EY:n tutkimus: Yritykset osaavat entistä paremmin ennustaa ja torjua kyberhyökkäyksiä, mutta niistä toipuminen on vaikeaa
- 57 prosenttia vastaajista pitää liiketoiminnan jatkuvuutta ja kyberhyökkäyksistä toipumista tärkeänä, mutta vain 39 prosenttia aikoo investoida niihin tulevina vuosina
- 42 prosentilla vastaajista ei ole viestintästrategiaa tai -suunnitelmaa merkittävän kyberhyökkäyksen varalle
- 86 prosenttia vastaajista kertoo, että yrityksen kyberturvallisuuden hallinta ei edelleenkään täysin vastaa liiketoiminnan tarpeisiin
Globaalisti toimivat yritykset ovat entistä vakuuttuneempia siitä, että ne pystyvät ennustamaan ja torjumaan kehittyneitä kyberhyökkäyksiä. Ongelmia sen sijaan aiheuttaa hyökkäyksistä toipuminen, jonka vaatimiin toimenpiteisiin ei ole investoitu tarpeeksi tai jota varten ei ole tehty suunnitelmia. Tämä haastaa organisaatiot hetkellä, jolloin uhkakuvien määrä on lisääntynyt huomattavasti liiketoiminnan digitalisoitumisesta, laitteiden verkottumisesta (Internet of Things) ja kyberrikollisuuden ammattimaistumisesta johtuen. Tiedot käyvät ilmi EY:n vuosittaisesta Global Information Security Survey -tutkimuksesta, Path to cyber resilience: Sense, resist, react .
Nyt 19. kerran toteutettuun tutkimukseen vastasi 1 735 yritystä maailmanlaajuisesti, näistä suomalaisia top 100 -yrityksiä oli 41. Tavoitteena oli selvittää, millaisia kyberuhkia yritykset kohtaavat liiketoiminnassaan. Tutkimuksen mukaan 50 prosenttia globaaleista vastaajista pystyy tunnistamaan kehittyneen kyberhyökkäyksen. Syynä itsevarmuuteen on se, että yritykset ovat investoineet kyberhyökkäyksiä tunnistaviin teknologioihin. Niiden avulla yritys voi paremmin ennustaa millainen hyökkäys on kyseessä, rakentaa valvontamekanismeja, perustaa tietoturvan valvontakeskuksen (Security Operations Center, SOC) sekä ottaa käyttöön aktiivisemmat suojautumiskeinot.
Investoinneista huolimatta 86 prosenttia vastaajista kertoo, että yrityksen kyberturvallisuuden hallinta ei edelleenkään täysin vastaa liiketoiminnan tarpeisiin. Melkein kahdella kolmasosalla (64%) vastaajaorganisaatioista ei ole virallista kyberuhkien tiedusteluohjelmaa (threat intelligence program) tai käytössä on vain epävirallinen ohjelma. Yli puolella (55%) vastaajista ei myöskään ole toimintatapoja haavoittuvuuksien tunnistamista varten tai heillä on käytössään vain epävirallisia toimintatapoja. Ja 44 prosenttia vastaajista kertoi, ettei heillä ole tietoturvan valvontakeskusta, joka seuraisi kyberhyökkäyksiä jatkuvasti.
Kysyttäessä viimeaikaisista kyberhyökkäyksistä yli puolet (57%) vastaajista kertoi organisaatioonsa kohdistuneesta merkittävästä tietoturvahäiriöstä. Melkein puolet (48%) mainitsi vanhentuneet tietoturvakontrollit tai tietoturva-arkkitehtuurin yrityksensä merkittävimpänä haavoittuvuutena – vuoden 2015 tutkimuksessa vastaava luku oli 34 prosenttia. Tämän lisäksi vastaajat ilmoittivat, että kaikki heidän yritystensä keskeisimmät kyberuhat – haittaohjelmat, tietojen kalastelu, taloudellisen tiedon, tuotetiedon tai datan varastaminen - ovat merkittävästi lisääntyneet:
Merkittävimmät kyberturvallisuusuhat:
Lähde: EY Global Information Security Survey 2016, Path to cyber resilience: Sense, resist, react.
“Yritykset ovat entistä valmiimpia vastamaan kyberhyökkäyksiin, mutta samaan aikaan hyökkääjät kehittävät vauhdilla uusia uhkia. Siksi yritysten tulee olla entistä valppaampia estääkseen hyökkäykset. Niiden pitää tarkastella ja suunnitella tietoturvallisuutta nykyistä laajemmin ja muodostaa koko organisaation laajuinen toimintamalli uhkien varalle. Kyberhyökkäyksen tapahtuessa yrityksillä tulee olla käytössään toimintasuunnitelma sekä valmius korjata mahdolliset vahingot nopeasti ja tehokkaasti voidakseen jatkaa toimintaansa mahdollisimman vähäisin häiriöin ja menetyksin. Mikäli tähän ei pystytä, vaikutukset ja riskit saattavat nousta liian korkeiksi myös asiakkaille, työntekijöille, toimittajille ja koko yrityksen tulevaisuudelle”, sanoo EY:n IT-riskienhallinta- ja kyberturvallisuuspalveluista vastaava johtaja Antti Herrala.
Liiketoiminnan jatkuvuus ja kyberhyökkäyksistä toipuminen ovat keskeisessä roolissa yritysten reagoidessa kyberhyökkäyksiin. Vastaajista 57 prosenttia arvioi ne sekä tietovuotojen ehkäisemisen tärkeimmiksi prioriteeteikseen. Vaikka 42 prosenttia vastaajista suunnittelee investoivansa enemmän tietovuotojen ehkäisyyn, vain 39 prosenttia aikoo investoida enemmän liiketoiminnan jatkuvuuden kehittämiseen ja kyberhyökkäyksistä toipumiseen.
