Tietoturvasta huolehtiminen on osa liiketoimintaa

Tänä vuonna 7. helmikuuta jo kolmatta kertaa vietettävän Kansallisen tietoturvapäivän erityisenä teemana on pienten ja keskisuurten yritysten tietoturva. Tietoturvapäivän tavoitteena on antaa pk-yrityksille eväitä tunnistaa tietoturvan merkitys oman yrityksen liiketoiminnan kannalta ja auttaa luomaan pelisäännöt, joilla yrityksen toimintaa voidaan muuttaa tietoturvallisemmaksi.

Julkishallinnon, elinkeinoelämän ja järjestöjen yhteinen Kansallisen tietoturvapäivä suunataan nyt ensimmäistä kertaa pk-yrityksille. Edellisvuoden tapaan kohderyhmänä ovat myös peruskoululaiset, heidän opettajansa ja vanhempansa. Lisäksi koko kansalle verkon kotikäyttäjinä tarjotaan entistä kattavammin tietoturvatietoa uudistuvan tietoturvaopas.fi-sivuston kautta.

Pk-yrittäjän tietoturvapaketti nettiin

Pk-yritysten käyttöön avataan laaja verkkopalvelu, johon kootaan monipuolista tietoturvatietoa yritysten näkökulmasta. Palvelu on helppokäyttöinen ja käytännönläheinen tietopaketti, josta yrittäjä saa arjen liiketoimintaan kytkeytyvää tietoa ja työkaluja oman yrityksen tietoturvan nostamiseen. Sivustolta löytyy muun muassa malli tietoturvariskien kartoitukseen sekä tarkistuslistoja ja esimerkkejä yrityksen tietoturvakäytäntöjen luomiseen. Verkkopalvelu avataan 7.2.2006 tietoturvaopas.fi-sivuston yhteyteen.

Tietoturvapäivän tarkoituksena on lisätä suomalaisten tietämystä internetin mahdollisuuksista, mutta myös tietoturvauhista sekä keinoista, joilla uhkilta voi suojautua ja välttyä. Myös oikea asenne tietoturvaan on tärkeä: tietoturva on yhteinen asia ja jatkuva prosessi. Sitä ei voi hoitaa kerralla kuntoon ja sen jälkeen olettaa, että tilanne pysyy kunnossa muuttuvassa ympäristössä.

Tietoturva on muutakin kuin tekniikkaa

Yrityksissä tietoturva on ensisijaisesti inhimillisten tekijöiden summa. Tampereen teknillisen yliopiston tuoreen tutkimuksen mukaan 60-70 prosenttia yritysten tietoturvauhista tulee yritysten sisältä. Palomuuri ja virustorjunta ovat usein kunnossa, mutta työntekijöiden sitouttaminen tietoturvallisiin työtapoihin ja asenteisiin vaatii monessa yrityksessä vielä paljon työtä. Tämän vuoksi henkilöstön koulutusta tietoturva-asioissa ei sovi unohtaa.

Keskuskauppakamarin ja Helsingin kauppakamarin tekemän selvityksen mukaan yrityksissä on kiinnostusta kehittää tietoturvaansa, henkilö- ja avainhenkilöturvallisuuttaan sekä toimitilaturvallisuuttaan. Yritykset haluavat myös lisää tietoa viranomaisilta yrityksiin kohdistuvista rikoksista.

Liikkuvuus lisää riskejä

Yritysten näkökulmasta tietoturvan uudet haasteet liittyvät muun muassa työn liikkuvuuteen: kannettavat tietokoneet ja älypuhelimet vaativat oman tietoturvapanostuksensa ja jopa suurempaa huolellisuutta käyttäjiltään kuin perinteiset kiinteät laitteet. Myös yritysten verkottuneisuus on tuonut mukanaan uusia haasteita niin järjestelmien integroitumisen kuin tietoturvallisuudenkin kannalta. Yrityksen järjestelmät ovat kiinni toisissaan ja toisaalta yhdistettynä internetiin, yhteistyökumppaneiden järjestelmiin jne.

