Lähes kaksi kolmesta suuresta ja keskisuuresta suomalaisyrityksestä uskoo joutuvansa kyberhyökkäyksen kohteeksi seuraavan kahden vuoden aikana. Tulokset selviävät CheckPoint Softwaren ja Loihde Trustin tuoreesta tietoturvaselvityksestä ”Suomalaisten organisaatioiden tietoturva 2023–2025.”
Selvityksestä käy ilmi, että vaikka kyberhyökkäyksen kohteeksi joutumiseen uskotaan vankasti, merkittäviä turvallisuusinvestointeja ei silti aina olla valmiita tekemään. Vastaajista 66 prosenttia kertoi investoivansa tietoturvaan alle 250 000 euroa seuraavien kolmen vuoden aikana. Vieläkin pienempiä lukuja löytyi.
12,6 prosenttia vastanneista oli valmis investoimaan alle 25 000 euroa. Tuloksia esitellyt Loihde Trustin johtava tietoturva-asiantuntija Benjamin Särkkä hämmästeli lukua. ”Summalla ei palkata edes yhtä asiantuntijaa. Joko hommat ovat todella hyvin kunnossa tai ymmärrystä tietoturvan vaatimuksista pitää lisätä.”
Jopa 62 prosenttia vastaajista uskoi joutuvansa kyberhyökkäyksen kohteeksi seuraavan kahden vuoden aikana. Määrä nousi 76 prosenttiin, kun tarkasteltiin vain suuria, yli 100 miljoonan euron liikevaihdon omaavia yrityksiä.
Check Point Softwaren Suomen ja Baltian maajohtaja Viivi Tynjälä toteaa, että yrityksissä ei välttämättä aina nähdä tietoturvaa liiketoiminnan mahdollistajana ja kannattavuuden lisääjänä, vaan vain välttämättömänä kulueränä ja resurssien viejänä. Tietoturvahankkeita ja tarvetta budjetille ei ehkä myöskään osata perustella.
”Tässä olemme Suomessa vielä jälkijunassa. Toisaalta riskit saatetaan nähdä vain teoreettisina, jos yritykseen ei vielä ole kohdistunut tietoturvaloukkauksia tai -hyökkäyksiä. Yrityksessä voidaan myös olla osin tietämättömiä siitä, kenen vastuulle tietoturva milloinkin kuuluu, kun puhutaan esimerkiksi SaaS-palveluista, pilviratkaisuista tai kriittisten infrojen tietoturvasta, Tynjälä pohtii.
Tietoturvan merkittävimpinä kehityskohteina vastaajat näkivät digitalisoituvien turvajärjestelmien aiheuttamien tietoturvariskien hallinnan, pilvipalveluiden yleistymisen ja niiden hallinnan sekä etätyön luomat tietoturvahaasteet.
Sen sijaan turvallisuuden vaikuttavuuden mittaaminen oli erittäin merkittävää 17 prosentille vastaajista ja se sai ainoana ”ei lainkaan merkittävä” -vastauksia. Benjamin Särkkä kommentoi tulosta hieman hämmästellen.
”Itse olisin kuvitellut, että olisi tärkeää tietää, miten kontrollit toimivat.”
SOC (Security Operation Center) oli käytössä reilulla puolella organisaatioista. Organisaatioilla, joilla SOC oli käytössä, lisääntyi merkittävästi myös näkyvyys turvallisuustoiminnan vaikuttavuuteen. Tällaisista organisaatioista 60 prosenttia vastasi näkyvyyden olevan hyvä tai erittäin hyvä. Organisaatioissa, joilla SOC ei ollut käytössä, vastaava näkyvyys toiminnan vaikuttavuuteen oli vain 15 prosenttia.
Tutkimuksen toteuttajana oli Taloustutkimus. Siiehn osallistui 87 suurten ja keskisuurten yritysten tietohallinnosta ja tietoturvasta vastaavaa päättäjää.
Kuva Jefferson Santos Unsplash