oli ohjattu ulkopuoliselle yritykselle. Meiltä lähti asiakkaiden tilaamat tavarat ja palvelut asiamukaisesti, mutta näistä saatu rahallinen korvaus olikin ohjattu jollekin ulkopuoliselle yritykselle. Raha ei koskaan tuloutunut tileillemme.”
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
17
”ISP on ollut palvelunestohyökkayksen kohteena. Emme päässeet tuona aikana päivittämään nettisivujamme, lähettämään e-laskuja eikä sähköpostia.”
Useampi kuin neljä viidestä (43%) vastaajasta nosti esille henkilökunnan tai asiakkaiden yksityisyyden loukkauksen. Tämä on osoitus siitä, että viime vuosien aikana myös yksityisyyden loukkaus on noussut yrityksien tietoisuuteen haitallisena asiana. Useampi kuin joka toinen (53%) suurista vastaajayrityksistä piti tätä raskaimpien seurausten joukossa. Lähes neljä viidestä (39%) vastaajasta toi esille aineettoman omaisuuden menetyksen yhtenä raskaimmista seurauksista. Mikroyrityksistä melkein puolet (44%) koki tämän olevan yksi raskaimmista seurauksista. Viidesosa (22%) vastaajista toi esille negatiivisen julkisuuden ja lähes yhtä moni (21%) piti kansallisen turvallisuuden vaarantumista raskaimpien seurauksien joukossa. Suurista yrityksistä neljä kymmenestä (40%) tunnisti negatiivisen julkisuuden vakavaksi seuraukseksi tunkeutumisesta. Suurten yritysten vastauksissa tämä asettui seurauksena samalle tasolle kuin aineettoman omaisuuden menetys (40%). Julkisuus voi vaikuttaa suuresti yrityksen toimintaan tulevaisuudessa. Tässä apuna ovat kriisienhallintasuunnitelmat ja viestintäsuunnitelmat. Jos viestinnässä epäonnistutaan, voi muuten hyvin hoidettu tilanne muodostua huonon viestinnän kautta julkisuuden silmissä epäonnistumiseksi yrityksen kannalta.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
18
KYSYMYS 4. Miten organisaationne havaitsisi yrityksenne tietoverkossa käynnissä olevan tunkeutumisen?
”Meillä ei ole tietoa siitä onko kyberturvallisuutemme pettänyt.” ”Tunkeutumisen esto ja verkon havainnointi palvelunestohyökkäyksen yhteydessä” ”Voip-puhelinkeskuksen murto.” ”Olemme havainneet tunkeutumiset ennakkoon. Niitä meillä on useita per vuorokausi.”
Vastauksista kävi ilmi selvä ero suurten yritysten ja muiden valmiuksien välillä. Suurilla yrityksillä on vastauksien mukaan selvästi korkeampi omaa kyky tunnistaa tunkeutumiset itse. Tämä kyky on hyvin keskeinen tekijä suojautumisessa. Vastausvaihtoehdoista kolme nousi selvästi muita korkeammalle. Eniten vastauksia (39%) sai ”Kolmas taho, kuten internet operaattori tai palveluntarjoaja, ilmoittaisi meille”. Tässä vastauksessa voidaan olettaa vaikuttaneen suomalaisten teleoperaattoreiden aktiivinen työskentely haittaohjelmistojen poistamiseksi verkosta. Suurten yritysten keskuudessa tämä vaihtoehto oli toisella sijalla (49%). ”Viestintävirasto on ilmoittanut palvelimessamme olleesta tietoturva-aukosta.”
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
19
Toiseksi eniten vastauksia (36%) keräsi ”Havaitsisimme sen itse käyttäen omia torjunta- ja hälytysjärjestelmiämme”. Joka toinen (52%) suurista yrityksistä kykenee havaitsemaan tunkeutumisen itse ja tässä vastaajaryhmässä itse havaitseminen oli yleisin vaihtoehto, toki vain kolmen prosentin erolla kolmannen tahon tekemään ilmoitukseen. Kolmanneksi yleisimpänä vastausvaihtoehtona oli ”Me emme todennäköisesti havaitsisi käynnissä olevaa tunkeutumista”. Eli kolmasosa vastaajayrityksistä tiedostaa sen ettei heillä ole valmiuksia tunnistaa hyökkäystä. Suurista yrityksistä joka viides (22%) vastasi tilanteen olevan näin. Vastaus kuvaa kyberuhkiin liittyvää vaikeutta. Läheskään kaikilla ei ole kykyä tunnistaa hyökkäystä. Yksi kymmenesosa vastaajista kertoi käyttäjien tunnistavan sen ja ilmoittavan siitä eteenpäin. Yhdeksän kymmenestä yrityksestä ei pitänyt uskottavana että omat käyttäjät voisivat tunnistaa hyökkäyksen. Suuret yritykset eivät juurikaan erottautuneet muista vastaajaryhmistä (16%). Omien työntekijöiden valppauden kehittäminen on kuitenkin yksi tehokkaista tavoista nostaa yrityksen valmiuksia välttää kyberuhkien seurauksia. Työntekijöiden kouluttamisen lisääminen on selvästi yksi kehitysalue kyberuhkiin varauduttaessa. ”Yksi tietokone on lukittu haittaohjelmilla jotka toki saatiin purettua.” ”Kerran työntekijän huolimattomuuden vuoksi työasemalle pääsi haittaohjelma, joka havaittiin tietokoneen "jumittamisen" takia.”
Hieman useampi (13%) kertoi tarkastavansa ja analysoivansa lokeja sekä arvioivansa tilannetta ja havaitsevansa käynnissä olevan hyökkäyksen tällä tavalla. Yhdeksän kymmenestä yrityksestä ei analysoi omia lokejaan. Suurten yrityksien keskuudessa vain joka kolmas ( 29%) seuraa ja analysoi lokejaan. Tässä vastaajaryhmässä kaksi kolmesta ei käytä resursseja tähän. ”Palvelimeemme kohdistunut maailmanlaajuinen tietoturvahyökkäys. Hyvällä suojauksella pystyimme torjuntavoittoon.” Konsultointiyhtiö KPMG toteutti vuoden 2013 marraskuussa seurantatutkimuksen, jossa kymmenen suomalaisen organisaation verkkoon sijoitettiin kolmen viikon ajaksi tietoturvaloukkauksia havaitseva laite. KPMG:n tutkimuksessa havaittiin lukuisia hyökkäyksiä, joista organisaatiot eivät olleet tietoisia ja joita organisaatioiden tietoturvaratkaisut eivät havainneet. Elokuussa 2014 Kyberturvallisuuskeskus julkaisi raportin kohdistetuista haittaohjelmahyökkäyksistä. Sen tarkoituksena on lisätä tietoisuutta, parantaa suojausta ja lisätä kansallista yhteistyötä kohdistettujen haittaohjelmahyökkäysten uhkan torjunnassa. Tässä raportissa Kyberturvallisuuskeskus mainitsee seuraavaa: ”Kohdistettuja haittaohjelmahyökkäyksiä on paljastunut viime vuosina yhä enemmän. Kohteena ovat olleet pääasiassa valtiolliset organisaatiot ja kriittisen infrastruktuurin yritykset, mutta hyökkäyksen uhka voi tulla ajankohtaiseksi myös muille toimijoille esimerkiksi alihankintaketjujen kautta.”
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
20
KYSYMYS 5. Minkälaista tietoa luulette tunkeutujien etsivän?
”Löydetty ja poistettu haittaohjelma viestintäjärjestelmästä.” ”Web -palvelimen asetuksissa aukko, ja palveluun pystyttiin lataamaan ulkopuolista materiaalia.” ”Olemme suojanneet/erottaneet muusta verkosta keskeisimmät tietovarastot.”
Varauduttaessa yritykseen kohdistavaa uhkaa vastaan on ehdottoman tärkeää ensin tunnistaa mitä pitää ja halutaan suojata ja suhteuttaa toimenpiteet tunnistettuihin tai realistisiin riskeihin nähden. Jos tehdään suojaustoimenpiteitä vailla riskien arviointia, ei mikään takaa sitä että varautuminen suojaa tehokkaasti yrityksen toiminnan kannalta tärkeitä asioita. Tai sitä onko toimintaan osoitetut resurssit käytetty järkevästi. Tiedonsuojaamisen suhteen yksinkertaisin tapa suojautua olisi pitää se erossa verkkoyhteyksistä. Käytännössä tämä saattaa olla vaikeaa toteuttaa. Hyvin nopeasti saattaa nousta esille kysymys käytettävyydestä ja vaikeuttaako käyttäjien mielestä turvallisuuden huomioiminen toimintaa. Ihminen hakee luonnostaan helpoimpia ja omasta mielestään tehokkaimpia tapoja toimia. Nämä tavat eivät taas aina kohtaa tiedon turvaamiseksi vaadittavia toimintatapoja. Yksittäinen henkilö voi omalla te-
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
21
hokkuutta tavoittelevalla toiminnallaan tehdä tyhjäksi suuriakin investointeja vaatineet turvallisuustoimenpiteet ja ohjeistukset. Suurin osa vastaajista (42%) uskoi tunkeutujan etsivän tietoa immateriaalisesta omaisuudesta tai luottamuksellista tuotteisiin- tai palveluihin liittyvää tietoa. Joka kolmas (64%) suurista yrityksistä vastasi näin. Ero muihin oli selvä ja saattaa johtua siitä että suuret yritykset tiedostavat hieman muita paremmin sen, mikä on arvokasta toiminnan kannalta. Lähes yhtä moni (38%) ei osannut sanoa millaista tietoa tunkeutumisen yhteydessä vietäisiin. Tässä vastauksessa kiteytyy ajatus siitä, miten voi suojautua jos ei tiedä mitä joku haluaisi viedä yritykseltä. Suojautumistoimenpiteiden kohdentaminen tehokkaasti on vaikeaa jos ei tiedä mitä suojata. Melkein kaksi viidestä vastaajasta (37%) uskoi tunkeutujan etsivän tietoa alihankkijoista, yhteistyökumppaneista, tavarantoimittajista tai asiakkaista. Vastaajista (14%) uskoi tunkeutujan etsivän tietoa verkon arkkitehtuurista, asetuskista tai tarkoituksesta. Alle kymmenesosa vastaajista uskoi tunkeutujan etsivän ylemmän johdon tietoja (8%) tai henkilökuntaan liittyvää tietoa (9%). Vaikka yksityisyyden loukkaaminen nousi esille raskaimpien seurausten joukossa, eivät yritykset pitäneet omien työntekijöidensä tietoja sellaisina, että joku haluaisi tavoitella niitä.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
22
KYSYMYS 6. Minkä tyyppistä tietoa olette menettäneet tietoverkkotunkeutumisten vuoksi?
”Ei ole vielä ainakaan tiedossa onnistuneita ulkoisia tunkeutumisia tai palvelunestohyökkäyksiä.”
