Huomaa, että monet tekstin linkeistä vievät englanninkielisille verkkosivuille

Organisaatiot eivät voi enää jättää kyberturvallisuutta huomiotta. Tietoturvarikkomukset aiheuttavat liiketoiminnan vaarantavia katkoksia ja taloudellisia menetyksiä, vahingoittavat brändin mainetta ja karkottavat asiakkaita. Vuoden 2020 ensimmäisen puoliskon aikana on tapahtunut enemmän kyberhyökkäyksiä kuin vuonna 2019 yhteensä. Sen vuoksi verkkosivuston tietoturvasta huolehtiminen on tärkeämpää kuin koskaan.

Vaikka riskit kasvavat jatkuvasti, monet organisaatioista eivät suojele itseään, verkkosivustojaan tai asiakkaitaan riittävästi. Tässä artikkelissa käymme läpi muutamia yleisimpiä verkkosivustojen tietoturvaan liittyviä virheitä, joita yritykset tekevät.

1. Työntekijät eivät ole tietoisia kyberturvallisuudesta

Kybervakuutusyhtiö CFC Underwritingin tietojen mukaan 38 % sille saapuneista korvausvaatimuksista olisi voitu välttää, jos työntekijöille olisi järjestetty kunnollinen kyberturvallisuuskoulutus.

On huojentavaa kuulla, että yritykset voivat ehkäistä tietomurtoja parantamalla tietoisuutta verkon tietoturvasta ja luomalla organisaatioonsa hyvän digitaalisen turvallisuuden kulttuurin. Silti monet työnantajista eivät tee toimi, vaikka kyberturvallisuuteen liittyvän tietämyksen puutteen ja hyökkäysten onnistumisen välillä on selkeä yhteys. Vuonna 2019 tehdyssä tutkimuksessa selvisi, että vain 20 % Ison-Britannian yrityksistä on järjestänyt henkilöstölleen kyberturvallisuuskoulutusta edellisten 12 kuukauden aikana.

Ratkaisu: Organisaatiosi tietoturva on yhtä vahva kuin sen heikoin lenkki. Kyberturvallisuuden peruskoulutuksen järjestäminen työntekijöille on auttaa vähentämään tietoturvaan liittyviä ongelmia. Se on myös yksi halvimmista ja tehokkaimmista tavoista suojella organisaatiotasi.

Eräs yleisimmistä syistä olla järjestämättä henkilöstölle kyberturvallisuuskoulutusta on, ettei tiedetä, mistä aloittaa. Mistä siis kannattaa aloittaa? Aloita helpoimmista toimista.

