Pienyrittäjät ja -yritykset kuvittelevat usein olevansa turvassa kyberhyökkäyksiltä – ikään kuin ne olisivat vain suurten kansainvälisten yritysten päänvaiva. Tähän voi yksiselitteisesti todeta ainostaan, että tämä ajatusmalli on täysin virheellinen. Konsultti- ja asiantuntijapalveluita tarjoavan Accenturen tuoreen Yhdysvalloissa tekemän selvityksen mukaan nimittäin 43 prosenttia kyberhyökkäyksistä kohdistuu juuri pieniin yrityksiin. Vaikka vastaavaan selvitystä ei Suomessa olekaan tehty, antaa se kuitenkin huolestuttavaa mietittävää monelle pienyrittäjälle.
Merkittävä taloudellinen haitta
Accenturen selvityksessä kävi ilmi, että yli puolet pienistä yrityksistä olivat joutuneet kyberhyökkäyksen kohteiksi. Keskimäärin tällainen hyökkäys oli aiheuttanut jopa huimat 200 000 dollarin tappiot, paljasti vakuutusyhtiö Hiscox. Hyvin usein kyberhyökkäykset johtivat pienyrityksen konkurssiin. Huolestuttavaa on, että jopa kaksi kolmannesta pienten yritysten johdossa olevista ihmisistä pitävät epätodennäköisenä, että heidän yritykseensä kohdistuisi kyberhyökkäys.
Pienistä yrityksistä on tullut kyberrikollisille se kaikkein houkuttelevin kohde. Niillä on yksityishenkilöitä enemmän maksuvalmiutta ja -kykyä, mutta ei isompien yritysten tietoturvaa ja strategiaa hyökkäysten varalta. Lisäksi kyberrikolliset pystyvät toistamaan samaa toimintatapaa pienyritysten kohdalla: yritysten toimialalla eikä oikeastaan maantieteellisellä sijainnillakaan ole juuri väliä.
Tietoturvasta ei pidä säästää
Maailma on täynnä tarinoita, joissa lupaavaan kasvuun lähtenyt yritys on kärsinyt takapakkia tietomurtojen takia. Sen lisäksi, että tietomurrot voivat johtaa suoriin taloudellisiin tappioihin sekä yritykselle että sen asiakkaille, on jo pelkkä imagotappion hinta mittaamaton. Kun yrityksellä on leväperäisesti tietoturva-asioitaan hoitavan yrityksen leima, on kuluttajien luottamus helposti mennyttä ikiajoiksi ja edessä saattaa olla pahimmillaan konkurssi.
Tietoturva ei ole se paikka, josta vastuullisen yrityksen pitäisi säästää, olipa yrityksen kokoluokka mikä tahansa. Kaikkein pienimpienkin yritysten tulisi kiinnittää huomioita ainakin varmuuskopioiden tekemiseen, virustorjunta- ja palomuuriohjelmistojen ajantasaisuuteen, salasanojen säännölliseen vaihtamiseen ja ennen kaikkea henkilöstön tietopohjan ylläpitämiseen ja kouluttamiseen tietoturva-asioiden suhteen. Monesti kyberhyökkäys saa tilaisuuden tapahtua inhimillisen virheen ansiosta: uhka voi tulla ensi kädessä oman organisaation sisältä.
Liiketoiminta siirtyi verkkoon, niin myös rikollisuus
On aivan luonnollista, että kyberrikollisuus on rajussa kasvussa, sillä niin on tehynyt myös liiketoiminta. Vaikka tietomurrot ovat yleisiä, suomalaiset pienyrittäjät törmäävät useimmiten kuitenkin erilaisiin kiristystä harjoittaviin haittaohjelmiin ja kryptolouhintaohjelmiin. Toisin kuin yrityksen tiloihin murtauduttaessa, ei poliisista juuri ole näiden ohjelmien takana olevien tahojen kiinni ottamisessa apua. Paras turva verkkorikollisuutta vastaan on varautuminen.
Tietomurtoihin ja muuhun kyberrikollisuuteen kannattaa varautua siinä hengessä, että jossakin vaiheessa yritys tulee joutumaan sellaisen kohteeksi – kyse ei ole siitä, tuleeko näin tapahtumaan, vaan pikemminkin siitä, koska näin tapahtuu. Absoluuttista suojaa verkkohyökkäyksiltä ja kyberrikollisuudelta ei ole olemassa, jos ei sitten täysin verkosta irtautumista sellaiseksi lasketa, ja sellaiseen taas tuskin yksikään yritys voi tänä päivänä lähteä.
Vastuuhenkilö yritykseen
Mikäli ei puhuta aivan yhden hengen yrityksestä, olisi yrityksessä syytä olla tietoturva-asioista vastaava vastuuhenkilö. Tämän henkilön tulisi käydä kohta kohdalta läpi yrityksen perustason tietoturva-asiat ja etenkin koko henkilöstön ohjeistuksen ajantasaisuus. Tärkeimmät seikat ovat pähkinänkuoressa seuraavat:
- Varmuuskopioprosessin läpikäynti, myös tietojen palautus sisältäen
- Järjestelmien ja ohjelmistojen päivitysprosessi
- Hyvät salasanakäytännöt
- Monitasoisen suojauksen käyttäminen
- Henkilöstön tietotason päivittäminen ja ylläpitäminen
- Suunnitelma tietomurtojen varalta
Tietoturvavastaavan vastuulla on tietenkin pysytellä myös itse ajan tasalla muuttuvasta tietoturvaympäristöstä. Yrityksen koon kasvaessa tästä toimesta on hyvä tehdä täysin päätoiminen. Alle kymmenen hengen yrityksissä tietoturvavastaavalla on todennäköisesti toimenkuvassaan muitakin velvollisuuksia.