Yrittäjien on turha tuudittautua ajatukseen, että yrityksen tietoturva koskee vain suurempia yrityksiä.

– Varmasti sata prosenttia yrityksistä kokee jonkinlaisen vahingoittamisyrityksen yhden kalenterivuoden aikana. Näistä suurin osa tulee sähköpostin kautta. Silloin on riski, että jotain tapahtuu. Onneksi iso osa huijauksista on niin heikosti tehty, ettei tiedostoja avata, sanoo tietoturvaan erikoistuneen Nixun johtava tietoturva-asiantuntija Antti Nuopponen.

Tarkkaa tilastoa ei ole olemassa, kuinka moni joutuu verkkorikollisuuden uhriksi. Joka tapauksessa luku on iso.

Nuopponen listaa kaksi ilmiötä, joita yrittäjät eivät pääse pakoon. Näitä ovat liiketoiminnan jatkuvuuden uhat ja niin sanotut taloushuijaukset. Sen sijaan yritysvakoilu on enemmän kohdennetumpaa. Kohteina ovat tuotekehitykseen panostavat ja ylipäätään suuremmat yritykset.

– Pienissä yrityksissä kiristysohjelmat ja laiterikot ovat yleisin uhka. Liiketoimintaan tulee katkoja, kun tärkeää tietoa häviää tai koneiden käyttö estyy. Kriittisten tietojen pitää aina olla varmuuskopioituina.

Tee itse aina kopio

Tietojen varmuuskopiointi kuulostaa itsestään selvältä, mutta käytäntö on toinen. Nuopposen mukaan yrityksissä kuvitellaan kaiken olevan kunnossa, mutta ongelman sattuessa totuus selviää.

Etenkin koneeseen kiinnitetty ulkoinen usb-levy on suosittu laite, johon kopioidaan yrityksen tiedot.

– Levy ei suojaa haittaohjelmalta, jos se on koneessa kiinni. Varmuuskopioinnin toimivuutta pitäisi koko ajan myös testata, Nuopponen kertoo.

Testausta ja varmuuskopiointia on syytä tehdä itse tasaisin väliajoin, vaikka palvelun olisi ulkoistanut it-kumppanille. Tietojen löytyminen ja säilyttäminen ei ole mikään automaatio.

– Kumppanilta kannattaa pyytää kopiot koemielessä. Lisäksi on hyvä kiinnittää huomiota sopimukseen. Korvaako it-kumppani hävinneet tiedot kokonaan ja mitkä ovat tietojen säilytysajat. Tietojen pitäisi olla tallessa vähintään puoli vuotta, Nuopponen listaa.

Taloushuijauksissa puolestaan rikolliset huijaavat yrittäjää tai työntekijää paljastamaan tunnuksensa yrityksen käyttämiin pilvipalveluihin. Sen jälkeen huijarit etsivät asiakasyritysten laskuja, joita voi muokata. Taitavasti toteutettu huijauslasku huomataan yleensä vasta siinä vaiheessa, kun asiakasyritys alkaa periä saataviaan.

– Laskujen maksutiedot on syytä varmistaa. Myös pilvipalveluiden vahva identiteetin vahvistaminen on aika halpa henkivakuutus. Järjestelmä ilmoittaa, jos palveluun yritetään päästä vieraalta koneelta, Nuopponen sanoo.

Ongelmat tiedossa

Pk-yritysten tietoisuus tietoturvasta on yleisesti parantunut viimeisen 2-3 vuoden aikana. Tyytyväisyyteen ei ole kuitenkaan aihetta.

– Keskimäärin yritykset eivät ole valmistautuneet hyökkäyksien varalle kauhean hyvin. Yleisesti ajatellaan, että miten nyt joku meidät löytäisi. Moni ei tajua kyberhyökkäysten olevan massiivista toimintaa. Suurinta osaa niistä ei kohdisteta mihinkään yksittäiseen yritykseen, Nuopponen varoittaa.

Massiivisista kyberhyökkäyksistä on hyviä esimerkkejä lähihistoriasta. Ukrainasta käynnistynyt kiristysohjelma ”Petja” aiheutti kesällä mittavat vahingot ympäri maailmaa.

– Vahingot olivat ihan älyttömät, vaikka Suomessa ei ollut ongelmia juuri ollenkaan. Pohjoismaissa ollaan muita valveutuneempia, mutta siihen ei kannata tuudittautua, Nuopponen sanoo.

Kolme toimenpidettä

Varmuuskopiot

Selvitä yrityksen toiminnan kannalta kriittiset tiedot ja tee niistä varmuuskopiot tasaisin väliajoin. Testaa, että varmuuskopiot myös löytyvät kriisitilanteessa.

Pyydä varmuuskopioita säännöllisesti, vaikka olet ulkoistanut palvelun it-kumppanille. Tarkista sopimuksesta, mitkä ovat kumppanin vastuut ja velvollisuudet.

Tarkasta laskut

Taitavasti toteutettuja huijauslaskuja on lähes mahdoton tunnistaa etukäteen. Varmista etenkin uuden asiakasyrityksen laskutustiedot.

Vahvista tunnistamista

Pilvipalvelujen identiteetin vahvistaminen on helppo keino vaikeuttaa rikollisten pääsy yrityksen tietoihin.

Lue lisää uutisia >

banner