Vastausten määrässä näkyi odotettavissa ollut ilmiö. Vastaajista suurin osa (86%) vastasi ettei osaa sanoa tai ei tiennyt mitä tietoa olisi viety. Kun pidetään mielessä selvityksessä esille tulleet seikat siitä miten yritykset osaisivat tunnistaa tunkeutumisen, voidaan tätä pitää hyvänä herätteenä yrityksille. Tämä on erittäin tärkeä osa ongelman tunnistamista ja siihen varautumisesta. Jos esimerkiksi yritysten tietojen kopioimista ei kyettäisi huomaamaan, miten voidaan uskottavasti perustella ehdotettuja suojaustoimenpiteitä ? Suurin osa vastanneista (3%) kertoi tunkeutujan vieneen tietoa immateriaalisesta omaisuudesta tai luottamuksellista tuotteisiin- tai palveluihin liittyvää tietoa. Samalla tasolla (3%) kertoivat tunkeutujan vieneen tietoa alihankkijoista, yhteistyökumppaneista, tavarantoimittajista tai asiakkaista.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
23
Vastaajista (2%) kertoi tunkeutujan vieneen tietoa verkon arkkitehtuurista, asetuksista tai tarkoituksesta. Vastaajista yksi prosentti kertoi tunkeutujan vieneen ylemmän johdon tietoja (1%) tai henkilökuntaan liittyvää tietoa (1%). ”Asiakasjärjestelmää rakennettu aukko josta roskapostin levitys onnistui.”
KYSYMYS 7. Tietääkö henkilökuntanne miten toimia, jos he epäilevät tunkeutumista tietojärjestelmiinne?
”Henkilöstö on ilmoittanut epäilyttävistä viesteistä, joiden liitetiedosto on jätetty avaamatta.” Henkilökunta on yksi tärkeimmistä jollei tärkein osa uhkien havaitsemisessa ja seurauksilta välttymisessä. Perinteinen turvallisuustietoisuus ei tunnu olevan riittävää, joten työntekijöiden toimintaa voisi ajatella turvallisuusvalppauden käsitteen kautta. Se että tietää uhkien olemassaolosta ja turvallisuusohjeista ei tunnu estävän työntekijöitä käyttämästä vaikka messuilta saamaansa tarkastamatonta muistitikkua, klikkaamasta vääriä linkkejä tai vierailemasta väärennetyillä sivustoilla, joista kone saastuu ja avaa mahdollisuuden päästä yrityksen verkkoon.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
24
Yritysten pitäisi saada nostettua työntekijöiden tietoisuuden taso valppaudeksi jotta he pysähtyisivät miettimään onko linkin klikkaaminen viisasta, onko nettisivusto sitä miltä se näyttää tai onko taho joka kysyy jotain yritystietoa oikeasti se taho joka väittää tai näyttää olevansa. Ensimmäinen tekijä, jota ilman on turha odottaa työntekijöiden nousevan valppauden tasolle, on että työntekijä hyväksyy ajatuksen että hän tai hänen tietokoneensa tai mobiililaitteensa voi olla hyökkäyksen kohteena. Syy kohteena olemiselle on aivan samantekevää, olennaista on hyväksyä ajatus kohteena olemisesta. Vasta tämän jälkeen työntekijä on tasolla, jossa hänelle annetun tiedon voi olettaa johtavan oikea-aikaiseen turvalliseen toimintaan. ”Valesähköpostin avulla on päästy yrityksen sisälle.”
Rikolliset hyödyntävät ihmisten luottamusta ja halua helppoon toimintaan ja käytettävyyteen. Ihminen luottaa usein luonnostaan ja eritoten silloin kun hänelle annetaan riittävästi tosiseikoilta vaikuttavia viitteitä siitä, että asiat ovat kuten niiden kuuluu olla. Sen vuoksi koulutettaessa työntekijöitä, tulee painottaa sitä, että työntekijöillä on tarvittaessa oikeus epäillä ja sen jälkeen varmistautua siitä että asiat ovat sitä miltä ne vaikuttavat. Ja on tehtävä selväksi että tämä menettely on työnantajan hyväksymää ja tahdon mukaista. Kun luottamus siirretään yrityksen sisäisen toimintaan, vaikeutuu uhkien torjuminen. Organisaation tai työryhmän jäseneen kohdistuu enemmän luottamusta kuin ulkopuolisiin tahoihin. Omiin kollegoihin on vielä vaikeampaa kohdistaa tervettä epäilystä. Ja kun sisäinen toimija pääsee aiheuttamaan vahinkoa, voivat seuraukset olla vakavat.
”Ylin johto on voinut avata arveluttavan sähköpostiliitteen luullen sitä turvalliseksi.”
Hieman yli puolessa (53%) vastaajayrityksissä henkilökunta osaisi toimia, jos he epäilisivät tunkeutumista. Melkein kaksi kolmasosaa (60%) suurista uskoi että mikäli henkilökunta havaitsisi tunkeutumisen, he osaisivat toimia oikein. Aiemmassa kysymyksessä vain kymmenesosa vastasi käyttäjiensä havaitsevan tunkeutumisen. Kynnyskysymykseksi työntekijöiden osalta nousee se, osaako henkilökunta toimia turvallisuusohjeiden mukaan ja välttää tunkeutumisen heidän toimintansa vuoksi ja kykeneekö henkilökunta tunnistamaan hyökkäyksen. Noin viidesosa (22%) vastasi suoraan ettei henkilökunta osaisi toimia vaikka epäilisivät tunkeutumista. Neljäsosa vastaajista ei osannut sanoa osaisiko henkilökunta toimia tilanteessa. Joka toisessa yrityksessä työntekijät osaisivat toimia oikein epäillessään tunkeutumista. Yritysten tulisi lisätä henkilökunnan koulutusta.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
25
TIETOA KYBERTURVALLISUUDESTA – OSA 2.
Tämä osio on otettu osaksi tätä tutkimusta koska yritysten vastauksista käy ilmi etteivät ne ole saaneet riittävästi tietoa kyberuhkiin liittyen. Nämä lainaukset ovat lyhennelmä, niihin tehdyt korostukset ovat tähän selvitykseen tehtyjä lisäyksiä, jotka eivät muuta sisältöä. Alkuperäinen versio löytyy Viestintäviraston sivuilta osoitteesta: https://www.viestintavirasto.fi/tietoturva/tietoturvanyt.html
Haittaohjelmien toimintaperiaatteet, tarttuminen ja niiltä suojautuminen Tietokoneeseen voi tarttua erilaisia haittaohjelmia, kuten viruksia, matoja tai vaikkapa troijalaisia. Nykyään yleisin tapa saada haittaohjelmatartunta on joko internetselailu tai sähköpostin liitetiedosto. Haittaohjelmia on mahdollista torjua käyttäjän omilla toimenpiteillä. Haittaohjelmaksi kutsutaan tietokoneohjelmaa, joka tekee ei-toivottuja toimia tietokoneessa. Haittaohjelmat on mainittu myös rikoslaissa, jossa ne määritellään tietojärjestelmiä vaarantavaksi tai vahingoittavaksi tietokoneohjelmaksi tai ohjelmakäskyjen sarjaksi. Haittaohjelmat Virus Yleisesti tunnetuin haittaohjelmakategoria, johon kuuluvat mm. tiedostovirukset, makrovirukset, käynnistyslohkovirukset ja komentojonovirukset. Virus tarvitsee isännäkseen jonkinlaisen mekanismin, kuten isäntätiedoston tai siirrettävän median, jonka välityksellä se pyrkii automaattisesti leviämään. Mato Mato on automaattisesti leviävä haittaohjelma, joka ei tarvitse erillistä isäntäohjelmaa. Madon leviäminen ei edellytä toimia käyttäjiltä, vaan se perustuu esimerkiksi jonkin tietyn ohjelmistohaavoittuvuuden hyväksikäyttöön. Madot jaetaan usein alakategorioihin niiden leviämistavan perusteella. Mato voi levitä esimerkiksi tietoverkkojen, sähköpostin, pikaviestien tai vertaisverkkoliikenteen välityksellä. Nykyaikaisten käyttöjärjestelmien ja ohjelmistojen tietoturva on kehittynyt niin, että madot ovat erittäin harvinaisia. Troijalainen Troijalaiseksi kutsutaan haittaohjelmaa, joka ei leviä automaattisesti viruksen tai madon tavoin, vaan sen leviäminen edellyttää käyttäjän toimia tai muuta ulkoista tapahtumaa. Troijalaisia levitetään toisten, laillisilta vaikuttavien, ohjelmien ja tiedostojen huomaamattomana kylkiäisenä, josta sen nimi on myös peräisin. Esimerkiksi epäluotettavalta verkkosivulta tai mobiilisovelluskaupasta asennettu sovellus saattaa varsinaisen toiminteen lisäksi sisältää myös troijalaisen. Troijalaisia levitetään myös sähköpostin liitetiedostojen, sosiaalisen median ja tiedostojenjakopalveluiden välityksellä. Troijalaisen sisältävä tiedosto ei välttämättä ole suoritettava ohjelma (esimerkiksi .exe), vaan myös Office-dokumenttien ja PDF-tiedostojen avulla voidaan ohjelmistohaavoittuvuuksia apuna käyttäen tartuttaa haittaohjelmia. Tyypillisesti tällöin kohdetietokoneen ohjelmistot eivät ole ajan tasalla tai hyökkääjällä on tiedossaan jokin nollapäivähaavoittuvuus, eli haavoittuvuus jolle ei ole olemassa korjausta.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
26
Troijalainen saattaa sisältää esimerkiksi takaoven, tietoja varastavan haittaohjelman, virtuaalivaluutan louhijan tai se saattaa asentaa jonkin toisen haittaohjelman.
Rootkit Rootkit ei tarkalleen ottaen ole oma haittaohjelmaluokka, vaan joidenkin haittaohjelmien sisältämä erittäin kehittynyt lisäosa. Sen tehtävä on pyrkiä piilottamaan sekä itsensä että rootkittiin liittyvä haittaohjelma käyttäjältä ja mahdollisilta tietoturvaohjelmistoilta. Rootkit voi esimerkiksi estää tiettyjen prosessien tai ohjelmien havaitsemisen normaalein konstein. Rootkit pyrkii myös peittämään tai tuhoamaan jäljet tartunnasta.
