Kyberturvallisuutta pidetään usein pelkästään teknisenä kysymyksenä, joka kuuluu IT-osaston vastuulle. Todellisuudessa se on merkittävä liiketoimintariski, joka koskettaa kaikkia organisaation tasoja. Yksittäisen työntekijän inhimillinen virhe – kuten epäilyttävien linkkien avaaminen tai ohjelmistopäivitysten laiminlyönti – voi avata rikollisille oven ja johtaa mittaviin taloudellisiin menetyksiin.
PwC:n 2025 Global Digital Trust Insights –raportissa todetaan, että vain kaksi prosenttia organisaatioista on varautunut kattavasti kyberturvallisuuden eri osa-alueisiin. Lisäksi alle puolet tietoturvajohtajista osallistuu liiketoimintapäätöksiin laaja-alaisesti. Tämä viestii syvästä kuilusta liiketoiminnan ja tietoturvan välillä.
Tietoturvariskien seuraukset eivät rajoitu pelkästään taloudellisiin tappioihin. Asiakassuhteet, brändiluottamus ja jopa liiketoiminnan jatkuvuus voivat olla vaarassa. Monesti organisaatioissa fokus on ulkopuolisissa uhkissa, mutta yhä useammin haavoittuvuudet juontuvat yrityksen sisältä. Parhaimmillaan tietoturva on ennakoivaa, jatkuvaa ja läpäisee koko organisaation työkulttuurin.
700 työttömäksi heikon salasanan vuoksi
158 vuotta toiminut brittiläinen kuljetusyhtiö KNP ajautui konkurssiin kiristyshaittaohjelmahyökkäyksen seurauksena. Mikrobitti raportoi, että hyökkäyksen uskotaan käynnistyneen yhden työntekijän heikon salasanan kautta. Rikolliset pääsivät käsiksi yrityksen järjestelmiin, salaamaan tiedot ja lukitsemaan kriittiset toiminnot.
Vaikka KNP:llä oli käytössään alan standardien mukaiset tietoturvakäytännöt sekä erillinen kybervakuutus, ne eivät riittäneet torjumaan tiettävästi Akira-kiristyshaittaohjelmalla toteutettua hyökkäystä. Yrityksellä ei ollut varaa maksaa vaadittuja yli viiden miljoonan punnan lunnaita. Tuloksena oli konkurssi ja 700 ihmistä jäi työttömäksi.
Yrityksen toimitusjohtaja Paul Abbott kertoi BBC:lle, ettei pystynyt kertomaan kyseiselle työntekijälle, että hänen heikon salasanan uskotaan olevan koko romahduksen syy.
”Haluaisitko itse tietää, jos kyse olisi sinusta?”, Abbott pohti haastattelussa.
Tapauksia myös Suomessa
Vastaavia uhkia kohdataan myös Suomessa. Traficomin Kyberturvallisuuskeskuksen mukaan kiristyshaittaohjelmat muodostavat jatkuvan uhan kotimaisille toimijoille. Vuosi 2024 oli verrattain rauhallinen, mutta loppuvuotta kohti haittaohjelmahavainnot ja ilmoitukset ovat lisääntyneet.
Yksi viime vuosien yleisimmistä uhkista on ollut samainen Akira-kiristyshaittaohjelma, jonka ensimmäiset hyökkäykset suomalaisiin yrityksiin havaittiin vuonna 2023. Vuoden loppuun mennessä Traficom vastaanotti 12 ilmoitusta Akira-hyökkäyksistä. Useat tapaukset liittyivät heikosti suojattuihin VPN-ratkaisuihin, erityisesti Ciscon laitteisiin ja päivittämättömiin haavoittuvuuksiin.
Organisaatioiden olisikin tärkeää huolehtia ajantasaisista ohjelmisto- ja laitepäivityksistä sekä ottaa käyttöön automaattiset päivitykset aina kun mahdollista.
”Kiristyshaittaohjelmahyökkäyksen vaikutukset voivat olla vakavia, mutta ennakoivat toimet ja varautuminen voivat suojata organisaatiota merkittävästi. Viime vuonna useampi organisaatio palautui hyökkäyksestä varmuuskopioiden avulla”, kertoo tietoturva-asiantuntija Sanna Autio Kyberturvallisuuskeskuksesta tiedotteessa.
Joissakin tapauksissa hyökkäyksen kohteena ollut organisaatio pystyi palauttamaan järjestelmänsä nopeasti, koska varmuuskopiot oli pidetty ajan tasalla ja suojattu riittävästi. Varmuuskopiointia suositellaan toteutettavaksi 3-2-1-periaatteen mukaisesti: säilyttää vähintään kolmea kopiota kahdessa eri paikassa, joista yksi ei ole verkossa.
Tietoturva on yhteinen vastuu
PwC:n raportti korostaa, että monessa organisaatiossa tietoturva nousee agendalle vasta, kun on jo liian myöhäistä. Julkisella sektorilla 35 prosenttia vastaajista kertoi, että toimitusjohtajat ottavat kyberturvallisuusasiat vakavasti vasta merkittävän tietomurron jälkeen.
Tilanteen korjaaminen jälkikäteen voi kuitenkin käydä kalliiksi, sekä rahallisesti että maineenkin kannalta. Siksi organisaatioiden tulisi rakentaa kyberresilienssiä ennakoivasti ja kokonaisvaltaisesti. Tietoturva ei ole pelkkä IT-kysymys, vaan olennainen osa liiketoiminnan strategista johtamista.
Yksi vahva salasana ei välttämättä pelasta yritystä, mutta heikko voi kaataa sen. Ideaalitilanteessa kyberturvallisuus on jokaisen työntekijän ajattelutapa, jossa toimintojen vaikutukset tiedostetaan ja näin vastuullisuus digitaalisessa ympäristössä korostuu. Tehokkain suoja syntyy yksilön huolellisuuden ja teknisten ratkaisujen yhteispelistä.
Kyberturvallisuuskeskuksen mukaan laitepäivityksien lisäksi monivaiheinen tunnistautuminen on tehokas suoja käyttäjätunnusten väärinkäytöltä, ja sitä kannattaa hyödyntää erityisesti reunalaitteiden hallintakonsolin pääsyssä. Hallintakonsolin pääsy tulisi rajoittaa vain niille käyttäjille, joilla on siihen oikeus, ja rajata esimerkiksi sallittuihin IP-osoitealueisiin. Lisäksi hallintakonsolin lokitietojen valvonta auttaa havaitsemaan epäilyttävät toimet ja mahdolliset hyökkäykset ajoissa.
