Viisi tavallista tietoturvariskiä, joihin palveluja tarjoavien yritysten kannattaa kiinnittää huomiota

Ammattilaispalveluja tarjoavia yrityksiä pidetään helppona reittinä asiakkaiden arkaluonteisiin tietoihin, sillä näiden yritysten tietoturvajärjestelyt eivät välttämättä ole yhtä hienostuneita kuin niiden asiakkaiden². Erityinen huolenaihe ovat taloustiedot.

Tutkimustiedot osoittavat, että suurin riski liittyy taloustietoihin.³  Tietoturvarikkomusten määrän pelkästään kirjanpitotoiminnassa arvioidaan kasvaneen lähes kymmenkertaiseksi vuosina 2007–2017, ja mediaanimenetys on 700 000 euroa.²

Mitä sitten ovat ne riskit, jotka tekevät yrityksistä alttiita tietojen menetykselle?

Viisi tietojen menetykseen johtavaa riskiä

Suurimpaan osaan taloustietomurroista on syynä yksi tai useampi näistä yleisistä tekijöistä:

1. Heikot tai varastetut salasanat

Järjestelmä on juuri niin vahva kuin sen heikoin salasana, ja heikot salasanakäytännöt ovat datarikollisille kuin avoin ovi. Erityisen huonoja ovat heikot salasanat, kuten Salasana1, mutta myös monimutkaisemmat salasanat voivat olla murrettavissa, sillä salasanoja murtavat ohjelmat pystyvät käymään lyhyessä ajassa läpi miljoonia muunnelmia.

2. Pahantahtoiset käyttäjät

Käyttäjät, joilla on pääsy arkaluonteisiin tietoihin, voivat saada houkutuksen käyttää etuoikeuttaan väärin joko omaksi hyödykseen tai kostomielessä. Tätä uhkaa auttavat torjumaan tiukat käytönvalvontaperiaatteet. Tunnistus- ja käyttöoikeuskäytäntöjen säännöllinen tarkistaminen rajoittaa käyttäjien pääsyä tietoihin ja pienentää taloustietojen vuotamisriskiä.

3. Käyttäjävirheet

Tietoturvarikkomus voi syntyä myös työntekijän vahingosta: sähköpostiviesti lähtee väärille vastaanottajille, liitteeksi lipsahtaa väärä asiakirja tai luottamuksellista tietoa lähetetään avoimeen tulostimeen, josta tulosteet voi nähdä tai ottaa kuka vain. Torjunnassa tärkeintä on henkilökunnan kouluttaminen. Parhaiden käytäntöjen jakaminen tulostusturvallisuusvinkeistä tietojenkalasteluviestien tunnistukseen auttaa käyttäjiä pysymään valppaina.

4. Ohjelmistojen haavoittuvuudet

Hakkerit pyrkivät löytämään haavoittuvuuksia sovelluksista, ja ohjelmistokehittäjät pyrkivät jatkuvasti korjaamaan niitä julkaisemalla turvallisuuspäivityksiä. Yritysten tulisi asentaa nämä päivitykset mahdollisimman nopeasti niiden julkaisemisen jälkeen, sillä rikolliset kääntävät nopeasti huomionsa hitaasti reagoiviin ja tietomurrolle alttiisiin yrityksiin.

5. Haittaohjelmat

Keskivertoyritys joutuu torjumaan 22 erilaista haittaohjelmaa vuodessa.³  Haittaohjelmat käyttävät hyväkseen järjestelmien haavoittuvuuksia ja soluttautuvat niihin, haittaavat liiketoimintaa tai vievät tietoja. Haittaohjelmien torjuminen vaatii ennaltaehkäisevää strategiaa, jossa käyttäjiä opetetaan olemaan avaamatta epäilyttäviä linkkejä, sähköpostiviestejä ja verkkosivuja sekä miettimään, ennen kuin he lataavat ohjelmistoja verkosta. Yrityksen tasolla sijoittaminen haittaohjelmien torjuntaohjelmistoihin takaa, että turvallisuus- ja tietoturvapäivitykset on asennettu. Tärkeää on myös pitää palomuurin asetukset oikeanlaisina ja palomuuri päällä kaiken aikaa.

Tietojen menetyksen hinta

Kun mahdollisia hyökkäyksiä tulee useilta suunnilta, paras strategia ei ole vain toivoa parasta.

EU:n tietosuoja-asetuksen (GDPR) myötä tietoturvariskien hallitsematta jättäminen voi tulla yritykselle kalliiksi – sekä maineen menetyksen että isojen sakkojen muodossa.

EU:n tietoturva-asetuksessa edellytetään, että yritykset suojaavat tietonsa. Tietoturvarikkomuksesta voidaan määrätä sakko, jonka suuruus voi olla jopa 20 miljoonaa euroa tai 4 % yrityksen maailmanlaajuisesta liikevaihdosta (sen mukaan, kumpi on suurempi), ja tilastot ovat pelottavia.