  • Poista yrityksestä lähteviltä työntekijöiltä välittömästi pääsyoikeudet, jotta he eivät voi lähtönsä jälkeen käyttää järjestelmiäsi. Poista entisten työntekijöiden henkilökohtaisista laitteista kaikki yrityksen tiedot.
  • Vanhentuneet ohjelmistot tarjoavat kyberrikollisille avoimet ovet, joten päivitykset ja korjaustiedostot on asennettava heti.
  • 94 % haittaohjelmista lähetetään verkkoihin sähköpostin kautta. Toisin sanoen haitalliset linkit ja liitetiedostot ovat organisaatioille valtava ongelma. Sähköpostin roskapostisuodatin ei myöskään riitä sen ratkaisemiseen. Puutu sähköpostin heikkoon tietoturvaan järjestämällä koulutuksia, joissa työntekijöitä opetetaan tunnistamaan ja välttämään epäilyttävät sähköpostiviestit ja tekemään niistä ilmoitus. KnowBe4:n tietojen kalastelua koskevan vertailevan raportin mukaan vuoden kestänyt koulutus ja sen yhteydessä tehdyt tietojenkalastelutestit paransivat tietoturvaa 87 %.
  • Huonosti vartioidut käyttäjätunnukset ja salasanat ovat toinen yleinen tietoturvauhka, ja 61 prosentissa yrityksistä on yli 500 tiliä, joiden salasanat eivät vanhene. Neuvo, kuinka vahvoja kirjautumistunnuksia luodaan ja suojataan tai käytä salasanojen hallintapalvelua, joka luo ja tallentaa salasanat puolestasi turvallisesti.
  • Se, että työntekijät käyttävät töissä omia laitteitaan, altistaa yrityksesi uusille uhkille. Voit pienentää riskiä rooleihin perustuvilla käyttöoikeuksilla, kaksivaiheisella todennuksella ja työntekijöiden vahvoilla salasanoilla.
  • Kyberrikolliset hyödyntävät myös kadonneiden ja varastettujen laitteiden tietoja. Tarjoa työntekijöille koulutusta siitä, kuinka yrityksen laitteita käytetään toimiston ulkopuolella, ja luo prosessi kadonneista laitteista ilmoittamista varten.
  • Anna selkeät ohjeet sosiaalisen median käyttöön töissä. Joka viides organisaatio on saanut järjestelmäänsä sosiaalisen median kautta levitetyn haittaohjelman.
  • Huolehdi siitä, että työntekijät asentavat laitteisiinsa aina korjaustiedostot ja päivitykset, sillä niiden julkaisemiseen on hyvä syy.
  • Kerro työntekijöille, miksi kyberturvallisuudesta huolehtiminen on tärkeää, kun ollaan tekemisissä kolmannen osapuolen ohjelmistojen tai IT-palveluntarjoajien kanssa.

Näiden yksinkertaisten toimien noudattaminen estää monet yleiset kyberhyökkäykset.

2. Yrityksellä ei ole kyberturvallisuuskäytäntöä

Ison-Britannian digitaalisuuden, kulttuurin, median ja urheilun ministeriön tutkimuksessa kävi ilmi, että vaikka kolme neljäsosaa organisaatioista pitää kybertuvallisuutta ensisijaiset tärkeänä, harva toimii sen parantamiseksi. Vain 27 prosentilla organisaatioista on käytössä virallinen kyberturvallisuuskäytäntö. Ilman kyberturvallisuuskäytäntöä organisaatiosi saattaa olla altis hyökkäyksille.

Tehokas kyberturvallisuuskäytäntö sisältää IT-järjestelmien ja yrityksen tietojen suojelemiseen liittyvät säännöt ja vastuut. Sen lisäksi työntekijöiden tietoisuutta tietoturvasta pitäisi lisätä.

McAfeen määrityksen mukaan kyberturvallisuuskäytäntö on asiakirja, joka ”selittää säännöt, joiden mukaan työntekijät, konsultit, kumppanit, johtokunnan jäsenet ja muut loppukäyttäjät käyttävät verkkosovelluksia ja Internet-resursseja, lähettävät tietoja verkossa ja huolehtivat muulla tavoin tietoturvasta vastuullisesti”.

Kyberturvallisuuskäytännöt voivat myös parantaa yrityksen julkisuuskuvaa ja uskottavuutta. Asiakkaiden, kumppaneiden, sidosryhmien jäsenten, konsulttien ja työntekijöiden on tiedettävä, että suojelet heidän tietojaan. Yrityksen kyberturvallisuuskäytäntö on hyvä tapa näyttää, että suhtaudut tietoturvaan vakavasti.

Ratkaisu: Laadi virallinen asiakirja, jossa ilmaistaan selkeästi yrityksesi tietoturvakäytännöt ja annetaan työntekijöille selkeät ohjeet siitä, mitä yrityksen IT-järjestelmillä, verkoilla ja laitteilla saa tehdä.

