Jarno Limnéll: "Riskiarviointi kannattaa tehdä jokaisessa yrityksessä"
Kyberturvallisuus puhuttaa – ja kun aiheesta keskustellaan, on Aalto-yliopiston kyberturvallisuuden professori Jarno Limnéll Suomen kysytyin asiantuntija ja tuttu tv-lähetyksistä. Mitä pk-yritysten tulisi varmistaa nyt?
Kun haastattelimme Limnélliä kevään 2020 lehteen, oli koronapandemia haastanut yritykset digiloikkiin ja siten tietoturvansa entistä huolellisempaan varmistamiseen. Keväästä 2022 lähtien maailma on jälleen eri asennossa: puhe on siirtynyt Ukrainan sotaan ja sen vaikutuksiin niin valtioon, yksityishenkilöihin kuin yrityksiin.
Mitä kyberhyökkäyksillä tavoitellaan?
Millaiset yritykset ovat niille erityisen alttiita?
- ”Kyberhyökkäysten keskeisin motiivi on raha, ja keinoja on monia: kiristys- ja haittaohjelmia, tietojen kalastelua, valelaskutuksia ja muuta verkkorikollisuutta. Kohteena ovat suoraan sanottuna kaikki yritykset: yksikään yritys, pieni tai suuri, ei voi ajatella, etteikö kyberturvallisuus koskisi omaa liiketoimintaa. Jokainen yritys on digitaalinen, jos ei muutoin, niin sähköisinä maksupäätejärjestelminä. Kyberturvallisuus on tärkeää niin maineenhallinnan, liiketoiminnan jatkuvuuden kuin asiakkaiden luottamuksen vuoksi.”
Mihin pk-yrityksen kannattaisi investoida nyt?
- ”Tutkimukset osoittavat, että yli 90 % tietomurroista on inhimillisen teon seurausta. Tyypillisesti ihminen klikkaa jotain, mitä ei pitäisi klikata. Jos yksi toimenpide pitäisi valita, se olisi ihmisten kouluttaminen.”
Olet sanonut, että kyberturvallisuus on johtamiskysymys. Kuinka johtajuus toteutuu?
- ”Asia on entistä vahvemmin näin. Johtajuus toteutuu kolmella tavalla: Ensinnäkin uskon esimerkillä johtamiseen. Johtaja luo raamit sille, millaista turvallisuuskulttuuria yritys ylläpitää. Toisekseen kyberturvaa ei tule jättää IT-asiaksi, vaan nähdä se liiketoimintakysymyksenä, jossa hallitus- ja johtoryhmätasolla tehdään riskiarvioinnit. Kolmannekseen kyberturvallisuus edellyttää resursointia ja siihen panostaminen kannattaa.”
Miten riskiarviointi tulee tehdä, jotta se on riittävä ja relevantti?
- ”Ei ole järin suuri kustannus käyttää ulkopuolista tukea. Yritysten on tärkeä kyetä valitsemaan luotettava, kyberturvapalveluita tuottava kumppani, jonka kanssa kartoittaa omat suojaustasot. Tällainen digitaalisen ympäristö “terveystarkastus” on syytä tehdä nyt jokaisessa yrityksessä.”
Mitä yksilötasolla tulisi huomioida?
- ”Turvallisuus on asennekysymys. Tärkeintä on olla valppaana. Kun havaitsee huijausviestejä tai tulee huijatuksi, on siitä syytä kertoa. Yrityksessä tulee olla prosessit siihen, mihin huijausviesteistä ja havaituista uhista ilmoitetaan.”
Mikä on suomalaisen osaamisen taso kyberturvallisuudessa?
- ”Meillä on hyvä kansallinen taso. Kybermaailma vaatii laaja-alaista ja toisaalta syvälle menevää osaamista, muun muassa koodipuolella. Suurin haaste on osaajien määrä. Kyberturvallisuudessa riittää tulevaisuuden uramahdollisuuksia.”
Tietoturvakoulutus 6.10.2022 klo 9-11
Tässä koulutuksessa oivallutetaan, miksi jokainen meistä on houkutteleva kohde ja miten tavallisen tietotekniikan käyttäjän heikkouksia etsitään järjestelmällisesti. Koulutus on suunnattu kaikille, jotka käyttävät tietotekniikkaa työssään. Lue lisää ja ilmoittaudu mukaan vaikka koko organisaation voimin.