Tarttuminen Tyypillisimpiä tapoja saada haittaohjelmatartunta ovat: -
-
selaimella vieraillulta verkkosivulta niin sanotun exploit kitin välityksellä. Exploit kit on verkkosivustolta käsin toimiva haittaohjelmanjakelualusta, joka selvittää hetkessä sivustolla vierailevan kävijän tietokoneen haavoittuvuudet. Haavoittuvuuksia, kuten vanhentunutta Java tai Adobe Flash -liitännäistä, apuna käyttäen exploit kit murtautuu tietokoneeseen ja asentaa haittaohjelman tai haittaohjelmia selailijan huomaamatta. Haittaohjelmanjakelujalustan välityksellä tapahtuva tartuntatapa tunnetaan englanniksi nimellä "drive-by download". sähköpostin haitallisen liitetiedoston avaamisesta sosiaalisessa mediassa tai pikaviestimissä levitettävien linkkien kautta jonkin siirrettävän median, kuten USB-tikun, välityksellä
Suojautuminen Haittaohjelmatartunnan riskiä voi pienentää pitämällä ohjelmistot ja virustentorjunnan ajantasalla. Jos mahdollista, käyttöjärjestelmään, toimisto-ohjelmiin, selaimeen ja selaimen liitännäisiin kannattaa kytkeä automaattiset päivitykset päälle. Esimerkiksi exploit kittien aiheuttamaa riskiä voi pienentää huomattavasti, jos selain ja sen liitännäiset pidetään ajantasalla. Myös käyttäjän omat toimet, kuten epäluotettavilla sivuilla surffaaminen saattavat kasvat-taa haittaohjelmien tartunnan riskiä. Toisaalta myös luotettavana pidetty verkkosivu voidaan murtaa, minkä jälkeen sitä voidaan hyödyntää haittaohjelmien levityksessä. Tuntemattomilta lähettäjiltä saapuvien sähköpostien liitetiedostoja ei tule avata. On tyypillistä, että haittaohjelmia levitetään laajoilla postituskampanjoilla liitetiedoston mukana. Joskus haittaohjelman lähettäjänä saattaa olla oma tuttu: Eräät haittaohjelmat pyrkivät tartunnan jälkeen leviämään lähettämällä haitallista sisältöä eteenpäin hyödyntäen käyttäjän omaa sähköpostiosoitetta tai sosiaalisen median tiliä ja yhteystietoluetteloa. Tällöin viestin saajan näkökulmasta lähettäjänä on tuttu henkilö, mutta viestin sisältö saattaa olla epätyypillinen tai vieraskielinen. Jos siis tutulta lähettäjältä saapuvan viestin sisältö tai sen sisältämä liite herättää epäluuloa, kannattaa ennen liitetiedoston avaamista kysyä lähettäjältä, onko viesti aito.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
27
Suojautumista voi myös tehostaa pyrkimällä pienentämään haittaohjelmien hyökkäyspintaalaa. Käyttöjärjestelmästä ja sovellusohjelmistoista kannattaa mahdollisuuksien mukaan poistaa tai sammuttaa tarpeettomat toiminnallisuudet (esimerkiksi tarpeettomat ohjelmistokomponentit ja palvelut). Hyökkäyspinta-alaa voidaan pienentää myös hyödyntämällä ns. vähimpien oikeuksien periaatetta. Toisin sanoen järjestelmää suositellaan käytettävän "peruskäyttäjän" oikeuksilla, ei laajemmilla oikeuksilla varustetuilla tunnuksilla (esim. "administrator"). Hyökkäyspinta-alaa voidaan pienentää myös BIOS-tason kovennuksilla, esimerkiksi poistamalla tarpeettomat liittymät käytöstä ja suojaamalla BIOS-asetukset salasanalla. https://www.viestintavirasto.fi/tietoturva/tietoturvanyt.html
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
5
28
SELVITYKSEN TULOKSIA: VIRANOMAISTEN ROOLI JA TIEDON SAATAVUUS
Taustaa viranomaisten toiminnasta
Yritysten olisi hyvä tuntea viranomaisten roolit. Yritykset tarvitsevat tahon johon he voivat olla yhteydessä ja jolta saavat neuvontaa jos epäilevät joutuneensa tai joutuvat hyökkäyksen kohteeksi tai sitten haluavat varautua niiden varalta. Selvityksessä kävi ilmi yritysten vähäinen tietoisuus viranomaisten rooleista ja toiminnasta kyberasioiden suhteen. Sen vuoksi tässä käydään hieman läpi muutaman vuoden aikana tapahtuneita asioita ja havaintoja, joilla pyritään kuvaamaan viranomaistoimintaa. RAND Europe tutkimusjärjestön vuonna 2013 tekemässä ”Cyber-security threat characterisation - A rapid comparative analysis” -tutkimuksessa, jossa vertailtiin Euroopan eri valtioiden ja Yhdysvaltojen varautumista kyberuhkiin, jäi Suomen osuus vähäiseksi. Tutkimuksessa mainittiin valmisteilla ollut Kyberturvallisuustrategia, mutta muutoin kyberasioiden huomioimisen aste Suomessa ei noussut korkealle verrattuna muihin maihin. Tutkimuksessa toki mainittiin Suomen olevan aihealueen alkuvaiheessa. Eräs positiivisista havainnoista oli että monissa Puolustusvoimien julkaisuissa oli tuotu esille kyberuhat ja niihin varautuminen. Kyberturvallisuusstrategian yhtenä kolmesta tavoitteesta on että Suomi on maailmanlaajuinen edelläkävijä kyberuhkiin varautumisessa ja niiden aiheuttamien häiriötilanteiden hallinnassa jo vuonna 2016. Laskutavasta riippuen tätä selvitystä kirjoitettaessa on aikaa tähän tavoitteeseen minimissään yhdeksän kuukautta ja mikäli tavoitteeksi riittää joulukuu 2016, aikaa on kaksikymmentäyksi kuukautta. Kyberturvallisuusstrategiassa johtamisen ylin taso määritellään seuraavasti: ”Kyberturvallisuuden johtamisen ylimmän tason muodostaa Valtioneuvosto. Valtioneuvoston tehtävänä ovat kyberturvallisuuden poliittinen ohjaus ja strategiset linjaukset sekä kyberturvallisuuden voimavaroista ja toimintaedellytyksistä päättäminen.” Kyberturvallisuustrategiassa ei mainita selvästi kuka käytännössä johtaa ja koordinoi viranomaisten joka päiväistä toimintaa ja sen kehittämistä. Vuoden 2014 alusta on toiminut Kyberturvallisuuskeskus, joka muun muassa jakaa tietoa hyökkäyksistä mutta sillä ei näytä olevan selkeää johtamismandaattia. Kyberturvallisuusstrategiassa mainitaan paikka paikoin yritykset, kuten ”Kyberturvallisuuden järjestelyissä noudatetaan viranomaisten, yritysten ja järjestöjen välillä vastuunjakoa, joka perustuu säädöksiin ja sovittuun yhteistyöhön” ja ”Luodaan kansallisen kyberturvallisuuden ja kyberuhkien torjunnan edistämiseksi viranomaisten ja muiden toimijoiden välinen tehokas yhteistoimintamalli.” Mistään ei näytä kuitenkaan löytyvän yhtä tiettyä viranomaista joka olisi asetettu vastuuseen yhteydenpidosta ja tiedottamisesta yrityskenttään. Strategiassa mainitaan myös seuraavasti, ”Kyberuhkien torjumiseksi tiedonvaihtoa viranomaisten ja elinkeinoelämän kesken edistetään kehittämällä sääntelyä ja yhteistyötä”. Yritysten kannalta näiden toimintojen kehittäminen on tärkeää. .
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
29
Kokonaisturvallisuuden alalla toimivaksi, varautumisen pysyväksi yhteistoimintaelimeksi on perustettu Turvallisuuskomitea, jonka tehtävistä säädetään erikseen. Turvallisuuskomitean kokoonpanoon kuuluu kaikkiaan 19 jäsentä ja kolme asiantuntijaa eri hallinnonalojen, viranomaisten ja elinkeinoelämän alueilta. Yhtenä tehtävänään komitea seuraa ja yhteen sovittaa myös uuden kyberturvallisuusstrategian toimeenpanoa. Yritysten kannalta on todettava, että yksikään jäsenistä ei ole elinkeinoelämän alueelta. Yleisessä keskustelussa viranomaiset ovat toisinaan käyttäneet vertauksena sitä että Suomen verkot ovat maailman puhtaimmat. Voiko tulokseen vaikuttaa ”ei niinkään verkon puhtaus, vaan verkon silmäkoko”. Mitä kaikkea verkon silmäkoon läpi voi sujahtaa jäämättä siihen näkyviin. Verkkojen puhtauden –käsitteen käyttäminen voi selittää hieman sitä etteivät yritykset tunne viranomaisten toimintaa kyberasioissa. Yritykset saattavat herkästi tulkita viestin verkkojen puhtaudesta siten että uhka ei koske juurikaan suomalaisia yrityksiä. Silloin asiasta ei oteta selvää eikä rajallisia investointeja suunnata siihen varautumiseen. Viestintäviraston Kyberturvallisuuskatsauksessa 1/2014 mainitaan että ”Kohdistettujen hyökkäysten havaitseminen on vaikeaa, eivätkä ne näy tavallisissa haittaohjelmatilastoissa.” Samassa katsauksessa kerrotaan myös että ”Haittaohjelmien tartuntalukumäärä ei kuitenkaan suoraan kuvaa maan tietoturvallisuuden tasoa, vaikka se antaakin siitä viitteitä. Yksikin kriittiseen toimijaan kohdistettu hyökkäys saattaa olla vaarallisempi kuin lukuisat haittaohjelmat yhteensä. Sen vuoksi Suomeen kohdistuvia uhkia ei voida arvioida pelkästään yksityisten tietoturvayhtiöiden löytämien haittaohjelmahavaintojen lukumäärän perusteella. Esimerkiksi Ulkoministeriöstä vuonna 2013 löytynyt vakoiluohjelma tai muut sen kaltaiset vakoiluohjelmat eivät näy yleisissä haittaohjelmatilastoissa lainkaan.” (Alleviivaukset tässä selvityksessä tehtyjä lisäyksiä.)
Viestintäviraston raportissa ”Kohdistettujen haittaohjelmahyökkäysten uhka on otettava vakavasti” elokuulta 2014, kerrotaan seuraavaa: ”Kohdistetut haittaohjelmahyökkäykset ovat yleistyneet viime vuosina, mikä näkyy muuan muassa tietoturvayhtiöiden lisääntyneinä haittaohjelmaraportteina. Tämän raportin tarkoituksena on kohdistettuihin haittaohjelmahyökkäyksiin liittyen: · lisätä organisaatioiden tietoisuutta · auttaa tunnistamaan organisaatiokohtaiset riskit · antaa tukea organisaatiolle päätöksenteossa uhilta suojautuessa Kyberturvallisuuskeskuksen koostaman raportin tavoitteena on parantaa Suomen kyberturvallisuutta sekä yksittäisissä organisaatioissa että kansallisesti. Kohdistettujen haittaohjelmahyökkäysten kohteita ovat organisaatiot, joilla on hallussaan hyökkääjää kiinnostavaa tietoa liittyen poliittiseen päätöksentekoon, talouteen tai teknologiaan. Näihin kuuluvat julkishallinnon organisaatiot, yliopistot ja yritykset koosta riippumatta
30
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
Keskeisiä hyökkäykselle altistavia ja hyökkäyksen torjumisen hankaloittavia syitä ovat: - kiinnostava informaatio - merkittävät yhteistyökumppanit - verkon ja järjestelmien teknisesti tarjoamat mahdollisuudet - puutteet hyökkäysten havainnointi- ja reagointikyvyssä Kyberturvallisuuden edelläkävijäasema saavutetaan vain, jos kaikki organisaatiot tunnustavat uhkan olemassaolon ja sitoutuvat sen torjumiseen sekä sisäisesti että yhteistoiminnallisesti.” Loppujen lopuksi yritysten kannalta on lähes samantekevää miten kybervastuu ja roolit on jaettu viranomaisten kesken. Tärkeää on että on mahdollisimman yksinkertaista kääntyä viranomaisen puoleen ja saada neuvoja ja muuta apua tulematta kierrätetyksi eri viranomaisten kesken.