Hyvä yrityksen kyberturvallisuuskäytäntö määrittää yrityksen laajuiset standardit seuraaville:

  • sosiaalisen median käyttäminen
  • Internetin käytön rajoitukset
  • salasanavaatimukset (säilyttäminen, päivittäminen ja luominen)
  • etäkäyttö
  • digitaaliset allekirjoitukset
  • arkaluontoisten tietojen käsitteleminen
  • langaton viestintä
  • sähköpostin tietoturvatoimet
  • kolmannen osapuolen sovellusten käyttäminen
  • kyberturvallisuusuhkan tai häiriön käsitteleminen

Koska kyberturvallisuusuhat muuttuvat jatkuvasti, on tärkeää pitää kyberturvallisuuskäytäntö ajan tasalla. Varaa aikaa käytännön säännölliselle tarkistamiselle ja kehittämiselle. 

3. Yritys ei palkkaa osaavaa henkilöstöä huolehtimaan kyberturvallisuudesta

Vaikka inhimilliset erehdykset ovat usein syy kyberhyökkäysten onnistumiseen, ne eivät ole ainoa syy. Tekniset haavoittuvuudet ovat myös valtava riskitekijä. Sen vuoksi tarvitaan osaavaa henkilöstöä huolehtimaan kyberturvallisuudesta. Siitä huolimatta Marlin Hawkin tutkimuksesta käy ilmi, että kaksi kolmasosaa yrityksistä ei saa rekrytoitua kokeneita tietoturva-asiantuntijoita ja 62 % on huolissaan siitä, että rekrytointi vaikeutuu entisestään seuraavien viiden vuoden aikana.

Jos yritys onnistuukin palkkaamaan kyberturvallisuuden ammattilaisen, kyseinen henkilö viettää todennäköisesti suurimman osan ajastaan hyökkäyksiä torjuen. Jos aika tai resurssit eivät riitä, kyberturvallisuuden ammattilaisten voi olla vaikeaa laatia ja toteuttaa toimia, jotka parantaisivat yrityksen verkkosivuston tietoturvaa pitkällä aikavälillä.

Koska kyberturvallisuusosaamisen kysyntä tulee jatkossakin olemaan tarjontaa suurempaa ja jo ennestään äärirajoilla toimivat IT-työntekijät joutuvat torjumaan entistä monimutkaisempia kyberuhkia, monella yrityksellä ei ole riittäviä resursseja puolustautua hyökkäyksiä vastaan.

Ratkaisu: Vastaus on automaatio. Automaation lisääminen kyberturvallisuusprosesseihin saattaa kaventaa tätä kuilua, sillä se auttaa yrityksiä valvomaan uhkia jatkuvasti ja parantamaan kyberturvallisuuttaan yrityksen kasvaessa jopa silloin, kun käytössä on rajoitettu määrä henkilöstöä ja resursseja.

Jotkin verkonvalvontatyökalut, kuten Siteimprove Web Security, on suunniteltu paitsi tunnistamaan verkkosivustojen haavoittuvuudet myös ehdottamaan ennakoivia korjaustoimia. Verkkosivustojen ylläpitäjät voivat helposti hoitaa tietyt näistä toimista, kuten verkkosivustojen varmenteiden vanhenemispäivien seuraamisen. Näin kyberturvallisuuden ammattilaisille jää enemmän aikaa keskittyä monimutkaisempiin tietoturvariskeihin.

Mastercardin turvallisuuspäällikön Ron Greenin mukaan automaatioteknologiat ovat hyvä apu kyberturvallisuuden ammattilaisille. ”Koneoppiminen ja automaatio tulevat auttamaan tulevaisuuden tietoturvajohtajia todella paljon”, Green sanoo. ”Yritykset tulevat jatkossakin tarvitsemaan ihmisiä huolehtimaan tietoturvasta, mutta tietoturvan parissa työskentelevät ihmiset ovat jo nyt ylikuormitettuja, koska seurattavia asioita on niin paljon. Ihmisten lisääminen ei ole ratkaisu, koska osaavia ihmisiä ei nytkään ole tarpeeksi.”

