Tutkimuksen mukaan yli 75 prosenttia yrityksistä vuotaa ulospäin hyökkääjille hyödyllisiä tietoja. Suurimmat riskit ovat finanssisektorin yrityksillä – huolimatta siitä, että ne yleensä myös panostavat tietoturvallisuuteen muita enemmän – sekä lisäksi teknologia, media ja telealan yrityksillä.
Koska yritysten järjestelmien testaaminen ilman lupaa ei ole mahdollista, tutkimus tehtiin käyttämällä julkisesti saatavilla olevia tietoja, esimerkiksi verkkosivujen, dokumenttien ja hakukoneiden kautta löytyviä tietoja sekä tietoja, joita saadaan järjestelmistä ilman, että niihin yritetään aktiivisesti murtautua. Tätä kutsutaan yleensä murron kohteen profiloinniksi, joka edeltää varsinaista tietomurtoa; vastaavia menetelmiä käyttävät siis myös verkkorikolliset kartoittaessaan mahdollisia hyökkäyskohteitaan.
Tutkimuksen tulokset antavat hyvän yleiskuvan siitä, missä määrin organisaatiot, niiden henkilöstö ja yritystieto altistuvat verkon kautta tapahtuville hyökkäyksille tietoturvan heikkouksien vuoksi.
Tutkimustulosten valossa Forbes 2000 -yritysten internet-sivuista 16 prosenttia altistuu tietomurroille joko puuttuvien päivitysten tai vanhojen ohjelmistoversioiden takia. Yli kolme neljäsosaa tutkittujen yritysten verkkosivuista vuotaa hyökkääjälle hyödyllistä tietoa dokumenttien metatietojen kautta.
– Myös Suomessa asiakkaillemme suorittamien tietoturvallisuuden teknisten testausten perusteella voidaan jo usean vuoden ajalta todeta, että iso osa suomalaisista tietojärjestelmistä ja tietojenkäsittely-ympäristöistä on ensimmäisen testauksen hetkellä huonosti tai melko huonosti suojattuja, kertoo KPMG:n tietoturvapalveluista Suomessa vastaava Mika Laaksonen.
– Esimerkkinä tästä on ollut muun muassa erään kriittiseen infrastruktuuriin kuuluvan yrityksen asiakaskäyttöön tarkoitetun tietojärjestelmän tietoturvallisuus, jonka testasimme tämän vuoden alkupuolella. Järjestelmästä pystyi internetin kautta lukemaan koko asiakastietokannan sisällön ilman minkäänlaista tunnistautumista. Tietoja pystyi myös muuttamaan luvattomasti. Järjestelmä oli testaushetkellä ollut tuotannossa jo pidemmän aikaa, Laaksonen kertoo.
– Sillä ei useinkaan ole merkitystä, onko tietoturvasovellus pienemmän toimittajan tai suuren ohjelmistotalon tuottama. Syitä huonoon tilanteeseen ovat muun muassa tiukka hintakilpailu sekä se, että asiakkaat eivät osaa määritellä ja edellyttää riittäviä tietoturvavaatimuksia eivätkä myöskään testata niitä ennen tuotantoon menoa, toteaa Laaksonen.
Tietoverkkoihin pohjautuvassa yhteiskunnassa niin julkiset kuin yksityiset organisaatiot ovat suuressa määrin toisistaan riippuvaisia, ja tämä tekee niistä aivan uudella tavoin entistä haavoittuvampia.
Maailmanlaajuisesti rikolliset järjestäytyvät internetin tarjoamien teknologioiden avulla, eivät vain tavoitellakseen rahallista hyötyä vaan myös häiritäkseen koko yhteiskunnan kannalta elintärkeitä toimintoja esimerkiksi ideologisista syistä. Taistelussa kyberrikollisuutta vastaan on tärkeää, että tieto kulkee myös viranomaisten ja yritysten välillä ja yli valtiorajojen.
Laaksosen mukaan paniikkiin ei kuitenkaan ole syytä: organisaatiot voivat tehdä paljonkin ennakoivaa työtä suojautuakseen verkkohyökkäyksiltä.
– Tietoturvallisuudesta tulee huolehtia aidosti ja tietoturvallisuus tulisi nostaa yritysten johtajien agendalle, minne se kuuluu. Erityistä huomiota tulisi kiinnittää uusien järjestelmien tietoturvallisuuden määrittelyyn ja testaamiseen. Tulisi myös huomata, että tästä joutuu yleensä alkuvaiheessa maksamaan ylimääräistä, mutta pidemmällä tähtäimellä se kannattaa aina, hän painottaa
Tutustu KPMG:n Cyber Vulnerability Index 2012 -selvitykseen kokonaisuudessaan.
Lisää verkkohyökkäyksistä ja niihin varautumisesta myös Hollannin KPMG:n tutkimusraportissa Shifting viewpoints.