KYSYMYS 8. Miten hyvin tunnette suomalaisten viranomaisten roolia ja toimintaa kyberuhkiin liittyen?
4=Erittäin hyvin
3=Melko hyvin Kaikki
5
2=Melko huonosti
17
1=En tunne lainkaan 62
Keskiarvo 16
2,11
Henkilöstön määrä Mikrot (1-4 henkilöä)
5
11
67
17
2,03
Pienet (5-49 henkilöä) 3
14
64
19
2,01
Keskikokoiset (50-199 henkilöä)
4
Isot (yli 200 henkilöä)
20
64
12 0
10
40 20
30
12 43
40
50
60
70
2,16 5 2,58
80
90
100 %
31
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
Noin joka kuudes vastaajayrityksistä ei tuntenut lainkaan (16%) suomalaisten viranomaisten roolia ja toimintaa kyberuhkiin liittyen ja melko huonosti niitä tunsi kaksi kolmesta (62%) yrityksestä. Yritysten kannalta tilannetta voidaan pitää huonona. Aiheesta puhutaan julkisuudessa, mutta viranomaisten roolit kyberuhkiiin liittyen eivät valitettavasti ole käyneet selviksi yrityksille. Kaikista vastaajista siis lähes kahdeksan kymmenestä (78%) tunsi vähintään melko huonosti viranomaisten roolia ja toimintaa. Suurista yrityksistä vain noin kahdeksasosa (12%) tunsi viranomaisten roolit ja toiminnan erittäin hyvin. Miltei puolet (48%) suurista yrityksistä tunsi melko huonosti tai ei lainkaan tätä asiaa. Mentäessä pienempiin yrityksiin melko huonosti tai ei lainkaan tuntevien osuus kasvoi selvästi ollen pienimmässä kokoluokassa (84%). Pienempiä yrityksiä on Suomessa määrällisesti eniten. Nämä yritykset voisivat toimia tehokkaasti tukea viranomaisten toimintaa tunnistaessaan hyökkäyksiä ja ottaessaan tilanteissa yhteyttä viranomaisiin, On varmasti tilanteita, joissa viranomaiset voisivat hyötyä yrityskentän tekemistä havainnoista. Nopea tiedonsaanti havainnoista ja tiedon jakaminen ovat keskeisiä tekijöitä torjuttaessa hyökkäyksiä ja niiden aiheuttamia vahinkoja.
KYSYMYS 9. Oletteko saaneet jostakin käytännöllistä tietoa kyberuhkiin liittyen?
Kaikki
39
Henkilöstön määrä
Mikrot (1-4 henkilöä)
34
Pienet (5-49 henkilöä)
31
Keskikokoiset (50-199 henkilöä)
43
Isot (yli 200 henkilöä)
74 0
10
20
30
40
50
60
70
80
90
100%
Lähes neljä kymmenestä (39%) on saanut käytännöllistä tietoa kyberuhkiin liittyen. 61 % vastaajista ei ollut kuitenkaan saanut tietoa.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
32
”Vaikutuksia hankala hahmottaa konkreettisesti, miten siis suojautua?”
Tiedon puute helpottaa rikollisten toimintaa. Tilannetta voisi verrata siihen että kukaan ei kertoisi että toimiston ovi kannatta sulkea ja lukita henkilökunnan ollessa poissa tiloista. Vertaus tuntuu ehkä jyrkältä, mutta osan yrityksistä tiedon ja osaamisen puute kyberasioissa vaikuttaa olevan verrattavissa siihen. ”Kyberturvallisuuskeskuksesta.”
”Yksi seminaari jossa yksi luento liittyi tähän. TV:ssä on ollut viime aikoina haastateltavana asiantuntijoita.” ”Lehdistö, eri tahojen lähettämät mainokset/tiedotteet, muut tiedotusvälineet.”
”Yrityksemme ICT-vastaavalta, joka seuraa esim. CERT-FI –sivustoa.”
Yrityksillä on toisinaan vaikeuksia tunnistaa perinteisiä uhkia ja sitä kautta varautua niihin. Kyberuhka on ollut olemassa pitkän aikaa, mutta noussut yleiseen tietoisuuteen vasta muutama vuosi sitten. Uhka kehittyy kokoajan, mutta jos tietoa ei ole, ei yrityksillä ole juurikaan mahdollisuuksia suojautua ja havaita tunkeutumisia. Noloksi tilanteen tekisi se jos suomalaiseen yritykseen päästäisiin vanhoilla keinoilla jotka muualla on jo tunnistettu ja jaettu yritysten tietoisuuteen. Kyse on kilpajuoksusta, jossa tekijät kehittävät uusia keinoja aina kun vanhat tulevat tunnetuiksi. Vastuu tiedon etsimisestä on kuitenkin yrityksillä itsellään. Kukaan ei voi odottaa että viranomaiset ja teleoperaattorit hoitavat kaiken asiaan liittyvän yrityksen odottaessa passiivisena. Siitä kolmasosasta, joka on saanut tietoa, jotkut olivat saaneet tietoa Kyberturvallisuuskeskukselta ja CERT-FI:ltä. Yksi selitys voi olla se, että hyvin harvoissa (5%) yrityksissä on täysipäiväinen henkilö vastaamassa tietoturvallisuudesta. Joka viidennessä asiaa ei ole vastuutettu kenellekään ja silloin kun kukaan ei vastaa ainakaan täysipäiväisesti - jää tiedonkin haku vähemmälle. Tämäkin vuoksi tiedottamista ja tiedonjakoa olisi parannettava ja tehtävä yrityksille helpommaksi saada tietoa tai päästä tiedonjakeluun. Aina tulee olemaan joukko yrityksiä joilla ei ole rahaa palkata tietoturvaosaajaa. Yhdysvalloissa on jo vuosien ajan harjoitettu tiedonvaihtoa yritysten kesken. Yritykset ovat vaihtaneet tietoa uhista luottamuksellisesti keskenään ja tiettyjen toimijoiden kesken on jopa tehty yhteistyötä niiden torjumisessa. Tämä toki vaatii suurta luottamusta toimijoiden välillä, mutta se on ollut tehokas ratkaisu resurssien rajallisuuden vuoksi. Harva toimija voi ylläpitää omia resursseja, jotka riittävät kaikkien tilanteiden torjumiseen ja niistä selviämiseen.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
33
Mistä on saanut tietoa: Isot yritykset (yli 200 henk.) - Cert.fi - Seminaarit ja koulutukset - Viestintävirasto - Kyberturvallisuuskeskus Keskikokoiset yritykset (50-99 henk.) - Viestintävirasto - Tiedotteet, media, internet Pienet yritykset (5-49 henk.) - Cert.fi - Internet, media - Partnerit - Viestintävirasto - Aalto-yliopisto Mikroyritykset (1-4 henk.) - Alan julkaisut - Lehdet ja media - Tietoturvajärjestelmien toimittajat - Viestintävirasto - Yrityksen käyttämät asiantuntijat - Kauppakamari
TIETOA KYBERTURVALLISUUDESTA – OSA 3. Tämä osio on otettu osaksi tätä tutkimusta koska yritysten vastauksista käy ilmi etteivät ne ole saaneet riittävästi tietoa kyberuhkiin liittyen. Nämä lainaukset ovat lyhennelmä, niihin tehdyt korostukset ovat tähän selvitykseen tehtyjä lisäyksiä, jotka eivät muuta sisältöä. Alkuperäinen versio löytyy Viestintäviraston sivuilta osoitteesta: https://www.viestintavirasto.fi/tietoturva/tietoturvanyt.html Päätelaitteen tietoturva on kilpajuoksua kyberrikollisia vastaan Käyttäjän harteilla on suuri vastuu päätelaitteen tietoturvasta. Kaikkien tietoverkkoon kytkettyjen päätelaitteiden ohjelmistot ja virustorjunta on pidettävä ajantasalla. Ylipäätään internetissä on hyvä käyttäytyä fiksusti, jotta ei turhaan joudu tavanomaisten haittaohjelmien uhriksi. Lisäksi kannattaa tutustua yleisimpiin huijausmenetelmiin, jotta osaa välttää verkon vaarat. Päätelaitteiden tietoturva voidaan jakaa karkeasti kahteen osaan: 1. Tuotteen huolellinen, tietoturvauhat huomioiva suunnittelu, toteutus ja korjaavat päivitykset sen elinkaaren aikana. Tämä osa on laitevalmistajien ja ohjelmistosuunnittelijoiden vastuulla. 2. Tuotteen käyttö ja ylläpito. Tämä osa on laitteen käyttäjän varassa.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
34
Huipputurvalliseksikaan suunniteltu järjestelmä ei ole kokonaisturvallinen, jos sitä käytetään väärin tai ei ylläpidetä jatkuvasti. Jos käyttäjä ei estä luvatonta pääsyä järjestelmiinsä eikä suojaa tietojaan riittävästi, tällaiset laiminlyönnit voivat avata tuotevalmistajan huipputurvalliseksikin lupaaman järjestelmän luvattomalle käytölle. Nykyiset käyttöjärjestelmät ja iso osa verkkoon kytkettävistä erillislaitteista (esim. reitittimet, verkko-ominaisuuksilla varustettu kodin elektroniikka) ovat teknisesti hyvin suojattuja tunkeutumista ja haitallista ohjelmakoodia vastaan. Tuotteiden sisäänrakennetut suojaukset kuitenkin toimivat suunnitellulla tavalla vain, jos käyttäjä tekee oman osansa. Käyttäjän tärkeimmät toimet ovat: • ajantasaisten, päivitettyjen ohjelmistojen käyttäminen • virustorjuntaohjelmiston käyttäminen • hyvien salasanojen valitseminen • pääsyn rajoittaminen verkkolaitteisiin internetistä Näiden lisäksi ohjelmien asentamisessa, lataamisessa ja sähköpostin liitetiedostojen käsittelyssä on syytä pitää varansa ja käyttää järkeä. Huijauksen tunnistaminen ei aina ole helppoa. Jos viesti tai verkkosivusto epäilyttää, kannattaa keskeyttää se, mitä on tekemässä ja arvioida tilanne uudelleen. Suurin osa huijauksen uhreista toimii hätäisesti kiireessä arvioimatta tarkemmin, mihin tietojansa syöttää. Verkosta löytyy runsaasti tietoa erilaisista haittaohjelmista ja huijauksista, joihin on hyvä tutustua. Jokainen henkilökohtaisen tietoturvan osa-alueista on tärkeä, sillä tietovuoto tai –murto edellyttää yleensä vain yhden suojauksen pettämistä. Toteutuneissa tietomurroissa ja huijauksissa ajantasainen tekniikka on useimmiten toiminut oikein, mutta laitetta käyttävä ihminen on houkuteltu toimimaan väärin. Tyypillisiin haittaohjelman lataamiseen pyrkiviin tai käyttäjän tietoja vieviin huijauksiin voi alkuun tutustua esimerkiksi "Näin meitä huijataan" -teemakuukauden aikana julkaistusta ohjeesta ja ajankohtaisesta Tietoturva nyt! julkaisusta: • Näin meitä huijataan -ohje [pdf, 988 KB] • Viimeaikaisia huijauskampanjoita Mobiililaitteita koskevat samat säännöt kuin tietokoneita. Asenna siis ohjelmistoja vain luotetuista lähteistä, pidä ohjelmistot ja käyttöjärjestelmä ajantasaisena ja suhtaudu varauksella saamiisi viesteihin.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
6
35
SELVITYKSEN TULOKSIA: VARAUTUMINEN – VASTUUT, SUUNNITELMAT JA HARJOITUKSET Yrityksen tiloissa syttynyt tulipalo voi tuhota koko yrityksen toimitilan ja mikäli toiminnan jatkuvuutta ei ole suunniteltu, sen toiminta voi loppua. Toimitiloissa syttymishetkellä olevat työntekijät voivat havaita sen ja suorittaa alkusammutuksen ja hälyttää apua. Alkusammutus voi onnistua ja ajoissa saapuva palokunta voi sammuttaa tulipalon ajoissa. Hyvin toteutettu ensisammutuskoulutus ja jatkuvuussuunnittelu voivat helpottaa selviämistä. Jos yritykseltä viedään sen huomaamatta liikesalaisuudet, otetaan sen verkkotoiminnot haltuun, sekoitetaan sen logistiikka- tai tuotantoprosessit siten että väärien tietojen seurauksena väärät tavarat lähtevät väärille tahoille tai tuotantomäärät menevät sekaisin tai ”vain” julkistetaan sille haitallisia sisäisiä tietoja, voi näistä seurata huonoimmillaan yrityksen toiminnan lakkaaminen tai ainakin sen kannattavuuden heikentyminen. Kyberuhkan realisoituessa yrityksen sisällä, siitä ei synny näkyvää liekkiä, savua tai lämpöä. Ei edes huminaa tai palon ritinää kuulu. Silti sen seuraukset yrityksellä voivat olla yhtä vakavat kuin tulipalon. Kyberuhka on edellä kuvatulla tavalla näkymätön ja se vaikeuttaa sen tuntemista ja sen ymmärtämistä. Siksi siihen on ollut vaikea suhtautua ja varautua. Aivan kuten tulipalojen suhteen on mahdollista kouluttaa henkilökuntaa, hankkia torjuntaohjelmistoja, tehdä suunnitelmia ja harjoitella niitä. Tämä edellyttää yrityksen johdolta selkeää sitoutumista ja tukea.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
36
KYSYMYS 10. Miten organisaationne on järjestänyt tietoturvallisuusvastuut johtotasolla?
