CGI:n tutkimuksen mukaan ilman nykyaikaisia kyberturvallisuusvalmiuksia pörssiyrityksen arvo voi laskea jopa 15 % vakavan tietoturvamurron myötä.

IT-palveluyritys CGI:n tutkimusten ja selvitysten mukaan yritykset vähättelevät yhä tietoturvan ja kyberturvallisuuden merkitystä liiketoiminnalle, mikä näkyy alimitoitettuina ja väärin kohdistettuina turvallisuusinvestointeina.

”Nykypäivän turvallisuusriskit edellyttävät tehokasta valvontaa, jossa hyödynnetään sekä teknologiaa että inhimillistä asiantuntemusta. Todellisuudessa organisaatiot luottavat yhä liikaa pelkkiin teknisiin ratkaisuihin”, tiivistää CGI Suomen kyberturvallisuusjohtaja Jan Mickos keskeiset tulokset.

Toinen yleinen ongelma on epärealistinen luottamus kykyyn välttää ja havaita kyberturmat.

”Monet ovat kuin kilpa-autoilijoita, jotka istuvat itseohjautuvissa autoissa turvavyöt kiinnittämättä. Uhkat kyllä tiedostetaan, mutta oma rooli koetaan silti sivustaseuraajaksi. Luja usko oman henkilöstön kykyihin puolustautua kyberrikollisia vastaan kertoo karua kieltään niin kyberturvallisuuden johtamisen puuttumisesta kuin epärealistisista kuvitelmista”, Mickos sanoo.

Yhtenä maailman suurimmista it-palveluyhtiöistä CGI:llä on erittäin kattava kyberturvallisuuden ja uhkien tilannekuva sekä globaalisti että Suomessa. Lisäksi se on kansainvälisin ja paikallisin tutkimuksin selvittänyt yritysten suhtautumista tietoturvaan vuosien ajan.

Alle viidennes suomalaisista yrityksistä investoi kyberturvallisuuteen riittävästi

CGI:n Suomessa tekemän Kyberturvallisuuden tila suomalaisissa organisaatioissa 2018 -selvitys kertoo, että viimeisen kahden vuoden aikana joka viides (18 %) on jo ollut kiristyshaittaohjelman ja joka kolmas (31 %) muun haittaohjelman kohteena. Yli puolet (57 %) arvioi todennäköiseksi, että organisaatio on joskus ollut sellaisen tietomurron tai -vuodon kohteena, joka on jäänyt tunnistamatta. Vain 13 % kertoo tunnistetun kyberhyökkäyksen tai -vahingon tulleen julkisuuteen.

Tulevaisuudessa 70 % arvioi todennäköisesti joutuvansa hyökkäyksen kohteeksi seuraavan vuoden aikana. 75 % arvioi kyberhyökkäyksen ja vahingon vaikutuksen organisaatiolleen haitalliseksi.

Mickosin kokemuksen mukaan merkittävä kyberturvatasosta kertova indikaattori on se, löytyykö organisaatiosta tietoturvaan erikoistunut johtaja. Parhaiten asiat ovat pankki- ja vakuutustoimialalla. Suomessa finanssialan yrityksistä 93 prosentilla on tietoturvajohtaja, kun taas terveyden ja hyvinvoinnin toimialalla vain 20 prosentilla.

”Terveys- ja hyvinvointiyritykset käsittelevät arkaluontoisia tietoja ihmisistä. Selvityksen mukaan niistä kaikki kokevat kyberhyökkäyksissä pelottavimpana riskinä loukkaukset asiakkaiden ja potilaiden yksityisyyttä kohtaan. Silti tietoturvajohtaja, jolla olisi selkeä vastuu kokonaisuudesta, loistaa poissaolollaan monissa organisaatioissa”, ihmettelee Mickos.

Selvityksessä kysyttiin 144 suomalaisen yrityksen ja julkisen sektorin organisaation kyberturvallisuuden johtamisesta, varautumisesta, riskienhallinnasta ja ymmärtämystä kyberhyökkäyksiä kohtaan. Vastaajat olivat liiketoiminta-, it- ja kyberturvallisuusjohtoa sekä asiantuntijoita.

CGI teki selvityksen edellisen kerran vuonna 2016. Merkittäviä investointeja kyberturvallisuuteen tekevien yritysten määrä on siinä ajassa noussut viisi prosenttiyksikköä, kolmestatoista kahdeksaantoista.

