Kyberturvallisuuden tila - CGI · Tehdyn kyselyn perusteella liiketoimintajohto ajattelee, että tietomurto johtui yhtä usein inhimillisestä virheestä (40%) kuin ulkoisesta kyberhyökkäyksestä

suomalaisissa organisaatioissa 2016

Kyberturvallisuuden tila

Sisältö• Tutkimuksen taustatietoja ...................................................................................... 1

• Kyberturvallisuuden johtaminen ........................................................................... 4

• Varautuminen ja riskienhallinta .............................................................................. 7

• Tietomurrot ja -vuodot ...........................................................................................11

Hyvä lukija

Kyberturvallisuus on jo useamman vuoden puhuttanut niin mediassa kuin toimistojen käytävillä. Uhkakuvia on maalailtu eri toimialoille. Tutkimuksia on tehty ja tuloksia tulkittu. Suurin osa tutkimustiedosta tulee kuitenkin Pohjois-Amerikasta. Halusimme ulkomaisten tutkimustulosten rinnalle tietoa Suomessa toimivien yritysten ja julkisen sektorin organisaatioiden kyberturvallisuuden tilasta sekä käytännön kokemuksista.

Valtaosa vastaajista (86 %) kokee kyberriskin kasvaneen viimeisen vuoden aikana. 74 prosenttia vastaajista pitää todennäköisenä, että organisaatio joutuu hyökkäyksen kohteeksi seuraavan vuoden aikana. 63 prosenttia pitää todennäköisenä, että edustamansa organisaatio on altistunut kyberhyökkäykselle kenenkään siitä tietämättä.

Kyberhyökkäyksen havainnointi sekä siihen tehokkaasti ja ajallaan reagoiminen on haastava ja mielenkiintoinen alue. Kansainväliset tutkimukset antavat hyvin synkän kuvan organisaatioiden kyvyistä tällä saralla. Tämän tutkimuksen valossa vastaajilla on kuitenkin varsin positiivinen näkemys omasta havainnointikyvystään. Tietoturvajohdosta ja -asiantuntijoista 18 prosenttia, sekä kaikista vastaajista peräti 40 prosenttia uskoo edustamansa organisaation pystyvän havaitsemaan ns. edistyneet uhkat. Jo toteutuneiden ja havaittujen hyökkäysten osalta peräti 60 prosenttia tapauksista havaittiin organisaation itsensä toimesta. Luvut ovat niin korkeat että ne väistämättä herättävät kysymyksen niiden realistisuudesta. Erityisesti suhteutettuna siihen, että samalla 34 prosentilla organisaatioista ei ole nimettyä tietoturvasta vastaavaa henkilöä tai tahoa ja noin puolella vastaajista kyberturvallisuutta hoitaa käytännön tasolla joku muu kuin tietoturvaan erikoistunut taho.

Toimialavertailussa on havaittavissa paikoin jopa merkittäviä eroja sekä koetun riskin että odotetun kyberhyökkäyksen aiheuttaman vahingon ja varautumisen tason suhteen. Erityisen huolestuttavana näyttäytyvät yhteiskunnan kriittistä infrastruktuuria ylläpitävät, energia ja vesi- sekä terveys ja hyvinvointi -toimialat, joissa korostuvat kyberturvallisuuden organisoimattomuus, kohonnut koettu riski, suuret potentiaaliset vahingot yhdistettynä vain vähäisiin investointeihin tilanteen parantamiseksi.

Omalta osaltani pidän tutkimusta varsin mielenkiintoisena ja toivonkin voivamme toistaa tutkimuksen määräajoin, jotta voimme myös seurata kokemamme kyberturvallisuuden kehittymistä ajan funktiona.

Suuri kiitos kuuluu kaikille tutkimukseen osallistuneille!