4. Verkkosivuston tietoturvaan suhtaudutaan IT-ongelmana, ei liiketoiminnan ongelmana

EY:n kansainvälisen johtokunnille tehdyn riskitutkimuksen tiedot osoittavat, että lähes puolet (48 %) johtokunnista uskoo kyberhyökkäysten ja tietomurtojen vaikuttavan yrityksiinsä enemmän kuin kohtuullisesti seuraavien 12 kuukauden aikana. Siitä huolimatta suurin osa näkee verkkosivustonsa tietoturvasta huolehtimisen säännösten noudattamisena, ja vain murto-osa eli 7 % on sitä mieltä, että se mahdollistaa uusia innovaatioita.

Organisaatiot, joiden mielestä kyberturvallisuus on yksinomaan IT-osaston vastuulla, jättävät käyttämättä verkkosivuston tietoturvan priorisoinnin tuomat strategiset edut. Tällaisia etuja ovat muun muassa asiakkaiden luottamuksen voittaminen, aineettoman omaisuuden turvaaminen ja brändin suojeleminen. Aliarvioidessaan kyberturvallisuusuhkien laajuuden yritykset asettavat itsensä vaaraan.

Tämän vuoksi kyberrikosten ennakointi on liiketoiminnan kannalta tärkeää:

  • Tietomurrosta aiheutuu nyt keskimäärin 3,86 miljoonan dollarin tuntuvien taloudellisten menetysten lisäksi muita tietomurron vaikutuksia yrityksille ovat asiakkaiden menettäminen, tuottavuuden väheneminen, liikearvon pieneneminen ja maineen vahingoittuminen.
  • Useimpien yritysten tärkein resurssi on niiden immateriaaliomaisuus. Se sisältää patentit, suunnitelmat, liikesalaisuudet, luottamukselliset tiedot ja työntekijöiden osaamisen. Kuvittele, että ne joutuisivat vieraisiin käsiin. Pelkästään Yhdysvalloissa yritykset menettävät varastetun immateriaaliomaisuuden vuoksi jopa 600 miljardia dollaria vuosittain.
  • Useimmat kuluttajat (87 %) sanovat vaihtavansa yritystä, jos he eivät luota siihen, että yritys käsittelee heidän tietojaan vastuullisesti.
  • Kalliit oikeudenkäyntikulut ja oikeusjutut. Nykyään esimerkiksi yleisen tietosuoja-asetuksen (GDPR) nojalla voidaan yrityksiltä periä jopa 4 % niiden vuotuisesta liikevaihdosta. Pelkästään asetuksen käyttöönottovuonna GDPR-sakkoja määrättiin yhteensä 63 miljoonaa dollaria.
  • Yrityksen resurssien ohjaaminen tietomurtojen käsittelemiseen voi heikentää yrityksen tehokkuutta.
  • Tietomurtojen tutkimista varten on perustettava erityisiä johtokuntia ja komiteoita, mikä vie aikaa ja resursseja.
  • Ei pidä myöskään unohtaa PR-kuluja, joita syntyy kuluttajien, sidosryhmien ja suuren yleisön luottamuksen palauttamisesta julkisuuteen päätyneen tietomurron jälkeen.

Kuulostaako tämä siis pelkältä tekniseltä ongelmalta? Ei. Se on liiketoiminnan ongelma, ja vakava sellainen.

Mikä sitten on suurin este verkkosivuston tietoturvan priorisoimiselle liiketoiminnan ongelmana? Johdon tuen puute. Vaikka otsikoissa kerrotaan jatkuvasti katastrofaalisista tietomurroista, vain 5 % ylemmän tason johtajista pitää verkkosivuston tietoturvaa yrityksensä tärkeimpänä hankkeena. Tämä tukee brittiläisen tutkimuksen tietoja, joiden mukaan alle kolmasosassa yrityksistä on johtokunnassa jäsen, joka on vastuussa kyberturvallisuudesta.

