Teollisuuden yritykset heränneet kyberturvallisuuden vaatimuksiin

07.06.2024
Kuva: Unsplash / Christian Wiediger

Teksti julkaistu aiemmin Yrityssalon sivuilla

Kun yritys ei huolehdi tietoturvastaan, voivat seuraukset olla vakavat. Tietoturvamurto voi johtaa työntekijöiden henkilötietojen varastamiseen, tietojärjestelmien kaatumiseen ja yrityksen mainehaittaan. Tietomurtojen myötä yritykset ovat herkistyneet kyberturvallisuuden kysymyksille.

“Tarve on tunnistettu yrityskentällä. Tietoturvakysymyksistä keskustellaan paljon ja niihin on kaivattua tukea”, kertoo Yrityssalon asiantuntija Markus Laine.

Laine johtaa Yrityssalolla Next Level – Nokka kohti muutosjoustavaa ja kestävää kasvua -projektin toteutusta Salossa. Hän näkee, että tieto- ja kyberturvallisuus on ollut pitkään esillä Yrityssalonkin tapahtumissa. Business breakfast -tilaisuuksissa on keskusteltu aiheesta kansallisella tasolla. Nyt on kuitenkin tarve vastata yritysten huoliin käytännönläheisemmin.

“Pk-yrityksillä tarve voi olla suuri, sillä heillä ei aina ole resursseja varautua tietoturvauhkiin. PK-yritysten tietoturva-aamu -tapahtumassa viime vuonna yritykset saivat vastauksia kysymyksiinsä. Kyseessä ei ole kuitenkaan ollut vain luentotilaisuus, vaan tarjosimme myös mahdollisuuden keskustella tietoturva-asioista”, Laine sanoo.

Verkossa kaikki ovat haavoittuvia

Tietoturva käsittää kaikkea yhteiskunnan infrastruktuurin suojaamisesta viestinnän luotettavuuteen ja yrityksen tuotekehityksen varmistamiseen. Turun ammattikorkeakoulun kyberturvallisuuden lehtori ja Jani Ekqvistin mukaan tyypilliset pk-yrityksiin kohdistuvat riskit ovat jo monille tuttuja.

“Niitä ovat vaikka automatisoidut hyökkäykset ja kalastelu tunnusten luovuttamiseksi. Jos verkosta löytyy jokin tunnettu haavoittuvuus, kuuluu prosessiin, että ensin järjestelmistä varastetaan tietoja, sen jälkeen ne salataan ja sitten pyydetään lunnaita.”

Kustannukset tietoturvan pettämisestä voivat koitua suuriksi. Kun rakennus- ja ympäristötekniikan toimittaja Uponorille murtauduttiin viime vuonna, joutui yritys sulkemaan viikoksi palvelunsa. Siinä ajassa liikevaihdosta suli 35 miljoonaa euroa.

Verkossa kuitenkin kaikki voivat teoriassa olla uhattuja. Kun kytkeydytään verkkoon, ollaan tasapuolisessa asemassa muiden kanssa. Ekqvistin mukaan salolaisyrityksillä varautumistaso on hyvä, mutta ongelmana voi olla resurssien rajallisuus. Juuri tässä yrityksille on tarjolla tukea.

“Mitä pienempi yritys kyseessä, sitä vähemmän sillä on resursseja turvautua ulkopuolisen kyberturvallisuusyrityksen palveluihin. Tapahtumassa esittelimme käytännönläheisiä keinoja pk-yritysten tietoturvan ja ymmärryksen parantamiseen”, Ekqvist sanoo.

Yrityksen vastuu kasvaa

Jos kasvaneet kyberhyökkäykset ja niihin varautuminen ovat olleet yksi kyberturvallisuuden trendeistä, liittyy toinen tietoturvan sääntelyn kiristymiseen. Mitä laki sanoo tieto- ja kyberturvallisuudesta ja mikä on yrittäjän vastuulla?

“Laki velvoittaa yrittäjiä toimialasta riippuen. Nykylainsäädäntö nojaa EU:n vuoden 2018 tietosuoja-asetukseen, mihin yritykset ovat kuuliaisesti sitoutuneetkin. Yhteiskunnan kriittisillä osa-alueilla operoivilla on vielä korkeammat kriteerit. Ne koskevat huoltovarmuuteen liittyviä toimijoita, kuten vesilaitoksia, terveydenhuoltoa tai finanssi- ja kuljetussektoria”, Ekqvist toteaa.

Kun tietoturvakulttuuri muuttuu, keskeiseksi ratkaisuksi muodostuvat standardoinnit ja sertifikaatit. Ne tarjoavat yrityksille tietoturvaa, mutta nostavat myös siihen liittyviä kyvykkyyksiä ja tarjoavat liiketoimintaetua markkinoilla.

“Kyberturvallisuus on tulossa osaksi CE-merkintää. Koska kulutustuotteet ovat enenevissä määrin digitaalisia, tullaan niitä koskevat CE-vaatimuksetkin sovittamaan osaksi tietoturvasääntelyä. Silloin yritys voi käyttää ansaitsemaansa merkintää osana markkinointiaan”, Ekqvist kertoo.

Kiinteä osa liiketoimintaa

Kyberturvallisuudesta on tullut lähtemätön osa yritystoimintaa. Niille pk-yrityksille, joilla ei ole samoja resursseja turvata digitaalista selustaansa kuin suuremmilla, voivat saada tukea ja apua Salo IoT Campuksen Cyber Test Labilta, jossa Ekqvist työskentelee.

Ekqvist kuitenkin muistuttaa, että kaikissa yrityksissä voidaan arkisilla toimillakin varmistaa, että tietoturva-asiat ovat kunnossa.

“Yrityksissä on syytä huolehtia käyttäjätunnuksista ja varmistaa, että ohjelmistot ovat ajan tasalla ja varmuuskopiot tallessa. Jotta kaikki ymmärtävät riskit, tulee henkilöstöä kouluttaa. Siinä ovat kyberhygienian perusteet.”

Laine huomauttaa, että tietoturvasta on tullut kiinteä osa yritysten toimintaa ja uhat tunnistetaan nyt entistä paremmin liiketoiminnan yleisiksi riskeiksi, esimerkiksi luotto- ja sopimusriskien ohella.

“Tietoturvariskit tulee huomioida samoin muutkin yrityksen riskit, ihan hallitustasolla asti. Tietoturvakysymykset tulee kuitenkin jalkauttaa osaksi koko organisaatiota, eikä unohtaa vain johtoportaan puheiksi”, Laine muistuttaa.

Ilmoittaudu Kyberturva 2024 -tapahtumaan

Kyberturva 2024 -tapahtumassa saat kokeneilta asiantuntijoilta arvokkaita vinkkejä oman yrityksesi toimintakyvyn suojaamiseen, digitaaliteknologian hyödyntämiseen ja kyberturvallisuusajattelun kehittämiseen. Tapahtuma järjestetään Uudessakaupungissa 28.8. Lisätiedot ja ilmoittautuminen täällä.