Viime vuosina pienet ja keskisuuret yritykset, eli pk-yritykset (Small and Medium Businesses, eli SMB), ovat kasvavissa määrin alkaneet käyttää digitaalista teknologiaa etätöissä, tuotannossa ja myynnissä samalla tavalla kuin suuryritykset. Pk-yritykset eivät kuitenkaan ole aina kiinnittäneet tarpeeksi huomiota kyberturvallisuuteen, vaikka niiden kasvaneet tietokoneverkot ovat luoneet uusia, kyberuhkille alttiita heikkouksia. Tämä on virhe, sillä kyberhyökkäykset voivat aiheuttaa vakavia vahinkoja - sekä yrityksen taloudelle että maineelle - minkä vuoksi pienyritysten kyberturvallisuus tulee ottaa vakavasti.
Mitä kyberturvallisuus tarkoittaa?
Kyberturvallisuus on prossessien ja strategioiden sarja, joka suojaa yrityksen elintärkeitä järjestelmiä ja arkaluonteisia tietoja kyberhyökkäyksiltä ja tietomurroilta. Kyberhyökkäykset muuttuvat jatkuvasti hienostuneemmiksi erilaisten uhkien kehittyessä ja kyberrikolliset käyttävät tekoälyä ja sosiaalista manipulointia luodakseen uusia hyökkäystapoja. Tämän seurauksena yritysten pitää parantaa vastavuoroisesti omaa kyberturvallisuuttaan.
Miksi pienyritykset ovat alttiita kyberhyökkäyksille?
Saatat olla siinä uskossa, että kyberrikolliset keskittyvät pääosin suuryrityksiin, mutta todisteet viittaavat itse asiassa siihen, että pienemmät yritykset voivat olla alttiimpia ja haavoittuvaisempia kyberhyökkäyksille. Usein tämä johtuu siitä, että pienemmillä yrityksillä ei ole suurempien organisaatioiden kaltaisia resursseja, joiden avulla kyberuhkilta voitaisiin suojautua. Pienyritykset käyttävät vähemmän resursseja kyberturvallisuuteen ja niiden käytössä on todennäköisemmin vanhentuneita ohjelmia, joita ei enää tueta. Tämä tekee niistä helpompia kohteita kyberrikollisille.
Lisäksi pienemmät yritykset työllistävät todennäköisemmin ihmisiä, jotka käyttävät töissä omia laitteitaan. Sillä säästyy aikaa ja kustannuksia, mutta se myös lisää haittaohjelmahyökkäyksen todennäköisyyttä, sillä henkilökohtaiset laitteet ovat alttiimpia haitallisille latauksille.
Kyberrikollisten motiivi hyökätä pienyritykseen voi olla:
Raha: Päämotiivi on taloudellinen hyöty. Jotkin kyberrikolliset haluavat vain aiheuttaa häiriötä, mutta suurin osa pyrkii tienaamaan. Siksi kiristysohjelmat ovat niin suosittuja hyökkäyskeinoja. Hakkerit käyttävät mitä tahansa hyökkäyskeinoa niin kauan kun se on tuottoisa.
Laskentateho: Joskus hakkerit haluavat käyttää yrityksen tietokoneita värväämällä ne bottiarmeijaan suorittaakseen palvelunestohyökkäyksiä (DDoS-hyökkäyksiä). DDoS-hyökkäykset luovat keinotekoisesti suunnattoman määrän verkkoliikennettä häiritäkseen yrityksen palvelua. Kaapatut botit auttavat luomaan häiritsevää liikennettä.
Linkit muihin tahoihin: Pienyritys on digitaalisessa yhteydessä muihin tahoihin maksutapahtumien, toimitusketjujen ja tietojen jakamisen kautta. Suurempia yrityksiä voi olla vaikeampi murtaa, joten hakkerit kohdistavat hyökkäyksensä joskus pienempiin yrityksiin voidakseen hyökätä sitä kautta suurempien yritysten järjestelmiin.
Minkälaiset kyberuhkat voivat vaikuttaa pienyrityksiin?
Ennen kuin suunnittelet yrityksellesi kyberturvallisuusstrategian, kannattaa perehtyä erilaisiin uhkiin ja ymmärtää ne. Pienyrityksiin vaikuttavia kyberuhkia ovat muun muassa:
Sosiaalinen manipulointi:
Tämä kyberrikollisuustyyppi huijaa tai manipuloi jonkun paljastamaan arkaluonteisia tietoja petostarkoituksiin. Sosiaalista manipulointia voi tapahtua eri tavoilla, kuten:
- Kalastelu - hakkeri lähettää petollisen sähköpostin, joka on suunniteltu huijaamaan vastaanottaja luovuttamaan yksityistietoja tai tuomaan haitallinen ohjelma uhrin koneelle tai verkkoon.