Turvallinen verkkosivusto hyödyttää liiketoimintaa

Onneksi näyttää siltä, että tilanne on muuttumassa, sillä 29 % yrityksistä sanoo nyt, että tietoturva kuuluu johtoryhmän vastuualueisiin. Niitä organisaatioita, jotka huolehtivat siitä oikein, hyvä kyberterveys voi auttaa erottumaan kilpailijoista. 73 % johtavista AT&T Cybersecurityn kyselytutkimukseen osallistuneista organisaatioista oli sitä mieltä, että hyvä kyberturvallisuus on yksi osatekijä heidän menestymisessään.

Ratkaisu: Aseta verkkosivuston tietoturva etusijalle. Tehokas tietoturva edellyttää ylimmän johdon sitoutumista. Jotta se onnistuu, nimitä tietoturvajohtaja. Koska vain neljällä organisaatiolla kymmenestä on ylimpään johtoon kuuluva kyberturvallisuusjohtaja, voit saada siitä todellista kilpailuetua. Anna tietoturvajohtajan tehtäväksi kertoa ylimmälle johdolle kyberturvallisuuteen liittyvistä riskeistä ja kyberturvallisuusinvestointien tuotosta ja hankkia heidän tukensa tietoturvakeskeisen yrityskulttuurin luomiselle.

Johtokunta ja ylempi johto joutuvat yhä useammin vastuuseen yrityksissään tapahtuneista tietomurroista. Equifaxin puheenjohtaja ja toimitusjohtaja Richard Smith erosi tehtävästään vuonna 2017, kun hakkeri pääsi käsiksi yli 145 miljoonan asiakkaan arkaluontoisiin tietoihin. Sen takia kannattaa varmistaa riittävät resurssit verkkosivuston suojelemiseen.

5. Verkkosivustojen turvallisuuden tarkastamista lykätään

Organisaatiot voivat puolustautua parhaiten ennakoimalla, eivät reagoimalla. Säännöllinen tietoturva-auditointi on tärkeää, jotta voidaan löytää haavoittuvuudet, määrittää riskitasot ja tehdä ehkäiseviä toimia. Koska auditointi vie paljon resursseja ja aikaa, se  tehdään yleensä vain pakon edessä.

Jos organisaatiossa ei ole omia tietoturva-ammattilaisia, auditointien järjestäminen voi olla erityisen haastavaa. Manuaalinen tarkastaminen vaatii teknistä osaamista, jota monella verkkosivuston ylläpitäjällä ei ole.

Tästä seuraa parhaassa tapauksessa turhia kuluja, kun organisaatiot perustavat tietoturvastrategiansa arvauksiin eivätkä korjaa haavoittuvuuksia uhkien prioriteetin ja tietojen perusteella. Pahimmassa tapauksessa tuloksena on verkkosivusto, joka on täynnä tietoturva-aukkoja ja haavoittuvuuksia.

Ratkaisu: Investoi työkaluun, joka etsii tärkeimpiä verkkosivustojen haavoittuvuuksia automaattisesti. Kertatarkastus ei riitä, eikä pään hautaaminen hiekkaan ei myöskään auta. Tietoturva on luonteeltaan dynaamista eli sivustoa on tarkkailtava uhkien varalta jatkuvasti.

On kuitenkin tapoja helpottaa verkkosivuston auditointia.  

  • Voit antaa teknologian tehdä automaattisia tietoturvatarkastuksia säännöllisesti.
  • Automaattisten tietoturvatarkastusten ja manuaalisen testaamisen yhdistelmä on tehokkain tapa analysoida sivuston tietoturvan tilaa. Siteimprove Web Securityn kaltaiset työkalut toimivat yhteistyöalustoina, joilla verkko- ja IT-tiimit voivat hallita tietoturvauhkia keskitetysti.

6. Ajatellaan, ettei koolla ole väliä

Nintendo. Yahoo! Zoom. Mitä yhteistä näillä yrityksillä on? Ne ovat suuria yrityksiä, jotka ovat joutuneet nolojen julkisten tietomurtojen kohteeksi. Koska media kertoo yleensä kaikkien tuntemista yrityksistä, monet pienet ja keskisuuret yritykset kuvittelevat, etteivät voi joutua kyberhyökkäysten kohteiksi. Totuus on kuitenkin, että koska pienten yritysten on nykyään vaikeaa löytää kokopäivätoimisia tietoturva-asiantuntijoita, ne ovat usein helppoja kohteita kyberrikollisille. Lähes puolet kyberhyökkäyksistä kohdistuivat pienyrityksiin.

