Miten yritysten kannattaa varautua kyberuhkiin?
Muuttunut turvallisuuspoliittinen tilanne koskettaa meitä jokaista. Useimpien yritysten palvelut ja arjen työ painottuvat nykyään lähes poikkeuksetta verkossa toimiviin järjestelmiin. Tämä tekee yrityksille kyberturvallisuuden huomioimisen entistä tärkeämmäksi.
Yritykselle kybervahinkoja voivat aiheuttaa niin ulkopuoliset tahot kuin yrityksen omat työntekijätkin. Monet yritykset toimivat käytännössä kokonaan verkkoinfrastruktuurin päällä ja esimerkiksi onnistunut ulkopuolisen tekemä palvelunestohyökkäys voi olla yrityksen toiminnalle lamauttava isku.
– Muuttuneessa turvallisuustilanteessa kyberuhat puhututtavat yrityksissä, ja hyvä niin, sanoo LähiTapiola Vahinkoyhtiön kybervakuutuksesta vastaava Chief Underwriter Mikko Suomalainen.
Lista yritysten toimintaa uhkaavista tietotekniikkaan ja tietoverkkoihin liittyvistä riskeistä on pitkä. Pelkästään älylaitteiden ja internetin käyttö tekevät meistä jokaisesta potentiaalisen kyberhyökkäyksen kohteen, muistuttaa Suomalainen.
– Yksittäinen, isompi palvelukatko itsessään voi olla kriittinen, mutta myös mainehaitat ja taloudelliset menetykset ovat potentiaalisia ja yhtä todellisia uhkia.
Varautuminen alkaa johdosta
Kybervaikuttamisen uhkakuviin voi kuitenkin varautua ennakoimalla. Varautuminen alkaa yrityksen johdosta. Uhkakuvat on ensin tunnistettava osana yrityksen tavanomaista riskienhallintaa. Huolellinen toimintasuunnitelma kriisitilanteiden varalle kannattaa rakentaa erilaiset skenaariot huomioiden.
Seuraavassa vaiheessa tarvitaan viestintää ja henkilöstön koulutusta. Yrityksen henkilöstö on avainasemassa siinä, että potentiaaliset vaikuttamisyritykset ja tietoturvapoikkeamat eivät pääse kasvamaan vahingoiksi asti.
– Kun henkilöstölle viestitään säännöllisesti tietoturvallisuuteen liittyvistä teemoista, jokaisen oma digivalppaus kehittyy osaksi arkista tekemistä, muistuttaa Suomalainen.
Perusasiat kuntoon ennen vakuutuksia
LähiTapiolan kybervakuutuksissa keskeisten korvattavien vahinkojen piiriin kuuluvat useimmiten esimerkiksi oman liiketoiminnan keskeytyminen, korvausvastuu ulkopuolisia kohtaan sekä tilanteen selvittämisestä aiheutuvat kustannukset.
– Jos vahinko kuitenkin tapahtuisi, kyberturvallisuuteen liittyvien vakuutusten on hyvä olla kunnossa. Kybervakuutukset voivat auttaa yrityksen toiminnan jatkuvuuden turvaamisessa. Ennen vakuuttamista yritysten tulee kuitenkin huolehtia siitä, että ICT:hen liittyvät perusasiat ovat kunnossa, Suomalainen huomauttaa.
1. Suojaamiseen liittyvät perusasiat - virustorjuntaohjelmistojen ja palomuurien on oltava ajan tasalla. Myös tietoliikenteen seurannan tulee olla säännöllistä ja haavoittuvuuksien havaitsemisen ja paikkaamisen keinojen on oltava kunnossa.
2. Monivaiheinen tunnistus on oleellinen suojauskeino ja sen tulisi olla käytössä yrityksen järjestelmissä kautta linjan.
3. Varmuuskopiointi on hoidettava säännöllisesti ja turvatusti - Varmuuskopioidut tiedot on säilöttävä erilleen yrityksen aktiivisesta verkosta. Myös varmuuskopioiden käytettävyyttä täytyy testata säännöllisesti, jotta niistä on aidosti hyötyä tarpeen tullen.
4. Henkilöstön kouluttaminen tietoturva-asioissa sekä säännöllinen viestintä aiheesta - Koulutuksissa henkilöstöä on valmennettava riittävän käytännönläheisesti tietojenkalastelun varalle. Aktiivisten koulutusten lisäksi osaamisen testaaminen on osa onnistunutta tietoturvakoulutusta. Säännöllisellä tietoturvallisuuteen liittyvällä viestinnällä rakennetaan luottamusta sekä henkilöstön että asiakkaiden keskuudessa. Huomioithan kyberriskit ja poikkeustilanteet myös yrityksen kriisiviestintäsuunnitelmassa!
5. Liiketoiminnan toipumis- ja jatkuvuussuunnitelma - Suunnitelman tulisi olla kirjallinen ja varautumiskeinoihin kannattaa aina sisällyttää harjoittelua ja testausta.