CGI: Kyberturvallisuuden tila suomalaisissa organisaatioissa 2016 1

Jan Mickos

kyberturvallisuusjohtaja CGI

Vastaajien toimiala

Vastaajien työnantajasektori

Tutkimuksen taustatietoja

Tässä CGI:n tukemassa, oppilasyhteistyönä toteutetussa tutkimuksessa selvitettiin kyberturvallisuuden tilaa suomalaisissa yrityksissä ja julkisen sektorin organisaatioissa.

Tutkimuksen aiheita ovat kyberturvallisuuden johtaminen, varautuminen, riskienhallinta sekä organisaatioille tapahtuneet tietomurrot ja -vuodot.

Vastaajat olivat liiketoiminta-, IT- ja tietoturvajohtoa sekä -asiantuntijoita. Tutkimus suoritettiin sähköisenä kvantitatiivisena kyselynä ajalla 11/2015

– 3/2016. Vastaajia oli yhteensä 200.

CGI: Kyberturvallisuuden tila suomalaisissa organisaatioissa 20162

Organisaation henkilömäärä Suomessa

Vastaajan asema:

• Johtoa 49 %

• Asiantuntijoita 36 %

Organisaation henkilömäärä globaalisti

Vastaajan rooli:

• Liiketoiminta 33 %

• IT 38 %

• Tietoturva 14 %

Tutkimuksen taustatietoja


Vastaajien asema ja rooli organisaatiossa

Miksi organisaatiollasi ei ole erikseen nimettyä tietoturvajohtajaa tai tietoturvaosastoa?

34 prosentilla kaikkien vastaajien organisaatioista ei ole erikseen nimettyä tietoturvajohtajaa tai -osastoa. Pk-sektorilla (alle 250 työntekijää) jopa 54 prosenttia on ilman tietoturvasta vastaavaa henkilöä. Kansainväliset organisaatiot ovat hieman järjestäytyneempiä tietoturvan saralla kuin suomalaiset organisaatiot. 70 prosentilla kansainvälisistä organisaatioista, joiden pääkonttori on joko Suomessa tai ulkomailla, on nimetty tietoturvajohtaja tai -osasto. Suomalaisilla organisaatioilla sama luku on 63 prosenttia. Toimialoista parhaiten ovat järjestäytyneet Julkishallinto ja puolustus, Kauppa, palvelut ja kuljetus sekä IT ja viestintä. Huonoin tilanne on Energia ja vesi sekä Terveys ja hyvinvointi -toimialoilla.

Suurin yksittäinen syy, miksi kaikilla vastaajaorganisaatioilla ei ole nimettyä tietoturvajohtajaa tai -osastoa, on se, että sellaiselle ei nähty tarvetta (54 % vastauksista). Yksityisen sektorin organisaatioilla luku on jopa 65 prosenttia ja pk-yrityksillä (alle 250 työntekijää) 76 prosenttia. Vaikka organisaatiot kokevat ettei tietoturvaan dedikoidulle henkilölle tai osastolle ole tarvetta, kokevat he silti samaan aikaan, että kyberhyökkäyksen kohteeksi joutumisen riski ja varautumisen tarve ovat kasvaneet.

Kyberturvallisuuden johtaminen

Onko organisaatiollasi erikseen nimettyä tietoturvajohtajaa tai tietoturvaosastoa?


Kuka hoitaa kyberturvallisuutta?

Kun organisaatioilta kysyttiin, kuka heidän organisaatiossaan vastaa kyberturvallisuudesta, oli huolestuttavaa huomata, miten vastuun hyvin usein otti sellainen taho, jolla ei välttämättä ole ymmärrystä kyberturvallisuudesta. 18 prosentissa tapauksista kyseessä oli toimitusjohtaja tai jokin muu johtaja. Noin kolmannessa (33 %) vastanneista organisaatiosta vastuussa oli IT-johtaja, joka vastasi kyberturvallisuudesta varsinaisen työnsä ohella.

Tietoturvajohtajan tai -osaston puuttuminen saa aikaan monia hälyttäviä tilanteita. Organisaatiossa ei esimerkiksi välttämättä ole ollenkaan pätevää tahoa, joka hoitaisi kyberturva-asioita. Noin 50 prosentissa organisaatioista kyberturvallisuutta hoitaa joku muu kuin tietoturvaan erikoistunut taho.


