Kyberturva kuntoon, vaikka NIS2 ei velvoittaisikaan
Monet PK-yrityspäättäjät ovat nyt kovan haasteen edessä, sillä kasvava kyberrikollisten joukko etsii keinoja murtautua PK-yrityksiin. Vuonna 2023 lähes puolet (49%) kyberhyökkäyksistä kohdistui alle 500 työllistäviin yrityksiin¹. Ovatko PK-yritykset yhä houkuttelevampia ja myös helpompia hyökkäyskohteita? Onko pienemmissä yrityksissä heikommat valmiudet havaita tietosuojaloukkauksia kuin suuremmissa?
NIS2-tietoturvadirektiivi ja EU Cyber Resilience Act (CRA) vaativat myös PK-yritysjohdolta toimenpiteitä, jotta yritys voi vastata kyberuhkiin ja kiristyvään regulaatioon. NIS2:n, jota on kutsuttu myös GDPR 2:ksi, soveltaminen alkaa jo 18.10.2024. Sillä on tarkoitus vahvistaa kyberturvatasoa EU-maissa ja lisätä yritysten kyberturvaa kriittisen tärkeillä toimialoilla. NIS2 koskettaa laajaa joukkoa PK-yrityksiä, joissa tarvitaan tehokkaita ratkaisuja ja parempia käytäntöjä tietomurroilta suojautumiseen. Yrityksiltä vaaditaan siis yhä parempaa resilienssiä, eli valmiutta ja sietokykyä, yhä digitaalisemmassa maailmassa.
Palveluiden ja tuotteiden digitalisoituminen sekä verkkoon kytketyt IoT-laitteet ovat lisänneet rajapintoja tietomurtojen tekemiseen samaan aikaan kun esimerkiksi internetistä voi ostaa hyökkäyksiin työkaluja ja käyttäjätunnuksia. Vuonna 2023 tehdyissä hyökkäyksissä käytettiin haittaohjelmia vain joka neljännessä hyökkäyksessä². Pilvipalveluihin murtautuminen kasvoi vuoteen 2022 verrattuna peräti 75 prosenttia. Teknisiä huipputaitoja ei kyberrikollisilta enää vaadita, ja siksi yhä useampi voi ryhtyä hakkeriksi.
Mitä NIS2 vaatii käytännössä?
NIS2:n velvoitteiden rikkomisesta voi seurata yritysjohdolle sanktio, joka on jopa 10 miljoonaa euroa tai 2 prosenttia yrityksen globaalista liikevaihdosta. Suomessakin on viime aikoina puitu julkisuudessa merkittäviä tietomurtoja, joissa verkkorikollinen on saanut haltuunsa henkilötietoja ja muuta luottamuksellista tietoa. Kyberturvallisuuskeskuksen arvion mukaan suomalaisiin yrityksiin kohdistuvat palvelunestohyökkäykset jatkuvat myös tänä vuonna³.
Yritysjohto on vastuussa siitä, että organisaatiossa edistetään määrätietoisesti kyberturvallisuutta parantavia teknisiä ja operatiivisia toimenpiteitä. Johdon täytyy oikeasti myös valvoa toimenpiteiden ja turvallisten käytäntöjen toteuttamista. Viranomaiselle pitää raportoida tietosuojaloukkauksista 24 tunnin sisällä sen havaitsemisesta, kun GDPR jättää siihen 72 tuntia aikaa.
Jokaisesta yrityksestä löytyy tietoturvan osalta varmasti asioita, joita pitää jatkuvasti parantaa. Suosittelen aloittamaan laitteiden, työasemien ja verkkojen tietoturvan kartoittamisesta. Myös datan suojaamisen ja luokittelun tärkeys kasvaa päivä päivältä. Onko teillä kaikki keinot pilvipalveluiden turvaamiseksi varmasti käytössä? Hakkeri ei pääse henkilöstön sähköposteihin ja yrityksenne tietojärjestelmiin ostamillaan tai varastamillaan tunnuksilla, kun yrityksessä käytetään kaksivaiheista tunnistautumista.
Tänä päivänä on yhä painavampia syitä olla herättämättä hakkereiden kiinnostusta.
Mika Huhtiniemi, Toimitusjohtaja, WeGo Group
¹Truesec, Threat Intelligence Report 2024.
²CrowdStrike 2024, Global Threat Report
³Kyberturvallisuuskeskus, 2.2.2024