EU:n tietoturva-asetusta alettiin soveltaa toukokuussa 2018, ja ongelman mittasuhteet kävivät ilmi ensimmäisten kahdeksan kuukauden aikana, sillä Euroopan talousalueella tapahtui 160 000 tietoturvarikkomusta.⁴

10 suurinta GDPR-sakkoa

Tietoturvarikkomuksista vuonna 2019 määrätyt sakot osoittavat, että lainsäätäjät ovat alkaneet rangaista tiukemmin yrityksiä, jotka eivät suojele asiakkaittensa tietoja. Vuonna 2019 kymmenestä suurimmasta GPDR-rikkomuksesta määrättiin yhteensä 402,6 miljoonaa euroa sakkoja.⁵

Vuoden 2019 suurimmat tietoturvarikkomussakot:

1. British Airways
   Sakko: 204 600 000 €
2. Marriott International, Inc
   Sakko: 110 390 200 €
3. Google Inc
   Sakko: 50 000 000 €
4. Austrian Post
   Sakko: 18 000 000 €
5. Deutsche Wohnen SE
   Sakko: 14 500 000 €
6. Bulgarian National Revenue Agency
   Sakko: 2 600 000 €
7. UWV (alankomaalainen henkilöstövakuutusten tarjoaja)
   Sakko: 900 000 €
8. Morele.net
   Sakko: 644 780 €
9. DSK Bank
   Sakko: 511 000 €
10. Haga Hospital
    Sakko: 460 000 €

EU:n tietoturva-asetuksen voimaantulosta huolimatta tietoturvarikkomukset kasvoivat 33 % vuonna 2018–2019.⁶  Tietomurto voi tapahtua hyvinkin yllättävää reittiä.

Tulostimet ovat tietoturvan sokea piste

Hiljattain julkaistussa raportissa havaittiin, että verkkoon liitettyjen laitteiden haavoittuvuuksien hyödyntäminen on kasvussa heikkojen tietoturvakäytäntöjen vuoksi.⁷  Kaikista tietoturvarikkomuksista 11 % liittyy tulostimiin, ja 59 prosentilla yrityksistä on viimeksi kuluneen vuoden aikana ilmennyt vähintään yksi tulostinturvallisuuteen liittynyt tietojen menetys.⁸

Jos ammattilaispalveluja tarjoavissa yrityksissä ei oteta huomioon sitä, että tulostinturvallisuuteen liittyvien tietoturvariskien yleisin syy ovat yrityksen käyttäjien vahingot, vaarana on, että laitteita voidaan pitää itsestäänselvyytenä.¹

Kuitenkin vain joka neljäs IT-ammattilainen sijoittaa tulostinturvallisuuteen, yli puolet ei käytä käyttäjien tunnistautumista ja kolme neljästä ei ole sijoittanut asiakirjojen salaukseen. Siksi voidaan sanoa, että tulostinturvallisuus on yhä sokea piste.⁹

Mikko Pulkkinen, Nordic Sales Manager (Corporate Business) Country Sales Manager Brother Finlandilta kertoo: ”Tietoturvarikkomukset ovat kasvussa. Siksi on tärkeämpää kuin koskaan, että yritykset arvioivat taloustietojensa tietoturvan. Yritysten on alettava hankkia ammattikäyttöön tarkoitettuja laitteita, jotka tarjoavat tarvittavat tulostusturvallisuusominaisuudet tietoturvauhkien ennaltaehkäisemisestä lainsäädännön vaatimusten täyttämiseen.”

Brother suosittelee ammattilaispalveluja tarjoaville yrityksille tulostimia, joissa

– tiedonsiirto IP-verkoissa on suojattu SSL-salauksella

– tulosteet vapautetaan PIN-koodilla tai henkilökortilla, jotta vain valtuutetut henkilöt voivat saada tulosteet haltuunsa.

Lue, miten Brother voi auttaa parantamaan yrityksen tulostusturvallisuutta. Tarkempaa tietoa on Brotherin tietoturvaratkaisujen sivuilla ja muissa tietoturvaa käsittelevissä blogiteksteissämme.

Lähteet:

1. https://gdpr.report/news/2017/06/30/cyber-threat-professionals-time-high/
2. Clyde & Co: "Cyber and privacy risks for professional firms" - 2017
3. Verizon: "2018 Data Breach Investigations Report"
4. statista.com/chart/20566/personal-data-breaches-notified-per-eea-jurisdiction/ - Jan 21, 2020
5. https://www.precisesecurity.com/articles/top-10-gdpr-breaches-in-2019-cause-e402-6-million-fines/
6. Ponemon Institute/IBM Security: "Cost of a Data Breach Report" – 2019
7. National Cyber Security Centre/National Crime Agency 'The cyber threat to UKbusiness' -  2016/2017
8. Quocirca: “Global Print Security Landscape” -  2019
9. Brother: "The print security blind spot"