On vaikea kehittää ja ylläpitää mikäli kyseiselle toiminnolle ei ole nimetty ketään vastuutahoa. Kehitystyö vaatii myös resursseja ja aikaa. Mikäli vastuuseen asetettu taho ei ole kokopäiväinen, on turha odottaa toiminnan saavan riittävää huomiota osakseen. Yhdysvalloissa on House Homeland Security Committeelle annetussa lausunnossa ”Sharing Information About Threats Is Not a Cybersecurity Panacea” esitetty karkea arvio siitä että noin 1000 työntekijää työllistävällä yrityksellä on yleensä varaa palkata kokoaikainen tietoturvallisuudesta vastaava taho. Arviossa korostetaan että tämä vaihtelee toimialojen välillä ja poikkeuksia molempiin suuntiin. Mutta tässä arviossa tiivistyy varsin keskeinen ongelma kyberuhkiinkin varautumisessa. Voidaanko varautua ja pysyä ajan tasalla, jos ei ole rahaa tai tahtoa palkata ketään hoitamaan asiaa? Viimeisen vuosikymmenen aikana tapahtunut yritysten toimintojen siirtyminen verkkoon ja verkossa kiinni olevien päätelaitteiden määrän valtava kasvu johtavat siihen että aivan kaikki yritykset eivät voi ohittaa tätä asiaa osa-aikaisilla ratkaisuilla tai luottamuksella siihen ettei mitään tapahdu. Yleisintä (22%) kaikkien vastaajayritysten keskuudessa oli se että vastuu tietoturvallisuudesta oli nimetty oman toimen ohella päällikkötason henkilölle tai toimitusjohtajalle. Oman toimen ohella toimiminen voi olla tapauskohtaisesti hyvä vaihtoehto, mutta yleensä kun jollekulle annetaan tehtäväksi tehdä jotain oman toimen ohella, ei siihen aina tahdo löytyä aikaa eikä toimenpiteille resursseja.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
37
Lähes yhtä yleistä (21%) oli se että tietoturvallisuutta ei ollut vastuutettu millään tavalla. Tämä jättää tilanteen täysin avoimeksi ja on selvää ettei tämä viidesosa etsi tietoa aiheesta tai selvitä viranomaisten rooleja aihealueen tiimoilta. Kolmanneksi yleisin (16%) oli se että tietoturvallisuus oli vastuutettu IT-tuelle. Hieman alle kymmenesosa (7%) suurista yrityksistä oli tehnyt näin. Hieman yli kymmenesosassa (11%) vastaajayrityksistä oli kokopäivätoiminen ITjohtaja tai –päällikkö, joka vastasi oman toimen ohella. Tämä ei ole vaihtoehto, joka vastaisi täysipäivästäistä resurssia. IT-johtaja tai –päälliköllä olla hyvin vähän aikaa tämän osaa-alueen hoitamiseen johtuen jo muutoinkin laajasta ja aikaa vievästä vastuualueestaan. Joka kolmas (34%) suurista yrityksistä oli vastuuttanut asian tällä tavalla. Vain noin joka kahdeskymmenes (6%) vastaajista oli palkannut kokoaikaisen tietoturvallisuusjohtajan tai –päällikön. Suurista yrityksillä lähes joka kolmannella (29%) oli oma kokoaikainen johtaja tai päällikkö vastuussa tietoturvallisuudesta. Tämä vaihtoehto on suositeltavin, mutta käytännön syistä se ei ole kaikille yrityksille toteutettavissa oleva vaihtoehto. Kymmenesosa kertoi heillä olevan ulkopuolisen palveluntarjoajan joka tarjoaa tietoturvallisuusjohtajan tai päällikön. Tämä on huomioonotettava vaihtoehto jos ei ole mahdollisuutta asiantuntevaan kokopäiväresurssiin. Yksikään suurista yrityksistä ei ollut tehnyt näin.
38
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
KYSYMYS 11. Onko teillä käytössä käytännössä toimivia suunnitelmia tunkeutumisten varalle?
Kyllä
Ei
Kaikki
En osaa sanoa
31
55
14
Henkilöstön määrä Mikrot (1-4 henkilöä)
31
Pienet (5-49 henkilöä)
60
25
Keskikokoiset (50-199 henkilöä)
58
33
Isot (yli 200 henkilöä)
17 55
52 0
10
8
20
30
12 30
40
50
60
70
19 80
90
100 %
Olemassa olevat suunnitelmat kertovat että yritys on tunnistanut ja hyväksynyt siihen kohdistuvan uhan. Pienissä yrityksissä voi riittää, että työntekijät osaavat toimia käytännössä sen sijaan, että se on laatinut perinpohjaisen suunnitelman. Suuremmassakin yrityksessä reagointi ja toiminta on tärkeämpää kuin suunnitelma tai sen pituus. Jos suunnitelman sisältöä eivät tunne muut kuin sen valmistelleet henkilöt ja sen nojalla muidenkin henkilöiden tulisi toimia, ei suunnitelmasta tosi tilanteessa ole todennäköisesti hyötyä. Kun hyökkäys on käynnissä, on myöhäistä harjoitella. Alle kolmasosa vastaajista (31%) kertoi heillä olevan käytännössä toimivia suunnitelmia tunkeutumisten varalle. Suurista yrityksistä yli puolella (52%) oli suunnitelma. Kolmasosalla (30%) suurista yrityksistä ei ollut suunnitelmia. Yli puolet kaikista vastaajista (55%) kertoi ettei heillä ollut toimivia suunnitelmia uhan varalle. Noin seitsemäsosa (28%) ei osannut sanoa oliko heillä toimivaa suunnitelmaa.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
39
KYSYMYS 12. Mitä asioita suunnitelmiin on sisällytetty?
Tämä kysymys oli osoitettu niille 235 (31% kaikista) vastaajayritykselle, jotka vastasivat heillä olevan käytännössä toimivan suunnitelman. Tämän kysymyksen yhtenä tarkoituksena oli antaa tätä selvitystä lukeville tahoille ajatuksia siitä, millaisia asioita yksinkertaisimmillaan suunnitelmiin ja ohjeisiin voi sisällyttää. Olennaista on että ne ovat yksinkertaisia ja selkeitä ja ennen kaikkea että ne saadaan kaikkien asianosaisten tietoisuuteen. Lyhyt kymmenen kohdan lista voi olla huomattavasti toimivampi kuin kymmenen sivun suunnitelma. Vastaajista noin kahdeksan kymmenestä (78%) kertoi suunnitelmissa olevan tiedon siitä keneen olla yhteydessä, jos epäilee tunkeutumista. Toiseksi yleisin (50%) oli ohje siitä mitä tehdä ensimmäisenä, jos epäilee tunkeutumista. Kolmanneksi yleisin (41%) oli ohje irrottaa päätelaite verkosta. Neljäntenä ohjeena (40%) oli tilanteen kuvaaminen. Viidentenä (27%) tuli ohje jättää kone koskemattomaksi tutkimista varten.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
40
Kuudentena (21%) oli ohje toteuttaa print screen –komento, jotta näytön kuva saadaan varmasti tallennettua. Muita yleisimpiä ohjeita olivat: - Blokataan irti tietoverkosta, analysoidaan palomuurin blokit. - Jos tarvetta niin laitetaan työasema erilliseen verkkoon tutkittavaksi. - Henkilökunnan perehdyttäminen hälytyksen tekoon - Luottamuksellisen tiedon käsittelyn keskeyttäminen kyseisellä laitteella - Tunkeutumisen kohteeksi päätyneen palvelimen eristäminen - Sertifikaattien ja salasanojen uusinnat, - Muiden järjestelmien lisätty valvonta
KYSYMYS 13. Oletteko koskaan harjoitelleet suunnitelmienne toimivuutta jollakin seuraavista tavoista?
”Käyttäjät ovat toimineet annettujen ohjeiden mukaisesti.”