Mikä huolestuttavampaa, vuonna 2020 tehdyn tutkimuksen mukaan 43 prosentilla pienyrityksistä Yhdysvalloissa ja Isossa-Britanniassa ei ole minkäänlaista kyberturvallisuussuunnitelmaa.

Se voi olla jopa lainvastaista. Esimerkiksi Yhdysvalloissa jopa pienyritysten, joita liittovaltion vaatimukset eivät koske, on huolehdittava siitä, että niiden tietoturva vastaa vähimmäisvaatimuksia. Yritykset voivat myös joutua syytteeseen, jos niiltä varastetaan kyberhyökkäyksessä kuluttajien tietoja ja ne ovat laiminlyöneet tietoturvavaatimuksia. Jotkin osavaltiot, kuten Kalifornia ja New York, ovat ottaneet käyttöön yritysten tietoturvavaatimukset.

BullGuardin toimitusjohtaja Paul Lipmanin mukaan ”pienyritykset eivät ole immuuneja kyberhyökkäyksille ja tietomurroille ja joutuvat usein hyökkäysten kohteiksi, koska ne eivät todennäköisesti huolehdi tietoturvasta riittävän hyvin. Jos pienyritysten omistajat joutuvat valitsemaan riittämättömien kuluttajaratkaisujen ja monimutkaisten yritysohjelmistojen välillä, he jättävät usein kyberturvallisuuden kokonaan huomiotta. Yksikin hyökkäys riittää kuitenkin kaatamaan yrityksen.”

RatkaisuKyberhyökkäykset voivat olla pienyrityksille kohtalokkaita. Ensimmäinen vaihe puolustautumisessa on ymmärtää, että voit joutua hyökkäyksen kohteeksi.

Rajoitettujen resurssien ja rekrytointiongelmien kanssa painiville pienyrityksille on kehitetty erityisiä verkon tietoturvaratkaisuja, kuten Siteimprove Web Security. Ne auttavat pieniä tiimejä ymmärtämään ja parantamaan verkon tietoturvaa ilman, että heidän tarvitsee hallita yritystason monimutkaiset tietoturvaohjelmistot ja termit.

Paranna kyberterveyttäsi Siteimprove Web Securityn avulla

Näille virheille yhteistä on se, että ne voidaan ehkäistä ennakoivalla, automaattisella ja yhteistyöhön perustuvalla lähestymistavalla verkkosivuston tietoturvaan. Paras tapa suojata yrityksesi kyberhyökkäyksiltä on integroida verkkosivuston tietoturva digitaalisen strategiasi kaikkiin osiin.

Noudattamalla verkon tietoturvan parhaita käytäntöjä, antamalla työntekijöille kyberturvallisuuskoulutusta ja investoimalla luotettavien palveluntarjoajien puolustustekniikoihin, voit suojata yrityksesi kasvavalta kyberrikollisuuden uhalta.

Haluamme auttaa sinua suojelemaan yritystäsi, verkkosivustoasi ja asiakkaitasi kyberrikollisilta. Sen vuoksi julkaisimme Siteimprove Web Securityn. Web Security helpottaa IT-tiimin ja muun organisaation yhteistyötä antamalla kaikille samat tiedot. Se tarjoaa selkeän näkymän verkkosivustosi haavoittuvuuksista (Web Application [verkkosovellus], Network [verkko] ja Server [palvelin]) ja priorisoidut, kohdistetut suositukset niiden korjaamista varten.

Lue blogistamme, kuinka Siteimprove Web Securityn ominaisuudet suojaavat verkkosivustoasi.