- Kohdennettu tietojenkalastelu - kalastelutyyppi, joka kohdistuu tiettyyn yksilöön yleensä niin, että hakkeri tekeytyy kohteen tuntemaksi henkilöksi.
- Valheelliset verkkosivustot - huijaussivustot, jotka on suunniteltu huijaamaan käyttäjät petoksiin tai haitallisiin hyökkäyksiin.
- Puhelinhuijaus - huijarit muuttavat puhelun vastaanottajalle näkyvät tietonsa piilottaakseen henkilöllisyytensä puhelun vastaanottajalta.
- Smishing eli tietojenkalastelu tekstiviestillä - kalastelutyyppi, jossa hyökkäysalustana käytetään matkapuhelinta.
Kiristysohjelmat:
Kiristysohjelmat ovat tavanomaisimpia hyökkäyskeinoja, joita hakkerit kohdistavat yrityksiin. Kiristysohjelma lukitsee tietokoneen ja salaa tiedot, jolloin ne jäävät panttivangiksi. Omistajien pitää maksaa hakkerin vaatimat lunnaat saadakseen salausavaimen ja päästäkseen jälleen käsiksi tietoihinsa. Raporttien mukaan jopa 71% kiristysohjelmahyökkäyksistä kohdistuu pienyrityksiin ja vaadittujen lunnaiden suuruus on keskimäärin 116 000 dollaria. Pk-yritykset maksavat yleensä todennäköisemmin lunnaat, sillä niiden tietoja ei välttämättä ole varmuuskopioitu ja niiden on voitava jatkaa toimintaanasa mahdollisimman pian.
Haittaohjelmat:
Haittaohjelma on kattotermi haitallisille ohjelmille, jotka on suunniteltu aiheuttamaan vahinkoa käyttäjän laitteelle tai verkolle. Termi kattaa useita kybeuhkia, kuten troijalaiset ja virukset (kiristysohjelmatkin ovat itse asiassa haittaohjelmia). Haittaohjelmahyökkäykset vahingoittavat pienyrityksiä, sillä ne voivat lamauttaa laitteet, mikä vaatii yritykseltä kalliita huoltotoimia tai uusien laitteiden hankkimista. Ne antavat myös hyökkääjille takaoven, jonka kautta he pääsevät käsiksi tietoihin, mikä vaarantaa sekä asiakkaat että työntekijät.
Bottiverkot:
Bottiverkko on tietokoneverkko, joka on vaarantunut ja haittaohjelman tartuttama, jonka vuoksi hakkerit voivat yhdistää verkon laskentatehon ja suorittaa kyberhyökkäyksiä. Bottiverkkoja on pidetty jo pitkään uhkana suuremmille organisaatioille, mutta viime vuosina pk-yritykset ovat myös joutuneet niiden kohteiksi.
Palvelunestohyökkäykset:
Palvelunestohyökkäys, tai DDoS-hyökkäys, pyrkii kaatamaan verkkosivuston tukkimalla sen useista eri lähteistä tulevalla liikenteellä. Onnistunut DDoS-hyökkäys voi poistaa verkkosivustosi verkosta kokonaan, jolloin asiakkaat eivät pääse sinne.
SQL-injektio:
Jos yritykselläsi on tietokanta SQL:ssä (muodostuu sanoista Structured Query Language), olet mahdollisesti haavoittuvainen ja altis SQL-injektiolle. SQL-injektiolla tarkoitetaan haitallisen koodin lisäämistä SQL-tietokantaan. Haitallisen koodin tyypistä riippuen seuraukset voivat olla vakavia. Se voi esimerkiksi poistaa tiedot, vaarantaa arkaluonteiset käyttäjätiedot ja, äärimmäisissä tapauksissa, kaataa koko järjestelmän. SQL-injektio on yksi yleisimmistä keinoista hyökätä verkkosivustolle.
Miksi pk-yritysten suojaus on elintärkeää?
Pienyritysten kyberturvallisuus ja pk-yritysten suojaus pitää ottaa vakavasti monesta syystä:
Mahdolliset taloudelliset tappiot:
Kyberhyökkäys voi tuhota pienyrityksen talouden, joskus lopullisesti. Toipumisen kustannukset, seisokkiaikana menetetyt tulot sekä lainsäädännön noudattamattomuudesta mahdollisesti koituvat sakot ja rangaistukset voivat olla tuhoisia voittomarginaalillesi.