Harjoittelun merkitys on suuri niissä tapauksissa, joissa suunnitelmassa oletetaan muidenkin kuin sitä valmistelleiden henkilöiden toimivan sen mukaisesti. On turha laatia suunnitelmaa, jonka toimivuutta ei ole testattu millään tapaa. Vain harjoittele-
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
41
malla selviää miten se toimii ja ovatko siihen kytketyt henkilöt kykeneviä toimimaan sen edellyttämällä tavalla. Suurin osa vastaajista (90%) ei ole harjoitellut. Vain joka kymmenes (10%) yritys on harjoitellut jollain tavalla suunnitelmien toimivuutta. Suunnitelmia oli vain kolmasosalla vastaajista joten kaksi kolmasosaa niistä joilla suunnitelma on, ei ole testannut niiden toimivuutta harjoittelemalla. Neljä prosenttia kaikista vastaajista on toteuttanut neuvotteluhuoneharjoituksen. Harjoitus on yksinkertaisin tapa käydä läpi miten harjoitus voisi toimia eri tilanteissa. Harjoituksessa laaditaan käsikirjoitus tapahtumille ja osallistujat miettivät miten toimivat kussakin tilanteessa. Saman verran eli neljä prosenttia on harjoitellut ulkopuolista hyökkääjää vastaan. Tämän harjoittelutavan etu on että yrityksen turvallisuustoimijat pääsevät käytännössä kokeilemaan taitojaan ja kehittämään niitä. Yritys saa selville miten suunnitelmia on mahdollisesti parannettava ja millaista lisäkoulutusta tai resursseja turvallisuusasiantuntijat mahdollisesti tarvitsevat. Muita yleisimpiä harjoittelutapoja olivat: - Alan yhteisharjoitus - Harjoitukset tehdään korporaation tietoturvaosaston toimesta - Kaikille kerrottu miten laitteet ajetaan alas, kunnes apu saapuu paikalle - Käytännössä keskustelua ja yhteyshenkilöiden listan päivittämistä
42
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
KYSYMYS 14. Onko teillä vahvistettua koulutus- ja harjoitusohjelmaa kyberturvallisuuteen liittyen?
Kyllä Kaikki
Ei
En osaa sanoa
6
87
4
93
7
Henkilöstön määrä Mikrot (1-4 henkilöä)
Pienet (5-49 henkilöä) 3 Keskikokoiset (50-199 henkilöä)
90 11
Isot (yli 200 henkilöä)
7
79
14 0
3
10
10
70 20
30
40
50
15 60
70
80
90
100 %
Ohjelman olemassaolo kertoo yrityksen varautuneen jo varsin hyvin uhkaan ja sen torjumiseen. Kovin yleisiä nämä eivät vielä ole, kuten tuloksista on nähtävissä. Vahvistettu suunnitelma osoittaa yritysjohdon sitoutuneen koulutukseen hyväksymällä sen osaksi muuta koulutusta. Samalla yritysjohto sitoutuu osoittamaan resursseja koulutukseen. Noin joka kahdeskymmenes (6%) vastaajayritys kertoi heillä olevan vahvistetun koulutus- ja harjoitusohjelman kyberturvallisuuden varalle. Suurista yrityksistä seitsemäsosalla (14%) oli tällainen. Toisaalta melkein kolmella neljästä suuresta vastaajayrityksestä ei olut vahvistettua ohjelmaa. Lähes yhdeksällä kymmenestä (87%) ei ollut tällaista. Seitsemän prosenttia ei tiennyt oliko heillä sitä.
43
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
KYSYMYS 15. Ovatko kyberuhkiin liittyvät harjoitukset osa muihin liiketoimintaa uhkaaviin uhkiin liittyvää harjoittelua?
Kyllä Kaikki
Ei
En osaa sanoa
11
72
17
Henkilöstön määrä Mikrot (1-4 henkilöä)
9
73
Pienet (5-49 henkilöä)
8
77
Keskikokoiset (50-199 henkilöä)
16
Isot (yli 200 henkilöä)
10
15 70
24 0
18
13
54 20
30
40
50
22 60
70
80
90
100 %
Yrityksen kytkiessä kyberuhkiin liittyvät harjoitukset osaksi muihin liiketoimintaa uhkien harjoitteluun, on päästy hyvin pitkälle. Yritys on tunnistanut uhan ja tehnyt siitä osan normaalia riskienhallintaan liittyvää harjoittelua. Noin kymmenesosalla (11%) vastaajista harjoitukset olivat osana muihin uhkiin varautumisen harjoittelua. Suurista yrityksistä joka neljäs (24%) oli kytkenyt ne osaksi muuta harjoittelua. Puolella (54%) suurista vastaajista näin ei oltu tehty. Useammalla kuin joka seitsemännellä (72%) niitä ei ollut otettu osaksi muita harjoituksia.. Lähes joka viides (17%) ei osannut sanoa oliko heidän harjoituksensa osana muiden uhkien varalta varautumisen harjoittelua..
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
44
KYSYMYS 16. Oletteko varautuneet kyberuhkiin seuraavin tavoin konkreettisesti tai suunnitelmilla?
”Olemme saaneet investointiluvan tietojärjestelmiin tunkeutumisen havaitsemiseksi tarkoitettujen järjestelmien hankkimiseksi.” ”Kehitysympäristön noodi sammutettiin ennen kuin siihen liittyvät lokitiedot oltiin otettu talteen tutkintaa varten.” Uhkiin varautumisessa tulee pohtia vahinkojen estämistä etukäteen, mutta yhtä merkityksellistä on varautuminen siihen, miten tunkeutumista selvitetään sen tapahduttua ja miten mahdollista viranomaisten tai omaa tutkintaa voidaan edesauttaa. Virheet voivat huonoimmassa tapauksessa tuhota todisteita ja jälkiä joiden avulla olisi mahdollista selvittää mitä on tapahtunut ja kuka tekoon on syyllistynyt. Lähes puolet (48%) vastaajista ei ollut varautunut millään kysymyksessä esitetyllä vaihtoehdolla. Suurista yrityksistä joka viides (19%) ei ollut varautunut näin. Yleisin vaihtoehto (28%) oli palvelusopimus tunkeutumisiin ja haittaohjelmiin liittyvää tutkintaa tarjoavan tahon kanssa. Kaksi viidesosaa (40%) suurista oli tehnyt sopimuksen.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
45
Toiseksi yleisimpänä varautumistapana (25%) oli kerätä eri järjestelmä- ja verkkolokien tietoa selvittelyä varten. Kaksi kolmasosaa (60%) suurista vastaajaryityksistä varautui näin. ”Tuotannon jatkuminen katkoitta, sekä onnistuneet varmistukset riittävän pitkältä aikaperiodilta. (Hyökkäys voi olla hyvinkin jaksottunutta pitkällä aikajanalla. Tällä taataan stabiili lähtötilanne, vaikka jouduttaisiin peruuttamaan montakin set pointtia takaisin).” Lähes seitsemäsosalla vastaajista (14%) oli suunnitelma tilannekuvan luomiseksi tutkintaa, puhdistustoimenpiteitä ja loppuraportointia varten. Lähes joka kolmas (29%) suurista yrityksistä oli tehnyt tällaisen. Melkein joka kymmenes (9%) oli ollut yhteydessä viranomaisiin varautumisen tiimoilta. Joka kolmas (31%) suurista yrityksistä oli tehnyt näin. Joka kahdeskymmenes kaikista vastaajayrityksistä (6%) oli hankkinut tutkinnassa tarvittavaa laitteistoa, ohjelmistoa ja tutkintakykyä. Suurista vastaajayrityksistä useampi kuin joka kuudes (15%) oli hankkinut näitä.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
46
TIETOA KYBERTURVALLISUUDESTA – OSA 4
Tämä osio on otettu osaksi tätä tutkimusta koska yritysten vastauksista käy ilmi etteivät ne ole saaneet riittävästi tietoa kyberuhkiin liittyen. Nämä lainaukset ovat lyhennelmä, niihin tehdyt korostukset ovat tähän selvitykseen tehtyjä lisäyksiä, jotka eivät muuta sisältöä. Alkuperäinen versio löytyy Viestintäviraston sivuilta osoitteesta: https://www.viestintavirasto.fi/tietoturva/tietoturvanyt.html 10 opittua asiaa! 1. Havainnointi vaatii aktiivisista toimintaa ja osaavaa henkilöstöä. Osaava henkilöstö tuntee verkkonsa perustoiminnot ja tyypillisen liikennevirran, jolloin voidaan nopeasti havaita poikkeavuudet normaalitilanteesta. Pelkkä lokien ylläpito ja tietoturvakontrollien tuottamien varoitusten seuranta ei riitä, vaan ne vaativat tulkintaa. Suomalaisten tietoturvayhtiöiden kokemusten mukaan organisaatioissa, joissa on havaittu kohdistettuja haittaohjelmahyökkäyksiä,havainnointi on ollut puutteellista. 2. Tiedon jakaminen parantaa kaikkien havainnointikykyä. Hyökkääjät kehittävät jatkuvasti uusia hyökkäysmenetelmiä. Organisaation havaitessa kohdistetuksi hyökkäykseksi epäiltyjä tai todennettua tunnusmerkkejä, havainnoista on suositeltavaa kertoa keskitetylle toimijalle kuten Kyberturvallisuuskeskukselle. Näin esimerkiksi tunnusmerkkejä voidaan jakaa anonymisoidusti kansallisten tietoturvaviranomaisten sekä tietoturvayhtiöiden välityksellä. Kun yhteistyöverkosto jakaa tietoa toisilleen, myös sen jäsenten hyökkäysten havainnointikyky paranee. 3. Toimi harkiten ja aloita selvitys vastakohdistettuihin hyökkäyksiin perehtyneiden asiantuntijoiden avulla. Kohdistettujen haittaohjelmahyökkäysten selvityksessä harkitsemattomat ja näkyvät estotoimet kertovat tunkeutujalle, että hyökkäys on paljastunut. Tunkeutuja voikin näennäisesti poistua verkosta, siivota jälkensä ja tuhota tietoturvaloukkauksesta kertovia todisteita, jolloin tapauksen selvittäminen hankaloituu. On kuitenkin mahdollista, että hyökkääjä jättää jälkeensä takaovia, joiden kautta se voi taas päästä takaisin kohteensa verkkoon. Jos siis epäilys kohdistetusta haittaohjelmahyökkäyksestä herää, tapauksen selvittäminen tulee aloittaa maltilla ja avuksi on haettava osaavia ammattilaisia. 4. Lokien tallennus ja pitkäaikainen säilytys on tärkeää. Kohdistetut haittaohjelmahyökkäykset havaitaan tyypillisesti vasta ulkopuolisen hyökkääjän pitkäaikaisen läsnäolon jälkeen. Tapahtumaa on jälkikäteen mahdollista selvittää lokien perusteella. Tietoturvaloukkausten paljastuttua usein todetaan puutteita juuri verkkoliikenteen ja järjestelmäkirjautumisten seurannan systemaattisessa tallentamisessa ja säilytyksessä. Jos lokien hallintaa ei ole toteutettu kattavasti, tällöin on mahdotonta todentaa ulkopuolisen toimintaa verkossa . Lokien keräyksessä on siis varmistettava oleellisten tietojen tallennus ja kaikkien aikaleimojen täsmällisyys. 5. Kuka tahansa voi olla kohde. Vain harva organisaatio kokee olevansa altis kohdistetun haittaohjelmahyökkäyksen uhalle. Välinpitämättömyys aiheuttaa riskin myös organisaation sidosryhmille, sillä heikosti suojattu, seurattu ja ylläpidetty verkko on helppo kauttakulkureitti tai tiedonhankintapaikka, jossa tietoa voidaan kerätä myös kohteen sidosryhmistä. Samat käytännöt, jotka suojaavat verkkoa tavanomaisilta tietoturvauhilta, suojaavat verkkoa myös kohdistettuilta hyökkäyksiltä. Tietoturva voi olla organisaatiolle kilpailuetu, mutta heikosti toteutettuna se on riski organisaation hyvälle maineelle.
