Suomi

Tiedot

  • Palvelu: Neuvontapalvelut, Risk & Compliance, Riskienhallinnan kehittäminen, Management Consulting, IT-neuvontapalvelut
  • Toimiala: Julkishallinto, Pankki- ja rahoitustoiminta, vakuutus- ja omaisuudenhoito, Teollisuus, Terveydenhuolto, Perhe- ja kasvuyritykset, Infrastruktuuri, Teknologia, media ja telekommunikaatio, Teknologia, Media ja viestintä, Telekommunikaatio, Kuljetus ja logistiikka
  • Aihealue: Liiketoiminta- tai toimiala-aihe, Lehdistötiedote, Tutkimusraportti
  • Päivämäärä: 14.9.2012

Suomi ei maailman 10 huonoimman tietoturvamaan joukossa – Ei silti syytä juhlaan (14.9.2012) 

KPMG Cyber Vulnerability Index 2012 -tutkimuksen mukaan Suomi ei kuulu niiden kymmenen maan joukkoon, jossa yritykset tietoturvassaan ilmenevien puutteiden vuoksi vuotavat internetin kautta eniten tietoja. Eniten tällaisia tahattomia tietovuotoja tapahtuu Sveitsissä, Japanissa, Espanjassa, Italiassa, Brasiliassa, Yhdysvalloissa, Saudi-Arabiassa, Thaimaassa, Saksassa ja Malesiassa. Syytä juhlaan ei suomalaisillakaan silti ole, sillä tutkimuksen kohteena olivat Forbes 2000 -listan yritykset, eikä tällä listalla ole montaa suomalaisyritystä.

Tutkimuksen mukaan yli 75 prosenttia yrityksistä vuotaa ulospäin hyökkääjille hyödyllisiä tietoja. Suurimmat riskit ovat finanssisektorin yrityksillä – huolimatta siitä, että ne yleensä myös panostavat tietoturvallisuuteen muita enemmän – sekä lisäksi teknologia, media ja telealan yrityksillä.

 

Koska yritysten järjestelmien testaaminen ilman lupaa ei ole mahdollista, tutkimus tehtiin käyttämällä julkisesti saatavilla olevia tietoja, esimerkiksi verkkosivujen, dokumenttien ja hakukoneiden kautta löytyviä tietoja sekä tietoja, joita saadaan järjestelmistä ilman, että niihin yritetään aktiivisesti murtautua. Tätä kutsutaan yleensä murron kohteen profiloinniksi, joka edeltää varsinaista tietomurtoa; vastaavia menetelmiä käyttävät siis myös verkkorikolliset kartoittaessaan mahdollisia hyökkäyskohteitaan.

 

Tutkimuksen tulokset antavat hyvän yleiskuvan siitä, missä määrin organisaatiot, niiden henkilöstö ja yritystieto altistuvat verkon kautta tapahtuville hyökkäyksille tietoturvan heikkouksien vuoksi.

 

Ongelmia ohjelmistoversioissa, tietojen suojauksessa ja vaatimusmäärittelyissä

Tutkimustulosten valossa Forbes 2000 -yritysten internet-sivuista 16 prosenttia altistuu tietomurroille joko puuttuvien päivitysten tai vanhojen ohjelmistoversioiden takia. Yli kolme neljäsosaa tutkittujen yritysten verkkosivuista vuotaa hyökkääjälle hyödyllistä tietoa dokumenttien metatietojen kautta.

 

– Myös Suomessa asiakkaillemme suorittamien tietoturvallisuuden teknisten testausten perusteella voidaan jo usean vuoden ajalta todeta, että iso osa suomalaisista tietojärjestelmistä ja tietojenkäsittely-ympäristöistä on ensimmäisen testauksen hetkellä huonosti tai melko huonosti suojattuja, kertoo KPMG:n tietoturvapalveluista Suomessa vastaava Mika Laaksonen.

 

– Esimerkkinä tästä on ollut muun muassa erään kriittiseen infrastruktuuriin kuuluvan yrityksen asiakaskäyttöön tarkoitetun tietojärjestelmän tietoturvallisuus, jonka testasimme tämän vuoden alkupuolella. Järjestelmästä pystyi internetin kautta lukemaan koko asiakastietokannan sisällön ilman minkäänlaista tunnistautumista. Tietoja pystyi myös muuttamaan luvattomasti. Järjestelmä oli testaushetkellä ollut tuotannossa jo pidemmän aikaa, Laaksonen kertoo.

 

– Sillä ei useinkaan ole merkitystä, onko tietoturvasovellus pienemmän toimittajan tai suuren ohjelmistotalon tuottama. Syitä huonoon tilanteeseen ovat muun muassa tiukka hintakilpailu sekä se, että asiakkaat eivät osaa määritellä ja edellyttää riittäviä tietoturvavaatimuksia eivätkä myöskään testata niitä ennen tuotantoon menoa, toteaa Laaksonen.

 

Kyberrikollisuutta vastaan yhteistyön ja ennakoivan toiminnan kautta

Tietoverkkoihin pohjautuvassa yhteiskunnassa niin julkiset kuin yksityiset organisaatiot ovat suuressa määrin toisistaan riippuvaisia, ja tämä tekee niistä aivan uudella tavoin entistä haavoittuvampia.

 

Maailmanlaajuisesti rikolliset järjestäytyvät internetin tarjoamien teknologioiden avulla, eivät vain tavoitellakseen rahallista hyötyä vaan myös häiritäkseen koko yhteiskunnan kannalta elintärkeitä toimintoja esimerkiksi ideologisista syistä. Taistelussa kyberrikollisuutta vastaan on tärkeää, että tieto kulkee myös viranomaisten ja yritysten välillä ja yli valtiorajojen.

 

Laaksosen mukaan paniikkiin ei kuitenkaan ole syytä: organisaatiot voivat tehdä paljonkin ennakoivaa työtä suojautuakseen verkkohyökkäyksiltä.  

 

– Tietoturvallisuudesta tulee huolehtia aidosti ja tietoturvallisuus tulisi nostaa yritysten johtajien agendalle, minne se kuuluu. Erityistä huomiota tulisi kiinnittää uusien järjestelmien tietoturvallisuuden määrittelyyn ja testaamiseen. Tulisi myös huomata, että tästä joutuu yleensä alkuvaiheessa maksamaan ylimääräistä, mutta pidemmällä tähtäimellä se kannattaa aina, hän painottaa

 

Tutustu KPMG:n Cyber Vulnerability Index 2012 -selvitykseen kokonaisuudessaan.

 

Lisää verkkohyökkäyksistä ja niihin varautumisesta myös Hollannin KPMG:n tutkimusraportissa Shifting viewpoints.

 

Lisätietoja

  • Mika Laaksonen, Partner
    KPMG Oy Ab
    puh. 020 760 3337
    e-mail: etunimi.sukunimi@kpmg.fi

KPMG Cyber Vulnerability Index 2012

Feature image
KPMG:n tietoturvallisuuteen ja riskienhallinnan alaan liittyvä tutkimus antaa yleiskuvan siitä, missä määrin organisaatiot, niiden henkilöstö ja yritystieto altistuvat verkon kautta tapahtuville hyökkäyksille tietoturvan heikkouksien vuoksi.

Shifting viewpoints

Feature image
Hollannin KPMG:n tekemä tutkimus verkkorikollisuudesta ja näkökulmia siihen, miten voimme taistella tätä ilmiötä vastaan.