Mainehaitat ja imagotappiot:
Jos yritykseesi kohdistuu tietomurto, joka vaikuttaa asiakastietoihin, sillä voi hyökkäyksen koosta ja sen käsittelytavasta riippuen olla vakava vaikutus yrityksesi maineeseen. Se saattaa vaikuttaa kykyysi säilyttää asiakkaita ja työntekijöitä ja houkutella uusia.
Työntekijöidesi vaarantaminen:
Jos kyberrikolliset varastavat työntekijöitäsi koskevia arkaluonteisia tietoja - kuten luottamuksellisia henkilöstöhallinnon tietoja, syntymäaikoja, taloustietoja ja muuta - kyseiset työntekijät ovat vaarassa joutua henkilöllisyysvarkauksien tai muiden kyberrikosten uhreiksi.
Kyky jatkaa toimintaa:
Kaikki yritykset koosta riippumatta ovat nykyään riippuvaisia tietokonejärjestelmistä, etenkin Covid-19 pandemian alettua. Riippuvaisuus pilvipalveluista, älypuhelimista, esineiden internetistä ja tekoälystä tarkoittaa sitä, että mikä tahansa kyberhyökkäyksen aiheuttama häiriö vaikeuttaa merkittävästi kykyäsi toimia normaalisti.
Lakien ja säännösten noudattaminen:
Oikeustoimialueet ympäri maailmaa ovat lisänneet internetiä koskevaa säännöstelyään. Esimerkiksi Euroopassa on voimassa yleinen tietosuoja-asetus (GDPR) ja Kaliforniassa California Consumer Privacy Act -laki. Tällaiset lait ja säännökset asettavat velvoitteita organisaatioille, jotka keräävät ja säilyttävät tietoja ja niiden noudattamatta jättämisestä seuraa rangaistuksia - tämä korostaa kaikkien yritysten tarvetta suhtautua tietoturvaan vakavasti. Voit lukea lisää internetiä koskevista laeista täältä.
Uhkat jatkavat kehittymistään:
Kyberuhkien määrä ja monimutkaisuus kasvaa jatkuvasti. On arvioitu, että maailmanlaajuisesti päivittäin hakkeroidaan yli 30 000 verkkosivustoa ja että joka päivä luodaan yli 300 000 uutta haittaohjelmaa. Kyberrikolliset etsivät aina uusia keinoja hyödyntää heikkouksia ja hyökätä kaiken kokoisiin yrityksiin. Vaikka yrityksesi ei ole vielä joutunut hyökkäyksen kohteeksi, se ei tarkoita sitä, että olet hyökkäyksille immuuni.
Kuinka usein kyberuhkat vaikuttavat pienyritysten toimintaan?
Pk-yritysten vaara joutua kyberhyökkäyksen kohteeksi - joka on jo yleensä suurempi kuin suurten yritysten hyökkäysvaara - on kasvanut viime vuosina. Esimerkiksi vuosina 2020 ja 2021 pienyritysten tietomurrot lisääntyivät maailmanlaajuisesti 152% edelliseen kahteen vuoteen verrattuna RiskReconin mukaan, joka on MasterCardin yritysten kyberturvallisuusvaaroja arvioiva yksikkö. Tämä luku oli vastaavanlaisesti kaksinkertainen suuryrityksillä saman ajanjakson aikana.
IBM:n vuonna 2021 tekemän tutkimuksen mukaan 52% pienyrityksistä joutui kyberhyökkäyksen kohteeksi edellisen vuoden aikana. Tästä huolimatta monet yritykset eivät ole varautuneet hyökkäyksiin - yhdysvaltalaisen yrityspalveluntarjoaja UpCityn kysely paljasti, että vain 50% yrityksistä oli valmis ja käyttöön otettu kyberturvallisuussuunnitelma vuodelle 2022.
Talouden ollessa tiukalla yritykset ovat luonnollisesti taipuvaisia keskittymään enemmän päivittäisiin toimiin ja selviytymiseen. Kyberuhkien maailman huomioiden kyberturvallisuus on kuitenkin pitkäkestoisen liiketoiminnan jatkumisen ja yrityksen selviämisen keskeinen osa.
Miten pienyrityksen voi suojata kyberuhkilta?