Kannettavia tietokoneita käytetään usein myös yrityksen ulkopuolisissa verkoissa. Ulkoiset, erityisesti julkiset verkot, ovat hyvin avoimia, jolloin kannettavan tietokoneen suojauksen pitää olla kunnossa. Suojaamaton tietokone saattaa saastua, ja kun saastunut tietokone tuodaan takaisin yrityksen verkkoon, tartunta voi levitä yrityksen sisäverkossa kaikkiin tietokoneisiin.

Hyökkäykset entistä ammattimaisempia

Yritysten investoinnit tietoturvaan ovat monesti vähäisiä, sillä tietoturvalla saavutettavia liiketoiminnallisia hyötyjä ei välttämättä aina osata nähdä oman yrityksen kannalta. Lisäksi investointien tuotosten mittaaminen voi olla vaikeaa.

Mahdollisia ongelmatilanteita kannattaa kuitenkin ennakoida. Tietokoneisiin ja järjestelmiin murtautuvia hyökkääjiä kiinnostaa yleensä enemmän laitteiden resurssien haltuun saaminen, kuin koneilla olevat tiedot. Kiinnostavia kohteita ovat erityisesti koti- ja pk-yrityksissä käytössä olevat tietokoneet, jotka ovat usein tehokkaita, niissä on paljon levytilaa ja nopeat laajakaistayhteydet. Suojaamattomat tietokoneet voidaan ottaa hyökkääjän haltuun joko käyttäjää huijaamalla tai ohjelmistojen haavoittuvuuksia hyödyntävien hyökkäysten kautta. Tietokoneen suojaaminen erilaisilta haittaohjelmilta käyttöjärjestelmän päivityksillä, palomuurilla ja virustorjuntaohjelmalla on edelleen tärkeä osa tietoturvaa. Tärkeää on myös tietää, mitä yrityksen tietoja on turvallista luovuttaa ulkopuolisille.

Haltuun otettuja tietokoneita voidaan käyttää esimerkiksi roskapostiviestien levittämiseen, palvelunestohyökkäysten tekemiseen tai käyttäjän henkilökohtaisten tietojen kalasteluun. Haltuun otetuilla tietokoneilla käydään kauppaa, sillä tietokoneiden murtamisella rikolliset voivat ansaita selvää rahaa. Ammattimaisuus ja taloudellisen hyödyn tavoittelu ovatkin lisääntyneet viime vuosina merkittävästi tietoturvarikoksissa.

Tietoturva on menestystekijä

Tieto on yrityksen omaisuutta - se on yrityksen arvokasta pääomaa ja merkittävä kilpailutekijä. Verkottuneessa toimintaympäristössä yrityksillä on myös paljon muiden toimijoiden tietoa. Tietoturvallisuusjärjestelyt suojaavat yrityksen tietoa monenlaisilta uhkilta liiketoiminnan jatkuvuuden varmistamiseksi, vahinkojen minimoimiseksi ja investoinneista sekä liiketoiminnan mahdollisuuksista saadun tuoton maksimoimiseksi. Tietoturvasta huolehtiminen on osa yrityksen liiketoimintaa.

Tärkeintä yritykselle on suojata ja varmistaa oman liiketoiminnan kannalta tärkeät tiedot, joiden vaurioituminen tai joutuminen vääriin käsiin vaikeuttaisi toimintaa ja uhkaisi kannattavuutta. Erityisesti pienille ja keskisuurille yrityksille tietoturvaongelmat voivat koitua kohtalokkaiksi, sillä pk-yrityksillä on suuryrityksiä pienemmät resurssit selviytyä tapahtuneesta vahingosta. Myös laki velvoittaa yrityksiä suojaamaan esimerkiksi henkilötiedot.

Tietoturvapäivä 2006 -hanke tekee yhteistyötä muiden pk-yritysten tietoturvahankkeiden, kuten TE-keskusten järjestämän Tietotekniikka menestystekijäksi -seminaarikiertueen kanssa.
Kristiina Klemetti

Viestintäpäällikkö, Tietoliikenteen ja tietotekniikan keskusliitto, FiCom ry, Kansallinen tietoturvapäivä 2006 -hankkeen vastuusihteeri