Kuka vastaa kyberturvallisuudesta?


Onko organisaatiossasi kyberturvallisuusstrategiaa?

Kyberturvallisuuden johtaminen ja johdon osallistuminen kyberturvallisuutta koskevien asioiden päättämiseen yllätti muutamien toimialojen osalta. Toimialat, joiden voisi lähtökohtaisesti olettaa tuottavan palveluita tietoturva-asiat huomioon ottaen, pitivätkin sisällään muutaman mielenkiintoisen poikkeaman. Edukseen näyttäytyivät Energia ja vesi -toimiala sekä Julkishallinto ja puolustus, joissa johto käsitteli uhkia keskimäärin 77 prosentissa tapauksista. Teollisuus sekä Terveys ja hyvinvointi -toimialat käsittelivät kyberuhkia johdon tasolla vain noin 40 prosentissa tapauksista.

Vaikka kyberuhkia käsitelläänkin valtaosassa organisaatioista (56 %) johdon tasolla, on vasta 29 prosenttia organisaatioista laatinut kyberturvallisuustrategian. Kyberturvallisuusstrategian puuttuminen viestii riittämättömästä varautumisesta ja rakenteellisten lähestymistapojen puuttumisesta. Tyypillisesti kirjallisessa muodossa olevan politiikan tai strategian puuttuminen aiheuttaa sen, ettei kaikkea kyseisen osa-alueen asioita kyetä hoitamaan riittävällä tarkkuudella.

Yksi kyberturvallisuusstrategian tärkeimmistä seikoista on riskien tunnistaminen. Kyberturvallisuusstrategian puuttuminen saattaa osaltaan vaikuttaa siihen, että 33 prosenttia ei usko olevansa kovinkaan tietoinen organisaatioon kohdistuvista tietoja kyberturvallisuusuhkista. Arvioimalla riskit huolella ja kohdentamalla torjuntakeinot viisaasti, voi turvallisuuden tasoa nostaa merkittävästi.


Käsitelläänkö kyberuhkia johdon tasolla?


Uskotko, että organisaatiosi pystyy havaitsemaan kyberhyökkäykset itse?

Varautuminen ja riskienhallinta

Uskotko olevasi tietoinen organisaatioosi kohdistuvista tietoja kyberturvallisuusuhista?

67 prosenttia vastaajista on sitä mieltä, että he ovat joko täysin tai jonkin verran tietoisia omaan organisaatioonsa kohdistuvista kyberuhista. Tämän prosentin ollessa suhteellisen korkea, kuitenkin vain 34 prosentilla on tietoturvaan erikoistunut tietoturvajohtaja tai -osasto, joka olisi osaltaan vastuussa kyberuhkien havaitsemisesta.

Suurin luottamus omaan havainnointikykyynsä on Energia ja vesi, IT ja viestintä sekä Pankki ja vakuutus

-toimialoilla. Realistisimpia omaan havainnointikykyynsä ollaan Terveys ja hyvinvointi sekä Teollisuus -toimialoilla.

Vastaajat ovat erittäin optimistisia omasta kyvystään havaita edistyneitä hyökkäyksiä (Advanced Persistent Threat, APT). Tietoturvajohdosta ja

-asiantuntijoista yli 18 prosenttia uskoo organisaationsa kykenevän havaitsemaan edistyneet hyökkäykset. Kaikista vastaajista jopa 40 prosenttia uskoo havaitsevansa ne.

Edistyneiden hyökkäyksien havaitseminen on tyypillisesti erittäin hankalaa ja vaatii hyvin kohdennettuja panostuksia järjestelmien valvontaan ja tietoliikenteen analysointiin.

Uskotko, että organisaationne kykenee havaitsemaan ns. edistyneet hyökkäykset (Advanced Persistent Threat, APT) itse?


Millaisia investointeja organisaatiosi on tehnyt tai on aikeissa tehdä kyberuhkiin varautumisessa?

86 prosenttia organisaatioista on sitä mieltä, että uhka joutua kyberhyökkäyksen kohteeksi on kasvanut kuluvan vuoden aikana. Lisäksi 81 prosenttia organisaatioista toteaa, että kyberuhkiin varautumisen tarve on kasvanut. Huomattava enemmistö organisaatioista (74 %) pitää enemmän todennäköisenä kuin epätodennäköisenä sitä, että organisaatio joutuu hyökkäyksen kohteeksi seuraavan vuoden aikana. Tietoturva-asiantuntijat sekä tietoturvajohto näkee riskin kasvun kyberhyökkäyksen kohteeksi joutumisessa merkittävänä useammin kuin muut kyselyyn vastanneet.

Huolimatta siitä, että merkittävä enemmistö organisaatioista (86 %) tunnistaa kyberhyökkäyksen kohteeksi joutumisen uhan ja varautumisen tarpeen (81 %) kasvaneen, puolet organisaatioista ei investoi tietoturvan parantamiseen. Toisin sanoen 49 prosenttia ainoastaan tarkastaa jo olemassa olevia suunnitelmiaan, eikä investoi kyberturvallisuuteen mitenkään tai ei osaa sanoa tehdäänkö asian eteen mitään. Ainoastaan 13 prosenttia kertoo tekevänsä merkittäviä investointeja tai parannuksia. Joitain investointeja tai parannuksia aikoo tehdä 37 prosenttia organisaatioista.

Varautuminen ja riskinhallinta

Onko kyberhyökkäyksen kohteeksi joutumisen riski mielestäsi kasvanut kuluneen vuoden aikana?

Onko kyberuhkiin varautumisen tarve mielestäsi muuttunut organisaatiossasi kuluneen vuoden aikana?


Onko organisaatiosi hankkinut tai aikeissa hankkia kybervakuutusta?

Kun organisaatioiden varautumistapoja vertaillaan keskenään, nousee suosituimmaksi investoinniksi riskianalyysin teettäminen. Toiseksi suosituin on turvamekanismeihin sijoittaminen ja kolmanneksi suurimpana oli pelkkä nykyisten suunnitelmien katselmointi ilman varsinaisia investointeja.

Kybervakuutus oli vain 2 prosentilla vastaajista. 18 prosenttia kertoo olevansa aikeissa ottaa tai ainakin harkitsevansa kybervakuutuksen ottamista. Suurin osa vastaajista (50 %) ei osannut sanoa, onko yritys aikeissa hankkia tai jo hankkinut kybervakuutuksen. Tätä osittain selittää se, että kybervakuutus on monille vielä tällä hetkellä vieras ja ne ovat vasta hiljattain alkaneet kasvattaa suosiotaan.

Varautuminen ja riskienhallinta

Miten organisaatiossasi varaudutaan kyberuhkiin?


Vain 11 prosenttia vastaajista kokee, että kyberhyökkäyksen, tietomurron tai -vuodon vaikutukset jäisivät vähäisiksi. Loput 89 prosenttia uskovat vaikutuksien olevan haitallisia tai erittäin haitallisia. Vaikka Pankki ja vakuutus- sekä Terveys- ja hyvinvointi -toimialat näkivät molemmat kyberhyökkäyksen vaikutukset erittäin haitallisina, Pankki- ja vakuutustoimiala investoi selvästi voimakkaammin kyberuhkiin varautumisessa.

55 prosenttia vastaajista arvioi oman tai asiakkaan yksityisyyden loukkauksen, aineettoman omaisuuden kuten maineen menetyksen ja tuoton menetykset merkitettävimpinä kyberhyökkäyksen vaikutuksina. Vaikka henkilöstön tai asiakkaiden yksityisyydenloukkaus olikin selkeästi oletetuin vahinko, myös täydellinen liiketoiminnan keskeytyminen oli valittu mahdolliseksi 40 prosentissa tapauksista. Toinen liiketoiminnan jatkuvuuden kannalta olennainen vahinko, markkinaosuuden menetys, oli myös suhteellisen tyypillinen. 18 prosenttia organisaatioista vastasi markkinaosuuden menetyksen olevan mahdollinen seuraus kyberhyökkäyksestä.

Varautuminen ja riskinhallinta

Miten vähäinen tai suuri haitallinen vaikutus kyberhyökkäyksellä, tietomurrolla tai -vuodolla on organisaatioosi?


Minkälaista vahinkoa arvioisit kyberhyökkäyksen aiheuttavan organisaatiossasi?

Tietomurrot ja -vuodot

Kuinka todennäköisenä pidät sitä, että organisaatioosi on kohdistunut tietomurto tai -vuoto kenenkään siitä tietämättä?

Suurin osa vastaajista (63 %) pitää todennäköisenä sitä, että heidän organisaatioonsa on tapahtunut tietomurto kenenkään siitä tietämättä. Tietoturvaroolissa toimivat henkilöt (johto ja asiantuntijat) pitävät tietomurtoa todennäköisempänä (33 % vastasi 9 tai 10 asteikolla 1-10) kuin kaikki vastaajat keskimäärin (16 % vastasi 9 tai 10 asteikolla 1-10).

Vielä suurempi osa, 74 prosenttia, vastaajista pitää todennäköisenä sitä, että oma organisaatio joutuu hyökkäyksen kohteeksi seuraavan vuoden aikana.

Huolimatta siitä, että 63 prosenttia vastaajista pitää salassa tapahtunutta tietomurtoa todennäköisenä, on 47 prosenttia vastaajista varmoja ettei heidän organisaationsa ei ole kohdistunut tietomurtoa tai -vuotoa viimeisen kahden vuoden aikana. 15 prosenttia vastaajista tietää joutuneensa tietomurron tai -vuodon kohteeksi.

Teoriassa organisaation on mahdotonta tietää varmasti, että se ei ole joutunut tietomurron tai -vuodon kohteeksi. Näin ollen ainoa asia jonka organisaatio todellisuudessa pystyy kertomaan, on jo tapahtunut tietomurto tai -vuoto, jonka organisaatio on kyennyt havaitsemaan. Tämä seikka huomioon ottaen kielteisten vastauksien tulisi jakautua kokonaisuudessaan myönteisten ja epävarmojen vastauksen kesken, mikäli vastaajat olisivat realistisia omasta tilanteestaan.

Kuinka todennäköisenä pidät sitä, että organisaatiosi joutuu kyberhyökkäyksen kohteeksi seuraavan vuoden aikana?


Onko organisaatiosi joutunut tietomurron tai -vuodon kohteeksi viimeisen kahden vuoden aikana?

Kuka havaitsi tietomurron tai -vuodon?

55 prosenttia tietomurroista ja -vuodoista havaittiin alle kuukaudessa sen alkamisesta. 1-6 kuukaudessa tietomurron- tai vuodon havaitsi 19 prosenttia vastaajista. Vain 6 prosenttia hyökkäyksistä oli vastausten perusteella kestänyt yli 7 kuukautta. Tulos on valtavassa ristiriidassa kansainvälisten tutkimusten* kanssa joissa havainnon tekeminen kestää keskimäärin useita satoja päiviä.

Kun tietomurron tai -vuodon kohteeksi joutuneilta organisaatioilta kysyttiin kuka tapahtuneen havaitsi, olivat vastaukset suuressa ristiriidassa aikaisempien tutkimusten** kanssa. 60 prosenttia organisaatioista kertoi havainneensa itse tietomurron tai -vuodon. 47 prosenttia vastaajista kertoi, että havainto tehtiin jonkun ulkopuolisen tahon toimesta. Aikaisempien tutkimusten mukaan 94 prosenttia organisaatioista kuulee kyberhyökkäyksestä joltain ulkopuoliselta taholta. Tästä voidaan päätellä, että joko havainnointikyky on kasvanut merkittävästi tai todellisuus tietomurtojen määrästä ei ole käynyt ilmi yhtä hyvin.