Pk-yrityksen suojaaminen kyberuhkilta edellyttää kyberturvallisuustrategian luomista. Vahvan kyberturvallisuusstrategian tulee sisältää seuraavat osa-alueet:
- Työntekijöiden koulutus ja tietoisuus
- Verkon turvallisuus ja suojaus
- Infrastruktuurin turvallisuus ja suojaus
- Sovellusten turvallisuus ja suojaus
- Tietoturva
- Pilven turvallisuus ja suojaus
- Katastrofista toipuminen tai liiketoiminnan jatkaminen vakavan hyökkäyksen sattuessa
On ensisijaisen tärkeää vaalia turvallisuutta edistävää kulttuuria yrityksessäsi. Työntekijöiden ja esimiesten tulisi opetella hyvät perustason turvallisuus- ja suojausmenetelmät ja noudattaa niitä. Pelkkä valppaana oleminen ei kuitenkaan vielä riitä. Pk-yritysten tulee myös sijoittaa asianmukaisiin suojaustyökaluihin yrityksen suojaamiseksi.
Pienyritysten verkkojen suojaaminen
Kyberturvallisuuden ammattilaiset puhuvat usein verkon turvallisuudesta ja suojauksesta. Se kuulostaa joltain, joka koskee vain suuryrityksiä, mutta millä tahansa useampaa kuin yhtä tietokonetta käyttävällä yrityksellä on verkko. Itse asiassa, jos työntekijät käyttävät älypuhelimiaan töissä, yksi pöytäkone on näiden älypuhelinten kanssa yhdessä yritysverkko.
Ensimmäisen elintärkeän suojaustason muodostaa tietoisuus internetin suojauksesta ja turvallisuudesta. Verkkoon pääsy tulee suojata vahvoilla salasanoilla, jotka tulee vaihtaa säännöllisesti.
Verkkoon pääsevien käyttäjien tulee oppia olemaan varovaisia sähköpostien suhteen. Älä klikkaa sähköposteissa olevia linkkejä ellet ole varma, että sähköpostin lähetti luotettava henkilö, jonka tunnet. Varo muka kollegoilta tulleita sähköposteja, jotka eivät sisällä minkäänlaista henkilökohtaista viestiä. Varo myös oletettavasti pankeilta tai muilta yrityksiltä tulleita sähköposteja, joissa sinulta pyydetään tilitietoja. Kummatkin ovat varoitusmerkkejä kalasteluhuijauksista, jotka pyrkivät huijaamaan vastaanottajia.
Sijoita tehokkaaseen suojaukseen
Hyvät perustason turvallisuus- ja suojausmenetelmät ja -toimintatavat vähentävät kyberrikollisten mahdollisuuksia murtautua yrityksesi verkkoon. Pienyritysten suojaus vaatii kuitenkin myös asianmukaisia yritysratkaisuja.
Ilmainen pienyritysten suojaus ei aina riitä. Ilmaiset suojaustyökalut ovat periaatteessa mainostuskeinoja. Ne voivat auttaa mahdollisen ratkaisun hahmottamisessa koita ennen ostamista -pohjalta, mutta niiden toiminta on rajoitettua. Tehokkaita pienyrityksen suojaustyökaluja saa kuitekin järkevään hintaan.
Tehokkaista yritysratkaisuista tulisi löytyä nämä viisi perusominaisuutta:
- Niissä pitä olla suojaus tietokoneviruksilta ja muilta haittaohjelmilta.
- Mobiililaitteita käytetään ja niillä liikutaan verkossa nykyään käytännössä kaikkialla, joten tehokkaan yritysratkoisun pitää tarjota mobiilisuojaus.
- Niiden tulee myös tarjota yksittäisten tiedostojen, kansioiden tai kokonaisen levyn tietojen salaus.
- Niiden tulee suojata päätepisteet - eri laitteet ja paikat, joiden kautta päästään verkkoon.
- Viimeisenä, muttei vähäisimpänä, tehokkaan yritysratkaisun pitää sisältää järjestelmän hallintatyökalut, kuten suojauksen päivittämiseen tarkoitettu päivitysten hallintaohjelma.
Tehokkaan suojauksen ja internetin suojauspäivitysten avulla pienyritykset voivat suojautua kyberrikollisilta. Hakkerit ja rikolliset voivat koittaa päästä verkkoosi, mutta ovien ja pääsykohtien pysyessä suljettuina he siirtyvät hakemaan helpompia uhreja.
Muita pienyritysten suojaukseen ja turvallisuuteen liittyviä artikkeleita ja linkkejä: