Kyberuhat voivat lamauttaa koko liiketoiminnan – F-Securen Konttinen ja Rekonen: Kyvykkyys reagoida kyberhyökkäyksiin on usein alkeellisella tasolla

Haastattelimme kahta Suomen johtaviin tietoturva-asiantuntijoihin kuuluvaa henkilöä yritysten tietoturvallisuudesta ja verkkorikollisuudesta. Haastateltavat ovat F-Securen toimitusjohtaja Samu Konttinen ja F-Securen hallituksen jäsen Päivi Rekonen.

Kuva: F-Secure
F-Securen toimitusjohtaja Samu Konttinen. Kuva: F-Secure

Mitkä ovat tällä hetkellä suurimmat ongelmat yritysten tietoturvassa? Onko eroa pienten ja suurten yritysten välillä?
Samu Konttinen: ”Kiristyshaittaohjelmat ovat yksi merkittävimmistä ongelmista. Ne ovat yhtä lailla niin isojen kuin pientenkin yhtiöiden ongelma. Isommilla yhtiöillä it-ympäristöt ovat hyvin monimutkaisia ja kattavan suojauksen rakentaminen on siksi haastavampaa kuin pienillä yhtiöillä.

Perustilanne lähtee jo siitä, että kaikkien it-järjestelmien pitäisi pysyä edes ajan tasalla viimeisten päivitysten osalta. Tämä on haaste jo silloin, kun it-ympäristö on hyvin laaja.

Kyseessä on hyvin tyypillinen hyökkäys­vektori verkkorikollisille: he hyödyntävät tunnettuja haavoittuvuuksia, koska yritykset eivät ehdi ajoissa päivittää järjestelmiään. Ihmiset ovat usein myös se heikoin lenkki, ja mitä enemmän on henkilökuntaa, sitä vaikeampi on kouluttaa kaikkia työntekijöitä.

Kuva: F-Secure
F-Securen hallituksen jäsen Päivi Rekonen. Kuva: F-Secure

Päivi Rekonen: ”Teknologia- ja it-osaamisen lisäksi tarvitaan edelleen säännöllistä kyberturvallisuuden ymmärryksen lisäämistä, koulutusten, esimerkkien ja kommunikoinnin avulla. Kokemukseni isoista yrityksistä on, että systemaattinen ja säännöllinen tiedotus ja koulutus kyberturvallisuudesta ovat erittäin tärkeitä asioita.”

Johtuvatko ongelmat it-osaamisen puutteesta yrityksissä tai onko it-osaaminen liian kapealla pohjalla, vähän osaajia?
SK: ”It-osaamista on melko hyvin tällä hetkellä, mutta tietoturvaosaajista on huikea pula. Joidenkin arvioiden mukaan tällä hetkellä on yli 1 500 000 avointa työpaikkaa henkilöille, jotka hallitsevat globaalin kyberturvan vaatimukset.”

Onko tänä päivänä ongelmana tietojärjestelmien monimutkaisuus eli se, että on paljon tietojärjestelmiä, joiden hallinta yhdessä yrityksessä voi olla lievästi sanoen haasteellista?
SK: ”Juuri näin, järjestelmät ovat monimutkaisia ja kun kaikki digitalisoituu, haasteet tietoturvan osalta vaan kasvavat.”´

Onko ihminen tietoturvan heikoin lenkki?
SK: ”Hyvin usein näin on. Yksi tyypillisistä hyökkäyksistä on kalastelusähköpostit (phishing emails). Niissä hyökkääjät hyödyntävät psykologiaa saaden ihmiset avaamaan sähköposteja tai klikkaamaan linkkejä, joiden takaa sitten haittaohjelma aktivoituu.”

Onko tietoturvallisuusongelmien taustalla teknologisia ongelmia, esimerkiksi tietoliikenneverkkoon liittyviä ongelmia?
SK: ”Täysin tietoturvallisia ympäristöjä on hyvin vaikea rakentaa. Kaikki on lähtökohtaisesti hakkeroitavissa. Onkin tärkeä pystyä havainnoimaan hyökkäyksiä, koska täydellinen estäminen ei onnistu. Jos hyökkäykset havaitaan ajoissa, voidaan vahinkoja estää, vaikka itse hyökkäystä ei pystytty estämään.”

Ovatko yritykset suojautuneet tarpeeksi hyvin esimerkiksi kyber- ja palveluksenestohyökkäyksiä vastaan?
SK: ”Valtaosalla on suuria puutteita. Juuri edellä mainitsemani kyvykkyydet havaita tietomurrot ajoissa ja reagoida hyökkäyksiin, esimerkiksi palvelunestohyökkäyksiin, on monesti vielä hyvin alkeellisella tasolla.”

Onko kyberhyökkäyksille hyvää suomenkielistä termiä?
SK, PR: ”Emmepä keksi, termi on siis hyvin kuvaava.”

Minkälaisissa tai minkä alan yrityksissä tietoturvariskit ovat suurimmat?
SK: ”Verkkorikolliset eivät aina hirveästi kohdenna hyökkäyksiään, koska motiivina on raha, ja se on yrityksestä riippumatta samaa.
Valtiolliselle vaikuttamiselle tai tiedustelutoiminnalle taas kohteita ovat organisaatiot, joissa tehdään poliittiset päätökset, ja esimerkiksi kriittinen infrastruktuuri voi joillekin toimijoille olla kohde. ”Haktivistit” voivat myös kohdentaa joitain toimialoja, kun he ajavat omia asioitaan.

Miten neuvoisitte yrityksen johtoryhmää, jotta yrityksen tietoturva olisi riittävän hyvällä tasolla? Mitkä ovat kolme keskeisintä asiaa yrityksen tietoturvan parantamisessa?
SK:n kolme neuvoa:
1. Kannattaa testata eettisillä hakkereilla oma tietoturvan taso, mieluummin kuin aidossa hyökkäyksessä oppia kantapään kautta.
2. Hyökkäysten havainnointiin kannattaa panostaa, koska täydellinen estäminen ei onnistu.
3. Kannattaa kartoittaa ne osa-alueet yhtiöstä, joihin hyökkäys aiheuttaisi suurimmat vahingot yhtiön liiketoiminnalle ja maineelle, ja katsoa, että niissä turva on riittävällä tasolla. Usein tämä ei ole yhtiön johdolle riittävän kirkkaana selvillä, eli miksi me olisimme kohde hyökkäykselle?

Lisäkysymyksenä voi esittää: Mikä on yrityksen hallituksen rooli tietoturva-asioissa?
PR: ”Hallituksen tulisi pyytää toimivaa johtoa selventämään, kuinka tietoturva-asioita hoidetaan, mitä ovat edellä mainitut osa-alueet, missä suurimmat vahingot ovat mahdollisia, mitä ja miten muita riskejä on määritelty ja kuinka kokonaisuutta hallitaan.
Lisäksi tulisi selventää, onko kyberturvallisuudesta tehty oma strategia ja suunnitelma sekä sisältyykö siihen kriisinjohtamisen ja viestinnän suunnitelma.”

Elämme yhä enemmän digitalisoituvassa maailmassa. Mitä yrityksessä pitäisi ottaa huomioon, kun digitalisaation astetta yrityksessä nostetaan?
SK: ”Tietoturva täytyy huomioida alusta alkaen. Liian usein sitä aletaan miettiä sitten myöhemmin, tai kun jotain on jo tapahtunut. Eli yritysten tulee ottaa tietoturva mukaan osana suunnittelua alusta lähtien.
PR: ”Tietoturva tulisi nähdä osana yrityksen liiketoimintaa ja sen varmistusta, ei vain kustannuseränä tai vastauksena sääntelyyn. Olisi hyvä selventää, kuinka korkealla kyberturvallisuus on yrityksen prioriteettilistalla, esimerkiksi ymmärtämällä, kuinka hyvin asiakastietoja suojellaan mahdollisia kyberhyökkäyksiä vastaan.”

Miten digitaalista osaamista yrityksissä kehitettäisiin parhaiten? Mitä kaikkien yrityksen työntekijöiden pitäisi ymmärtää esimerkiksi kyberturvallisuudesta?
SK: ”Yhtiö voi monella tapaa simuloida hyökkäyksiä itselleen, niissä käytännön kautta oppii.”
PR: ”Koulutus ja tiedotus kyberturvallisuudesta on kaikkien työntekijöiden etu, ei vain it-osaston velvollisuus. Henkilöstön tietotaitoa tulee päivittää jatkuvasti.”

Mikä on Suomen yrityksissä tietoturvallisuuden taso suhteessa muihin maihin? Mikä maa voisi olla meille esimerkkinä?
SK: ”Suomessa ei olla merkittävästi ketään perässä, mutta parannettavaa on. Etenkin se havainnointipuoli ja miten reagoida havainnon jälkeen.”

————-

Samu Konttinen
Samu Konttinen on F‑Securen toimitusjohtaja. Aikaisemmin hän on toiminut yritystietoturvasta vastaavana johtajana, kuluttajatietoturvasta vastaavana johtajana, myynti- ja markkinointijohtajana sekä globaaleista maa­toiminnoista vastaavana johtajana ja on ollut johto­ryhmän jäsen vuodesta 2009. Hän siirtyi yhtiön palvelukseen vuonna 2005 ja on aikaisemmin toiminut F‑Securen mobiiliyksikön vastaavana johtajana ja sitä ennen myynnin ja markkinoinnin johdon tehtävissä EMEA:n alueella.

Aikaisemmalla urallaan Samu Konttinen on työskennellyt myyntijohtajana Valimo Wireless ‑yhtiössä vuosina 2001–2005. Samu Konttinen on Finnish Information Security Clusterin (FISC) hallituksen puheenjohtaja sekä Ixonos Oyj:n ja Teknologiateollisuus ry:n tietotekniikka-toimialaryhmän hallituksen jäsen. Hän on opiskellut Haaga-Helia-ammattikorkeakoulussa.

Päivi Rekonen
Päivi Rekonen on toiminut F‑Securen hallituksessa vuodesta 2017 lähtien. Hän työskentelee itsenäisenä johdon strategisena neuvonantajana. F-Securen ohella hän toimii Alma Media Oyj:n ja Konecranes Oyj:n hallituksissa, sekä UNOPS:ssa. Aiemmin Rekonen on toiminut sveitsiläisessä UBS-pankissa teknologiajohtajana (2014-2018), Adecco-ryhmän digitaalistrategiasta globaalisti vastaavana johtajana (2011–2012) sekä Credit Suisse ‑pankin IT-johtajana vastuualueena globaalit operaatiot ja lakiasiat (2007–2009).

Rekonen on koulutukseltaan kauppatieteiden ja yhteiskuntatieteiden maisteri. Rekonen on riippumaton hallituksen jäsen.