6. Suojaa kriittiset tiedot.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
47
Kaikkea tietoa ei tarvitse suojata ja julkinen tieto tuleekin olla helposti saatavilla. Kriittisen tiedon käsitteleminen taas vaatii erillisiä järjestelmiä, samalla se hankaloittaa tiedon käsittelyä. Osaaminen ei siis ole kaiken tiedon suojaamista, vaan suojaamistarpeen tunnistamista ja sen edellyttämiä suojauskäytäntöjä. On tarpeen miettiä, mitkä ovat riskit, jos omat tiedot päätyvät ulkopuoliselle. 7. Vastuu tietojen turvaamisesta ei siirry palveluja ulkoistettaessa. ICT-palvelut ovat useissa organisaatioissa ulkoistettu erityisalan osaamisen parantamiseksi. Tällöin haasteena on ylläpitää tietoa siitä, kuka vastaa mistäkin osasta teknisiä toimintoja ja kenellä on pääsy organisaation verkkoon ulkoistussopimusten perusteella. Ulkoistettaessa on varmistettava, että ulkoistamisen jälkeenkin organisaatiolla itsellään on yhä pääsy kaikkeen omistamaansa tietoon mukaan lukien palvelinten lokitiedot. Organisaation on myös tiedettävä, mihin kaikkialle sen verkossa pääsee ulkoistettujen toimintojen kautta. Organisaation omaa kokonaisvastuuta tietojensa käsittelyntietoturvasta ei voi ylläpitosopimuksin siirtää. Lisäksi on sovittava reagoinnista ja vastuista tietoturvaloukkaustapausten selvityksessä. 8. Automaatio tukee tietoturvaloukkausten havaitsemista Havainnointijärjestelmät ovat hyviä tukityökaluja tietoturvaloukkausten havainnoimiseksi. Tietoliikennemäärät ovat suuret ja lokiaineistoa runsaasti, joten automatisoiduilla mekanismeilla voidaan estää merkittävä osa tavanomaisista tietoturvaloukkausyrityksistä. Lisäksi automaattiset havainnointi järjestelmät nopeuttavat selvitystyötä, kun epäillään tai selvitetään kohdistetun hyökkäyksen laajuutta. Kohdistettujen haittaohjelmahyökkäysten havainnointiin ne eivät kuitenkaan yksin riitä. 9. Erillisjärjestelmätkin voivat olla saavutettavissa Kriittiset tiedot säilytetään tyypillisesti erillisjärjestelmissä, jotka eivät ole suoraan yhteydessä julkisiin verkkoihin. Käytännön syistä tulee vastaan tilanteita, joissa erillisjärjestelmän ja internetiin kytketyn järjestelmän välillä on tarve siirtää tietoa. Tämä saatetaan toteuttaa esimerkiksi siirtomedialla tai liittämällä koneet hetkellisesti samaan järjestelmään. On muistettava, että jos erillisjärjestelmää suojaavat ilmavälit kyetään ylittämään itse, siinä voi onnistua tarvittaessa myös ulkopuolinen taho. 10. Ei ole olemassa täysin luotettavaa järjestelmää. On organisaatioita, joissa järjestelmäsuunnittelussa tietoturva on otettu huomioon alusta alkaen ja kokonaisuus on rakennettu huolella. Tämä tarjoaa hyvät lähtökohdat tietoturvaloukkausten ennaltaehkäisylle, mutta organisaatio ei kuitenkaan saa tuudittautua epärealistiseen turvallisuuden tunteeseen. Hyvin suunniteltua ja toteutettua järjestelmää tulee myös jatkuvasti seurata.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
7
48
JOHTOPÄÄTÖKSET Yritysten tietoisuutta lisättävä Yrityksen tietoisuus kyberuhista on huolestuttavan alhainen. Kaksi kolmasosaa kaikista yrityksistä ei koe saaneensa käytännöllistä tietoa aiheesta. Tietoa on viimeisen kahden vuoden aikana tuotettu erityisesti Kyberturvallisuuskeskuksen toimesta, mutta yritykset eivät ole löytäneet sitä. Yritysten on ymmärrettävä että vaikka tietoa tuotettaan, on yritysten itse osattava hakea sitä. Yrityksille pitäisi jotenkin saada parempi tietoisuus siitä mistä hakea aiheeseen liittyvää tietoa. Osa tätä ongelmaa on se että lähes neljä viidestä vastaajasta (78%) ei tunne lainkaan tai tuntee melko huonosti viranomaisten toimintaa. Jos viranomaisten roolit ovat yrityksille näin vieraita, ei voi olettaa että yritykset osaisivat hakea ainakaan viranomaisten tuottamaa tietoa. Tässä selvityksessä on tarkoituksella lainattu useassa kohtaa viranomaisten laatimaa materiaalia osoituksena siitä että tietoa on saatavilla. Yritysten valmiudet tunnistaa kohdistettu hyökkäys ovat heikot Kohdistettuja hyökkäyksiä on vaikea tunnistaa. Kolmasosa yrityksistä (34%) ei todennäköisesti tunnistaisi hyökkäystä sen ollessa käynnissä ja vain kymmenesosa (13%) yrityksistä seuraa ja analysoi lokejaan. Vain joka kymmenennen (10%) vastaajayrityksen henkilökunta voisi havaita hyökkäyksen. Kolmasosa (34%) yrityksistä kertoo havaitsevansa hyökkäyksen omilla torjunta- ja hälytysjärjestelmillään. On suuri määrä yrityksiä jotka ovat sen varassa saavatko he varoituksen teleoperaattorilta tai Kybertuvallisuuskeskukselta. Liian harvoilla yrityksillä on kokopäiväinen tietoturvallisuusjohtaja tai – päällikkö Vain kuudella prosentilla vastaajayrityksistä on tietoturvallisuudesta vastaava kokopäiväinen johtaja tai päällikkö. On vaikea uskoa yrityksen kykenevän kehittämään kyberuhkiin varautumista tilanteessa jossa uhat kehittyvät koko ajan ja monella tapaa kyse on kilpajuoksusta rikollisia vastaan. Puutteena suunnitelmien vähäisyys ja harjoittelemattomuus Kyberuhkiin liittyviä suunnitelmia oli vain kolmasosalla (31%) yrityksistä. Yhdeksän kymmenestä (90%) yrityksestä ei ollut harjoitellut millään tavalla. Vain neljä prosenttia oli harjoitellut ulkopuolista vastustajaa vastaan, joka on yrityksen kannalta paras tapa selvittää toimivatko laaditut suunnitelmat oikeasti. Yritysten tulisi tehdä suunnitelmia, joita ne testaavat harjoittelemalla neuvotteluhuoneharjoituksella tai ulkopuolista vastustajaa vastaan. Suunnitelmien ei tarvitse olla pitkiä tai seikkakohtaisia, kunhan ne toimivat oikeasti.
Henkilökunnan koulutusta on lisättävä
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
49
Suurimpana uhkana (64%) yritykset pitivät phishing ja haittaohjelmahyökkäyksiä. Vain kymmenesosa (10%) uskoi henkilökunnan huomaavan käynnissä olevan hyökkäyksen. Suurimpana esteenä (45%) kyberturvallisuudelle yritykset pitivät henkilökunnan piittaamattomuutta tietoturvallisuudesta ja kyberuhista. Puolet (53%) yrityksistä uskoi että henkilökunta osaisi toimia oikein epäillessään hyökkäystä. Henkilökunnan oikeilla ja turvallisilla toimintatavoilla on suuri merkitys uhkine torjunnassa. Siksi yritysten tulisi panostaa enemmän henkilökunnan kouluttamiseen.