”Se on aivan liian vähän. Suomessa investointivelka kyberturvallisuuteen kasvaa päivä päivältä”, Mickos sanoo.

Ruotsi johtaa Suomea

Paikallisen selvityksen lisäksi CGI on Client Global Insights -ohjelmaansa liittyen syvähaastatellut 1 400 liiketoiminta- ja it-päättäjää Aasiasta, Pohjois-Amerikasta ja Euroopasta, myös Suomesta.

Suomalaisista päättäjistä vain joka seitsemäs (14 %) nimesi organisaatio suojaamisen kyberturmilta yhdeksi tärkeimmistä liiketoimintaprioriteeteistaan. Ruotsalaisista vastaajista kyberturvallisuutta priorisoi joka viides (20 %) päättäjistä.

”Suuri osa yrityksistä luottaa yhä verkkotason kyberturvallisuusvalvontaan. Kuitenkin vain 40 prosenttia haittaohjelmista jää kiinni viruksentorjuntaohjelmistoihin ja palomuureihin. Tietovuodot tapahtuvat yhä useammin sovellusten kautta”, Mickos toteaa.

Kansainvälisesti vertaillen Suomessa tilanne on keskimääräistä heikompi, josta kertoo myös selkeästi määritellyn tietoturvan toimintamallin puuttuminen lähes kolmannekselta (30 %) organisaatioista. Muualla toimintamalli puuttui vain joka kymmenellä (11 %).

”Suomen tilanne ei ole silti täysin toivoton, koska insinöörikansana meillä Suomessa teknologiausko on kovaa. Valitettavasti se on vaan laiha lohtu, koska suurin osa haittaohjelmien havainnoista tehdään asiantuntijoiden toimesta. Ja yllättävän usein tieto löytyneistä haavoittuvuuksista saadaan organisaation ulkopuolisilta tahoilta, kuten asiakkailta, viranomaisilta tai hakkereilta”, Mickos muistuttaa.

Merkittäviä vaikutuksia markkina-arvoon

CGI:n Iso-Britanniassa toteuttamasta tutkimuksesta selvisi, että pörssiyritysten arvo laskee keskimäärin 1,8 prosenttia vakavan tietomurron myötä. Lontoon pörssin sadan suurimman yrityksen (FTSE 100) kohdalla tämä tarkoitti vuonna 2017 keskimäärin noin 135 miljoonaa euroa. Selvityksen mukaan pahimmillaan arvo laski jopa 15 prosenttia. Näiden päälle tulevat mahdollisten GDPR-seuraamusten vaikutukset.

”Digitalisaation kiihtyessä kyberturvallisuus pitäisi olla mitä suuressa määrin johtoryhmätason asia, merkittävä investointi, brändiarvon varmistaja sekä sijoittajia kiinnostava riskitekijä. Jokaisen organisaation arvokkainta pääomaa on sen omistama data – liikesalaisuuksista henkilötietoihin”, summaa Mickos.

Suomalaiselle kyberosaamiselle kansainvälistä kysyntää

CGI osallistuu Suomessa kybertietoisuuden kehittämiseen mm. julkaisemalla tutkimustuloksensa osoitteessa www.cgi.fi/kyber sekä jakamalla tietoturvavinkkejä sosiaalisessa mediassa ja osoitteessa www.cgi.fi/kyber/vinkit.

Yrityksiä ja julkissektorin organisaatioita CGI auttaa yli 40 vuoden kokemuksellaan tietoturvasta ja tietoturvakonsultoinnista. Suomessa CGI on markkinoiden ainoa kyberturvallisuuden kokonaistoimittaja. Jatkossa CGI:n Suomeen perustama kyberturvallisuuskeskus (Security Operations Center, SOC) alkaa tarjota jatkuvaa tietoturvan valvontaa asiakkailleen myös muissa Pohjois-Euroopan maissa.

”Suomalainen tieto-taito on kerännyt tunnustusta ja investointeja myös globaalisti toimivassa yhtiössämme. Jatkossa suomalaisen kyberosaamisen jälki näkyy maailmalla entistä laajemmin”, iloitsee Mickos.

 

Lisätiedot: 

www.cgi.fi/kyber

www.cgi.fi/kyber/vinkit