Mitä ovat yrityksen kyberriskit ja miten niiltä voi suojautua?

Kyberriskit kuulostavat tällaisen neljä-viiskymppisen henkilön korvaan aika futuristisilta asioilta. Ei kai meidän yrityksessämme sellaisia ole, kun emmehän me tee mitään kyberjuttujakaan?

Nykypäivänä kuitenkin lähestulkoon jokaisessa yrityksessä on jotain tietojärjestelmiä käytössä – vähintäänkin sähköposti ja toimisto-ohjelmisto pilvitallennuksella. Tunnistaudumme sähköisesti ja teemme sähköisiä allekirjoituksia erilaisissa järjestelmissä. Meillä on arkaluonteisia henkilötietoja työntekijöistämme ja mahdollisesti myös asiakkaistamme.

Tämä artikkeli on ensimmäinen osa kolmesta, ja tarkoituksenani on auttaa tekemään kyberturvallisuudesta vähemmän vierasta, jotta kyberriskien hallinta olisi helpompaa sinunkin yrityksessäsi.
Annika Laamanen, vakuutusmeklari

Mitä kyberturvallisuus tarkoittaa?

Kyberriskit liittyvät läheisesti kyberturvallisuuteen. Kyberturvallisuus laajana käsitteenä tarkoittaa turvallisuuden osa-aluetta, jolla pyritään varmistamaan sähköisen ja verkotetun ympäristön ja järjestelmien turvallisuutta.
Kyberturvallisuus riskienhallinnan osa-alueena sisältää seuraavat vaiheet:

tunnista kyberriskit
suunnittele ja laita toimeksi hallintakeinot kyberriskien suitsimiseksi
seuraa ja paranna.

Kuulostaa ihan tavalliselta riskienhallinnalta – eikö?

Sähköposti, verkkosivut, taloushallinto-ohjelmat, asiakasjärjestelmät
(CRM)ja tuotannonohjausjärjestelmät (ERP) sekä muut yrityksen toimintaan liittyvät ohjelmistot ja palvelut ovat niitä kyberturvallisuuden telmintäkenttiä, joista meidän olisi hyvä olla tietoisia. Ennen kaikkea meidän tulisi ymmärtää niihin liittyviä riskejä sekä tietysti riskienhallintakeinoja, jotta voimme keskeytyksettä jatkaa liiketoimintaamme.

Tyypillisimmät kyberriskit yrityksessä

Yritysten digitalisoidessa toimintaansa kyberriskit kasvavat. Yritysten tietojärjestelmiin saattaa kohdistua tietomurtoja, kiristyshaittaohjelmia, palvelunestohyökkäyksiä, toimitusketjuhyökkäyksiä, käyttäjätunnusten vuotoja sekä erilaisia poikkeamia pilviympäristöihin.

Seuraavaksi tutustumme neljään yleiseen kyberriskiin ja lopuksi pohdimme vielä yritykseen kohdistuvia vahingonkorvausvastuita.

1. Kyberriski - tietomurto

Tietomurto tarkoittaa oikeudetonta tunkeutumista tietojärjestelmään. Yleensä käyttäjältä varastetaan kirjautumistiedot tietojenkalastelulla. Uhri huijataan huijaussivulle, joka näyttää aidolta kirjautumissivulta, joka kuitenkin kerää käyttäjien tunnuksia. Turvajärjestelmien ohi tunkeutuminen on toinen yleinen tietomurtojen tekotapa.

Tietomurroilla pyritään saamaan taloudellista hyötyä rikolliselle– esimerkiksi varastamalla tietoja, joita voidaan myydä eteenpäin. Murrettu ympäristö voidaan myös lamauttaa toimimattomaksi kiristyshaittaohjelmilla tai murrettua ympäristöä voidaan käyttää haitallisen materiaalin jakamiseen.

Tietomurtoja voidaan käyttää myös laskutuspetoksiin – olet varmaan joskus kuullut toimitusjohtajahuijauksesta, jossa toimitusjohtajan nimellä ja sähköpostilla lähetetään jokin lasku hyväksyttäväksi?

On myös mahdollista, että olette ostamassa tavaraa ja joku onkin murtautunut sähköpostiisi, kaappaa toimittajalta saapuneen laskun, vaihtaa sinne tilinumeron ja maksattekin tavaran ihan väärälle pankkitilille.