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
50
LÄHTEITÄ JA LISÄTIETOA 2014 Cyberthreat Defence Report North America & Europe http://www.brightcloud.com/pdf/CyberEdge-2014-CDR.pdf A Roadmap for Cybersecurity Research Homelandsecurity 2009 https://www.dhs.gov/sites/default/files/publications/CSD-DHS-Cybersecurity-Roadmap.pdf Cyber Security and Global Interdependence: What Is Critical? Dave Clemente February 2013 http://www.chathamhouse.org/sites/files/chathamhouse/public/Research/International%20Security/ 0213pr_cyber.pdf Cyber Security and the UK’s Critical National Infrastructure A Chatham House Report http://www.chathamhouse.org/sites/files/chathamhouse/public/Research/International%20Security/ r0911cyber.pdf Cyber-security threat characterisation A rapid comparative analysis Neil Robinson, Luke Gribbon, Veronika Horvath, Kate Robertson http://www.rand.org/pubs/research_reports/RR235.html Emerging Cyber Threats Report 2014 https://www.gtisc.gatech.edu/pdf/Threats_Report_2014.pdf Framework for Improving Critical Infrastructure Cybersecurity Version 1.0 National Institute of Standards and Technology February 12, 2014 http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214-final.pdf Keskuskauppakamari ja Helsingin seudun kauppakamari YRITYSTEN RIKOSTURVALLISUUS 2012: Riskit ja niiden hallinta http://kauppakamari.fi/wp-content/uploads/2012/01/Yritysten_rikosturvallisuus_2012-.pdf Kohdistettujen haittaohjelmahyökkäyksien uhka on otettava vakavasti https://www.viestintavirasto.fi/tietoatoimialasta/katsauksetjaartikkelit/tietoturvaartikkelit/raporttikohdistettujenhaittaohjelmahyokkaystenuhkasta.html Tuntematon uhka Suomessa http://www.kpmg.com/fi/fi/ajankohtaista/uutisia-ja-julkaisuja/lehdistotiedotteet/sivut/tuntematonuhka-suomessa-selvitys-tietomurroista-suomalaisyrityksissa.aspx KPMG:n tietosuojaselvitys http://www.kpmg.com/fi/fi/ajankohtaista/uutisia-ja-julkaisuja/neuvontapalvelut/sivut/default.aspx Kyberturvallisuuskatsaus 1/2014 https://www.viestintavirasto.fi/tietoatoimialasta/katsauksetjaartikkelit/tietoturvaartikkelit/kyberturvallisuuskatsaus12014.html Kyberturvallisuuskatsaus 3/2014 https://www.viestintavirasto.fi/tietoturva/tietoturvanyt/2014/09/ttn201409231324.html
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
51
Kyberturvallisuuskeskus Toimintasuunnitelma https://www.viestintavirasto.fi/attachments/Kyberturvallisuuskeskus_Toimintasuunnitelma.pdf Kyberympäristö ja kyberturvallisuus EI-kyberihmisille http://www.ficom.fi/linked/fi/ohjeita/Kyber_esite_WEB.pdf Markets for Cybercrime Tools and Stolen Data Hackers’ Bazaar http://www.rand.org/content/dam/rand/pubs/research_reports/RR600/RR610/RAND_RR610.pdf PK-yrityksen kybertyurvallisuuden kehittäminen http://www.huoltovarmuus.fi/static/pdf/754.pdf Sharing Information About Threats Is Not a Cybersecurity Panacea Martin C. Libicki http://www.rand.org/pubs/testimonies/CT425.html Suomen kyberturvallisuusstrategia http://www.yhteiskunnanturvallisuus.fi/ Tietoturvan huoneentaulu http://www.kanta.fi/reseptikoulutus/materials/moduuli8_1/resources/188_Tietoturvan_huoneentaulu .pdf Turvallisuuskomitea http://www.turvallisuuskomitea.fi/index.php/fi/ Valtionhallinnon tietoturvallisuuden johtoryhmän VAHTIn ohjeisto https://www.vahtiohje.fi/web/guest/home Virukset ja hyökkäykset http://www.ekurssit.net/kurssit/ohjelm_laiteong/virus.php
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015 LIITE: SELVITYKSEN KYSYMYSLUETTELO
Yritysten kyberturvallisuus 2015 T1 Aloitamme tutkimuksen kysymällä ensin muutamia taustatietoja. Asemanne yrityksessä? 1. Toimitusjohtaja 2. Yrittäjä/omistaja 3. Muu johtaja 4. Päällikkötaso 5. Asiantuntija 6. Jokin muu, mikä?____________ T2 Yrityksenne liikevaihto vuonna 2014? 1. Alle 0,2 milj. euroa 2. 0,2–1 milj. euroa 3. 1,1–2 milj. euroa 4. 2,1–10 milj. euroa 5. 10,1–20 milj. euroa 6. 20,1–100 milj. euroa 7. Yli 100 milj. euroa T3 Yrityksenne toimipaikkojen määrä? kpl: _________ T4 Henkilöstön määrä? 1. 1–4 2. 5–9 3. 10–19 4. 20–49 5. 50–99 6. 100–199 7. 200–499 8. 500+ T5 Millaista kaupankäyntiä yrityksenne harjoittaa? Voitte valita useita. 1. Business-to-business (b2b) eli yritysten välinen kauppa 2. Business-to-consumer (b2c) eli kuluttajille suunnattu kauppa 3. Business-to-government (b2g) eli julkishallinnolle suunnattu kauppa T6 Yrityksellänne on liiketoimintaa? Voitte valita useita. 1. Suomessa 2. Muissa EU-maissa 3. EU:n ulkopuolella T7 Yrityksenne päätoimiala? 1. Teollisuus 2. Rakentaminen 3. Kauppa 4. Palvelut
52
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
53
Kysymykset 1. Mitkä seuraavista vaihtoehdoista ovat suurimmat kyberturvallisuuden uhat suomalaisille yrityksille? Valitkaa kaksi mielestänne suurinta uhkaa. a. Yhtiön sisäinen uhka (omat työntekijät) b. Phishing- ja haittaohjelmahyökkäykset c. Tunkeutumiset d. Palvelunestohyökkäykset e. Hyökkäykset jotka kohdistuvat teollisiin tuotantoprosesseihin f. Muu, mikä?_____________ 2. Mitkä ovat kolme suurinta estettä tehokkaan kyberturvallisuuden toteuttamisessa? a. Rahoitus b. Osaavien ammattilaisten löytämisen vaikeus c. Nykyisen henkilökunnan tieto-taidon ylläpitäminen kyberuhkien suhteen d. Käyttäjien piittaamattomuus tietoturvallisuudesta ja kyberuhista e. Kyberuhkiin liittyvän tiedon riittämättömyys f. Turvallisuustoimiin ja menetelmiin liittyvän tiedon riittämättömyys g. Tehottomat teknologiaratkaisut h. Riittämätön integraatio kyberturvallisuuden ja liiketoiminnan välillä i. Riittämätön integraatio kyberturvallisuuden ja muiden turvallisuuden osa-alueiden välillä (jatkuvuussuunnittelu, kriisienhallinta jne.) j. Jokin muu, mikä? ________________
3. Mitkä seuraavista vaihtoehdoista ovat raskaimmat seuraukset kyberhyökkäyksistä? Valitkaa kaksi mielestänne suurinta uhkaa. a. Aineettoman omaisuuden menetys b. Negatiivinen julkisuus c. Markkinaosuuden menetys d. Kansallisen turvallisuuden vaarantuminen e. Yksityisyyden (henkilökunnan tai asiakkaiden tiedot) loukkaus f. Tuoton menetys – suora tai epäsuora g. Muu, mikä?_____________________ 4. Miten hyvin tunnette suomalaisten viranomaisten roolia ja toimintaa kyberuhkiin liittyen? a. Erittäin hyvin b. Melko hyvin c. Melko huonosti d. En tunne lainkaan 5. Oletteko saaneet jostakin käytännöllistä tietoa kyberuhkiin liittyen? a. Kyllä b. En
6. (OHJELMOINTI: Jos vastannut KYLLÄ edellisessä kysymyksessä, kysytään) Mistä saitte tällaista tietoa? AVOIN
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
54
7. Miten organisaationne havaitsisi yrityksenne tietoverkossa käynnissä olevan tunkeutumisen? a. Havaitsisimme sen itse käyttäen omia torjunta- ja hälytysjärjestelmiämme b. Käyttäjämme tunnistaisivat sen ja ilmoittaisivat eteenpäin c. Tunnistaisimme itse, koska tarkastamme ja analysoimme lokejamme ja arvioimme niistä ilmenevää uhkaan olemassaoloon liittyvää tietoa d. Kotimaiset lainvalvontaviranomaiset tai tiedusteluorganisaatiot varoittaisivat meitä e. Kolmas taho, kuten internet operaattori tai palveluntarjoaja, ilmoittaisi meille f. Me emme todennäköisesti havaitsisi käynnissä olevaa tunkeutumista 8. Minkälaista tietoa luulette tunkeutujien etsivän? a. Ylempään johtoon kuuluvien henkilökohtaista tietoa b. Henkilökunnan jäseniin liittyvää tietoa, kuten nimet, vastuualueet ja yksiköt c. Tietoa alihankkijoista, yhteistyökumppaneista, tavarantoimittajista tai asiakkaista d. Immateriaalista omaisuutta tai luottamuksellista tietoa tuotteistamme tai palveluistamme e. Tietoverkkoonne liittyvää tietoa kuten verkon arkkitehtuuri, asetukset tai tarkoitus f. Me emme osaa sanoa millaista tietoa vietäisiin tunkeutumisen yhteydessä 9. Minkä tyyppistä tietoa olette menettäneet tietoverkkotunkeutumisten vuoksi? a. Ylempään johtoon kuuluvien henkilökohtaista tietoa b. Henkilökunnan jäseniin liittyvää tietoa, kuten nimet, vastuualueet ja yksiköt c.Tietoa alihankkijoista, yhteistyökumppaneista, tavarantoimittajista tai asiakkaista d. Immateriaalista omaisuutta tai luottamuksellista tietoa tuotteistamme tai palveluistamme e. Tietoverkkoonne liittyvää tietoa kuten verkon arkkitehtuuri, asetukset tai tarkoitus f. Me emme osaa sanoa millaista tietoa on viety 10. Miten organisaationne on järjestänyt tietoturvallisuusvastuut johtotasolla? a. Meillä on kokoaikainen nimetty tietoturvallisuusjohtaja tai –päällikkö b. Meillä on kokoaikainen IT-johtaja tai –päällikkö, joka vastaa tietoturvasta varsinaisen tehtävän ohella c. Meillä on kokoaikainen johtaja tai päällikkö, joka vastaa tietoturvasta riskienhallinen tai yritysturvallisuuden osana d. Meillä ei ole nimettyä tietoturvallisuusjohtajaa tai –päällikköä, vaan tietoturva on yleisesti ITosaston vastuulla e. Meillä ulkopuolinen palveluntarjoaja, joka tarjoaa tietoturvallisuusjohtajan tai –päällikön f. Tietoturva on vastuutettu it-tuelle g. Tietoturva on vastuutettu oman toimen ohella päällikkötason henkilölle tai toimitusjohtajalle h. Meillä ei ole vastuutettu tietoturvallisuusasioita 11. Tietääkö henkilökuntanne miten toimia, jos he epäilevät tunkeutumista tietojärjestelmiinne? a. Kyllä b. Ei 12. Onko teillä käytössä käytännössä toimivia suunnitelmia tunkeutumisten varalle? a. Kyllä b. Ei
YRITYKSIIN KOHDISTUVAT KYBERUHAT 2015
55
13. (Jos vastannut KYLLÄ edelliseen kysymykseen, kysytään) Mitä asioita suunnitelmiin on sisällytetty? a. Tieto siitä keneen olla yhteydessä, jos epäilee tunkeutumista b. Ohjeet siitä mitä tehdä ensimmäisenä, jos epäilee tunkeutumista c. Päätelaite (pc, älypuhelin, läppäri jne) Irti verkosta (otetaan yhteyskaapeli irti tai katkaistaan langaton yhteys) d. Print screen (tästä saadaan talteen näytön näkymä myöhempää selvittelyä varten) e. Koneen jättäminen koskemattomaksi jotta sitä voidaan tutkia f. Tilanteen kuvaus g. Muuta, mitä___________ 14. Oletteko koskaan harjoitelleet suunnitelmienne toimivuutta jollakin seuraavista tavoista? a. Neuvotteluhuoneharjoitus (niin sanottu karttaharjoitus vailla käytännön toimia) b. Käytännön harjoitus ulkopuolista tunkeutujaa vastaan c. Muu, mikä? _____________ d. Emme ole harjoitelleet 15. Oletteko varautuneet kyberuhkiin seuraavin tavoin konkreettisesti tai suunnitelmilla? a. Järjestelmällinen suunnitelma tilannekuvan muodostamiseksi (datan kopiointi) tutkintaa ja puhdistustoimenpiteitä sekä loppuraportointia varten b. Järjestelmä- ja verkkolokien (palomuuri, http, ad, dhcp, vpn) kerääminen kaikista järjestelmistä mahdollisimman pitkältä ajalta c. Tutkinnassa tarvittavan laitteiston, ohjelmiston ja tutkintakyvyn ennakkoon hankinta d. Yhteydenotto viranomaiseen e. Palvelusopimus yrityksen kanssa joka tarjoaa järjestelmiin tunkeutumisen ja haittaohjelmien tutkintaa f. Emme ole varautuneet 16. Onko teillä vahvistettua koulutus- ja harjoitusohjelmaa kyberturvallisuuteen liittyen? a. Kyllä b. Ei 17. Ovatko kyberuhkiin liittyvät harjoitukset osa muihin liiketoimintaa uhkaaviin uhkiin liittyvää harjoittelua? a. Kyllä b. Ei 18. Mainitkaa tilanteita, joissa kyberturvallisuutenne on onnistunut? AVOIN 19. Mainitkaa tilanteita, joissa kyberturvallisuutenne on pettänyt? AVOIN
HELSINGIN SEUDUN KAUPPAKAMARI Kalevankatu 12, 00100 HELSINKI p. 09 228 601 etunimi.sukunimi@chamber.fi kauppakamari@helsinki.chamber.fi www.helsinki.chamber.fi www.kauppakamarikauppa.fi