Tehdyn kyselyn perusteella liiketoimintajohto ajattelee, että tietomurto johtui yhtä usein inhimillisestä virheestä (40%) kuin ulkoisesta kyberhyökkäyksestä (40%) . Asiantuntijoiden mielestä syy on kuitenkin selkeästi enemmän (67%) ulkoisessa kyberhyökkäyksessä, eikä niinkään inhimillisessä virheessä (22%). Kaikkien vastaajien osalta ulkoisen kyberhyökkäyksen osuus oli 53 %.

Tietomurrot- ja vuodot

Kuinka kauan tietomurron tai -vuodon havaitseminen kesti sen alkamisesta?

* Forrester Research study on targeted threats, jossa keskimääräinen kyberhyökkäyksen kesto on 416 päivää

** Center for a new American Security: Active Cyber Defense A Framework for Policymakers 2/2013

Mistä tietomurto tai -vuoto johtui?


Tietomurrot ja -vuodot

Tuliko tietomurto tai -vuoto julkistuuteen?

Mistä tietomurto tai -vuoto johtui?

Tehtiinkö tietomurrosta tai -vuodosta rikosilmoitus?

Miksi tietomurrosta tai -vuodosta ei tehty rikosilmoitusta?

Oltiinko tietomurrosta tai -vuodosta yhteydessä muhin viranomaisiin tai tietoturvatoimijoihin?

Vain 31 prosenttia tietomurroista tuli julkisuuteen. Tulevaisuudessa tämä prosenttiluku tulee kasvamaan, kun uusi tietosuoja-asetus astuu voimaan vuonna 2018. Vain murto-osa (7 %) ei halunnut julkistaa tapahtunutta ja jätti siksi ilmoittamasta viranomaisille. Suurin osa organisaatioista ei tehnyt asiasta rikosilmoitusta, koska ajatteli, että siitä ei ole mitään hyötyä. Huomattava, 62 prosentin enemmistö vastaajista oli kuitenkin jälkikäteen yhteydessä muihin viranomaisiin tai tietoturvatoimijoihin tietomurron takia. Vastaajat olivat yhteydessä muun muassa Viestintävirastoon/kyberturvallisuuskeskukseen, muihin ministeriöihin, turvallisuuspalveluiden toimittajaan, Valtoriin ja pankkiin.

Jatkossa organisaatiot toivovat viranomaisilta erityisesti toimintamalleja, neuvontaa ja ohjeistusta kyberturvalliseen toimintaan. Tietoturvan palveluntarjoajilta toivotaan pääasiassa tietoturvapalveluita, tietoturvan kokonaisuuden hallintaa, toimintamalleja ja konsultointia.

Minkälaista apua toivot jatkossa viranomaisilta? Minkälaista apua toivot jatkossa tietoturva-palveluita tarjoavilta yrityksiltä?


CGI on globaali, Suomessa yli 3 200 asiantuntijaa työllistävä ICT-palveluyritys, joka konsultoi asiakkaitaan liiketoiminnan sekä ICT-ratkaisujen kehittämisessä ja on luotettu ulkoistuskumppani. Olemme Suomen ainoa täyden palvelun kyberturvallisuustoimittaja. Autamme asiakkaitamme tiedostamaan riskejä, suojaamaan toimintoja ja tietoja sekä toimimaan turvallisesti digitaalisessa maailmassa.

Kysy lisätietoja tai ota yhteyttä:

Jan Mickos kyberturvallisuusjohtaja [email protected]

Mika Heino johtaja, kyberturvallisuuskeskus [email protected]

Jens Säynäjärvi johtaja, kyberturvallisuuskonsultointi [email protected]

Lisätietoa cgi.fi ja cgi.fi/kyber

Documents

Kyberturvallisuuden tila - CGI · Tehdyn kyselyn perusteella liiketoimintajohto ajattelee, että tietomurto johtui yhtä usein inhimillisestä virheestä (40%) kuin ulkoisesta kyberhyökkäyksestä