Tietomurrosta aiheutuu taloudellisia tappioita, mainehaittaa sekä mahdollisesti liiketoiminnan keskeytyminen, kun tilannetta selvitellään, korjaillaan ja tehdään varmuuskopioiden palautuksia.

Laskuhuijaus on yksi kyberriski. — Laskutushuijaus. Kyberrikolinen lähettää sähköpostiin tietojenkalasteluviestin, jossa houkutellaan lukijaa kirjautumaan esimerkiksi "uudelleen" Officeen, jolloin huijaussivusto nappaakin käyttäjätunnukset. Näin rikollinen pääsee seuraamaan yrityksen sähköpostiliikennettä, esimerkiksi laskutuksiin liittyviä tietoja. Rikollinen voi ohjelmiston avulla estää saapuvien tai lähetettyjen viestien perille meno, manipuloida viestejä ja niiden liitteitä ja lähettää edelleen. Näin esimerkiksi väärennettyyn laskuun on voitu muuttaa rikolliselle ohjautuva tilinumero, jonne maksusuoritus asiakkaalta saapuu.

2. Kyberriski - kiristyshaittaohjelma

Kiristyshaittaohjelman avulla verkkorikolliset pyrkivät salaamaan yrityksen tietoja ja dataa (esimerkiksi estämällä oikeiden käyttäjien pääsyn ympäristöön) ja vaativat lunnaita tietojen palauttamista vastaan.

Samalla rikolliset voivat varastaa luottamuksellisia tietoja ja kiristää yrityksiä tietovuodoilla. Joskus kiristäminen ja lunnaiden vaatiminen on pelkkää hämäystä, kun rikollisten tavoitteena on vain tuhota tiedot.

Joskus kiristyshaittaohjelmat tunkeutuvat koko tietokoneeseen ja tekee käyttöjärjestelmän ja ohjelmat käyttökelvottomiksi. Tämä voi aiheuttaa tuotannon pysähtymisen, kriittisten palveluiden alasajon tai muuta haittaa liiketoiminnan jatkamisen näkökulmasta.

Kiristyshaittaohjelma leviää tyypillisimmin sähköpostin kautta. On myös mahdollista, että olette ostamassa tavaraa ja joku onkin murtautunut sähköpostiisi, kaappaa toimittajalta saapuneen laskun, vaihtaa sinne tilinumeron ja maksattekin tavaran ihan väärälle pankkitilille.

Tietomurrosta aiheutuu taloudellisia tappioita, mainehaittaa sekä mahdollisesti liiketoiminnan keskeytyminen, kun tilannetta selvitellään, korjaillaan ja tehdään varmuuskopioiden palautuksia.

Kiristyshaittaohjelma on yksi kyberriski — Esimerkkikuvaus kiristyshaittaohjelmahyökkäyksestä. Kyberrikollinen voi lähettää sähköpostin, jossa yritetään houkutella lukijaa siirtymään viestissä olevaa linkkiä pitkin ja vahingossa lataamaan haittaohjelman sisältävän tiedoston koneelle. Tartunta tapahtuu, jos käyttäjä asentaa haittaohjelman, jolloin ohjelma pääsee myös leviämään muihin laitteisiin. Haittaohjelma aktivoituu yleensä vasta leviämisen jälkeen ja estää käyttäjää pääsemästä omiin tietoihin tai ohjelmistoihinsa. Tässä vaiheessa kiristäjä esittää lunnasvaatimuksensa.

3. Kyberriski - palvelunestohyökkäys

Palvelunestohyökkäyksessä verkkorikollinen yrittää estää verkkopalvelun käytön häiritsemällä sen toimintaa.

Usein verkkopalvelua kuormitetaan ylimääräisellä liikenteellä tai hyödyntämällä verkkopalvelussa tai -laitteessa olevaa haavoittuvuutta. Tällöin verkkopalvelun – tai laitteen muisti- tai laskentaresurssi kuormittuu niin pahoin, että se ei pysty enää toimimaan ja ”kaatuu”.

Palvelunestohyökkäys voi siis laittaa verkkosivut -tai kaupan (tai jonkin laitteen) toimimattomaksi. Jos yrityksen verkkopalvelut ovat kriittinen osa myyntiä, tämä voi aiheuttaa suuriakin tappioita.