Tutut haavoittuvuudet ja esteet
Tämän vuoden tutkimus osoittaa, että tutut kyberuhat huolettavat vastaajia yhä enenevässä määrin: henkilöstön huolimattomuudesta ja tietämättömyydestä aiheutuvat riskit (2016: 55% vs. 2015; 44%); sekä luvaton pääsy dataan (2016; 54% vs. 2015; 32%). Myös tehokasta tietoturvallisuuden hallintaa haittaavat esteet ovat samat kuin viime vuoden tutkimuksessa:
- Budjettirajoitteet (2016; 61% vs. 2015; 62%)
- Puutteet osaamisessa (2016: 56% vs. 2015; 57%)
- Johdon ymmärryksen ja tuen puute (2016 ja 2015; 32%)
Digitaalinen ekosysteemi ja verkottuneet laitteet tuovat haasteita
Liiketoiminnan jatkuvasta verkottumisesta huolimatta globaaleista vastaajista 62 prosenttia ja Suomessa jopa 74% kertoi, että tapahtunut kyberhyökkäys ei johda tietoturvan lisäinvestointeihin, jos sillä ei ole ollut vaikutusta organisaation toimintaan. Yli puolet (58%) vastaajista kertoi, että lisäinvestointeja ei myöskään tehtäisi, mikäli kyberhyökkäys kohdistuisi kilpailijaan. Vastaava luku tavarantoimittajaan kohdistuvan hyökkäyksen kohdalla oli tutkimuksen mukaan 68 prosenttia. Vastaajista 48 prosenttia ei myöskään ilmoittaisi kyberhyökkäyksestä asiakkaille, vaikka se uhkaisi heidän tietoturvaansa ja vaikuttaisi heidän toimintaansa ensimmäisen viikon aikana. 42 prosentilla vastaajista ei ole viestintästrategiaa tai -suunnitelmaa merkittävän kyberhyökkäyksen varalle.
”Ylimmän johdon pitää arvioida uudelleen lähestymistapaansa kyberturvallisuutta kohtaan, sillä kyberrikolliset testaavat usein yrityksen turvallisuustasoa ja kykyjä ennen varsinaista laajamittaista hyökkäystä. Siksi myös ne hyökkäykset, joilla ei näytä olevan seurauksia, tulee ottaa vakavasti. Lisäksi kilpailijoihin, toimittajiin ja alihankkijoihin kohdistuneet kyberhyökkäykset tulee huomioida ja arvioida oman yrityksen turvallisuuden kannalta, koska kyberrikolliset kohdistavat hyökkäykset usein saman toimialan yrityksiin”, toteaa Antti Herrala.
Yritysten haasteena on myös jatkuvasti kasvava laitteiden määrä niiden digitaalisessa ekosysteemissä. Vastaajista 73 prosenttia on huolissaan mobiililaitteiden, kuten kannettavien tietokoneiden, tablettien ja älypuhelinten, käyttöön liittyvästä huolimattomuudesta ja tietämättömyydestä. Puolet (50%) vastaajista nimesi merkittävimmäksi uhaksi älylaitteen häviämisen, koska siitä seuraa sekä tietojen että identiteetin menettäminen.
”On huolestuttavaa, että liian monen yrityksen johdolla ei ole edelleenkään kattavaa ymmärrystä ja kuvaa yrityksensä kyberturvallisuuden hallinnoinnin tilasta ja että vain pienellä osalla yrityksistä kyberturvallisuuden raportointiin liittyvät mallit täyttävät johtoryhmän ja hallituksen vaatimukset. Kyberturvatietoisuuden heikko taso yritysjohdossa on johtanut siihen, että yrityksillä on harvoin olemassa pidemmän aikajakson suunnitelmaa kyberturvallisuuden kehittämiseksi. Pitkän aikavälin kehityssuunnitelma on kuitenkin avainasemassa, jotta yritys pystyy nostamaan kyberturvallisuutensa tasoa siten, että se vastaa sen sisäisessä ja ulkoisessa toimintaympäristössä tapahtuneisiin muutoksiin ja liiketoiminnan tarpeisiin”, pohtii Antti Herrala.
Tutkimus on ladattavissa täältä: www.ey.com/nordiccyber
Lisätietoja:
Antti Herrala, johtaja, IT-riskienhallinta- ja kyberturvallisuuspalvelut, EY, puh. 040 7688 397, antti.herrala@fi.ey.com
Keskeisiä tutkimustuloksia toimialoittain:
EY lyhyesti
EY on globaali tilintarkastuksen, verotuksen, liikejuridiikan ja yritysjärjestelyiden asiantuntija sekä liikkeenjohdon konsultti. Näkemyksemme ja korkealaatuiset palvelumme vahvistavat luottamusta pääomamarkkinoiden ja talouden toimintaan kaikkialla maailmassa. Kasvatamme huippuosaajia, joiden yhteistyöllä lunastamme lupauksemme ja rakennamme parempaa työ- ja liike-elämää sekä toimivampaa maailmaa asiakkaillemme, omalle henkilöstöllemme ja yhteisöille, joissa toimimme. Lisätietoja löydät internetistä www.ey.com/fi. Voit myös seurata meitä Twitterissä: @EY_Suomi.