Jos palvelunestohyökkäys tapahtuu reititystietoja muuttamalla, se voi ohjata verkkosivulla kävijän huijaussivustolle ja verkkorikollinen pyrkii sitä kautta kaappaamaan kävijän käyttäjätunnukset.

4. Kyberriski - toimitusketjuhyökkäys

Toimitusketjuhyökkäyksessä yrityksen tietojärjestelmiin tunkeudutaan yrityksen yhteisessä käytössä olevien tietopalvelujen kautta. Reittinä voi toimia yhteistyökumppanit, toimittajat, ohjelmistot tai laitteet.

Verkkorikollinen murtautuu toimittajan järjestelmiin ja saastuttaa toimitusketjun osan omalla haittaohjelmallaan, jolloin se leviää muillekin käyttäjille.

Toimitusketjuhyökkäyksien tavoitteena on usein valmistella olosuhteita jatkohyökkäyksiin, kuten tietomurtoihin ja kiristyshaittaohjelmahyökkäyksiin.

Toimitusketjuhyökkäyksestä aiheutuu taloudellisia tappioita, mainehaittaa sekä mahdollisesti liiketoiminnan keskeytyminen, kun tilannetta selvitellään, korjaillaan ja tehdään varmuuskopioiden palautuksia. Usein tilanteen korjaaminen vaatii usean tahon yhteistyötä.

Kyberriskin toteutuminen voi aiheuttaa yritykselle korvausvelvollisuuden

Sen lisäksi, että kyberriskit toteutuessaan voivat aiheuttaa häiriötä liiketoimintaan sekä erilaisia kriisinhallintakustannuksia, voi tietojen vuotamisesta tai muusta vahingosta aiheutua korvausvastuuta.

Tietopalveluiden ja tietojen käyttöön liittyy runsaasti lainsäädäntöä:

Laki sähköisen viestinnän palveluista (917/2014)
EU:n verkko- ja tietoturvadirektiivi (NIS-direktiivi)
EU:n yleinen tietosuoja-asetus
Tietosuojalaki (1050/2018)
Rikoslaki (39/1889)

Yrityksien toiminnalle asetetaan siis runsaasti vaatimuksia. Jos yritys laiminlyö näitä velvoitteitaan, ja yritystä kohtaa kyberrikos, jonka seurauksena aiheutuu esimerkiksi tietosuojaloukkaus, yritys voidaan katsoa korvausvelvolliseksi. Näin siitäkin huolimatta, vaikka yritys itsekin olisi kyberrikoksen uhri.

Yrityksellä voi olla myös oikeudellisia velvoitteita sopimuskumppaneidensa tietojen suojaamista koskevissa sopimusvaatimuksissa lakisääteisten vaatimusten lisäksi.

Yritys ei voi ulkoistaa huolehtimisvastuutaan esimerkiksi IT-kumppanilleen – vaikka ostaisikin tietoturvapalvelut. Yrityksessä täytyy johtaa kyberturvallisuutta, suunnitella toimenpiteet, toteuttaa ne, valvoa toteuttamista sekä reagoida poikkeamiin.

Myös pilvipalveluita ostettaessa on tärkeää perehtyä vastuunjakotaulukkoon – kenen vastuulla on erilaiset tietoturvatoimet.

Tästä syystä kyberriskit olisi syytä ottaa yrityksen normaaliin riskienhallintaan mukaan heti. Jokainen pienikin otettu toimenpide on askel eteenpäin.

Kyberriskit ovat hallittavissa

https://risklink.fi/vakuutusten-hoito-ja-yrityksen-riskien-hallinta/kyberhyokkays-kuinka-suojautua-yrityksessa/Nyt kun olemme tutustuneet erityyppisiin kyberriskeihin ja niiden mahdollisesti aiheuttamiin seurauksiin, voimme tutustua riskien hallintakeinoihin – kuinka voimme ennaltaehkäistä ja välttyä isommilta vahingoilta?

Käytetyt lähteet

Traficom: Ohjeet ja oppaat organisaatioille ja yrityksille

Poliisi: Kyberrikokset

Kuinka otan yhteyttä?

Oliko tästä sinulle hyötyä? Tilaa blogit sähköpostiisi.

Haluaisitko saada lisää käytännönläheisiä vinkkejä vakuutusten hoitoon ja hallinnoimiseen liittyen? Tilaa blogit kätevästi sähköpostiisi. Lähetämme viestejä enintään kerran kuukaudessa ja tilauksen voit perua milloin tahansa.