Pienyrityksenkin pitää varautua kyberuhkaan

PK-yritysten on kiinnitettävä yhä enemmän huomiota kyberuhkiin. FINCSC-sertifiointi on tapa osoittaa asiakkaille ja kumppaneille, että kyberturva on kunnossa. 

^{TEKSTI | TUOMAS I. LEHTONEN   KUVA | MIKKO KUPARINEN}

Tietoverkkojen ja pilvipalveluiden käyttö yleistyy kaikilla toimialoilla. Samaa tahtia kasvavat globaalin kyberrikollisuuden uhkakuvat. Iso-Britanniassa tehdyn tutkimuksen mukaan puolessa kaikista rikoksista hyödynnetään ICT-ympäristöjä ja niiden heikkouksia. 

Jyväskylän ammattikorkeakoulun (JAMK) kyberturvallisuuden tutkimus-, kehitys- ja koulutuskeskus JYVSECTECin johtaja Mika Karjalainen on huolissaan siitä, ettei kyberuhkiin vielä suhtauduta vakavasti. 

– Ilmeisesti tarvitaan iso kybertsunami, että näihin ongelmiin herätään, Karjalainen sanoo. 

Pienikään ei ole turvassa 

Organisaatioiden olisi tärkeää havaita ICT-järjestelmiensä ja toimintatapojensa haavoittuvuudet ajoissa. Kun ongelmakohdat ovat tiedossa, niitä voidaan lähteä systemaattisesti poistamaan. 

Kyberuhat eivät koske pelkästään suuria teknologiayrityksiä tai julkisia laitoksia vaan kaikkia organisaatioita, joilla on käytössään nykyaikaista teknologiaa. 

– Esimerkiksi pienessä metallialan yrityksessä ei välttämättä osata pelätä kyberuhkaa. Silti kaikkia yrityksen CNC-sorveja saatetaan ohjata netin kautta. Jos järjestelmässä on tietoturva-aukko, kyberrikolliset saattavat pystyä estämään koneiden käytön kokonaan. 

Mikroyrityksetkään eivät ole turvassa kansainväliseltä rikollisuudelta. Rikollisten kehittämät sovellukset ja virukset liikkuvat verkossa etsien jatkuvasti tietoturva-aukkoja. Rikolliset iskevät sinne, mihin pääsevät. Viime aikoina on yleistynyt malli, jossa rikolliset kryptaavat yritysten järjestelmiä. Sitten he vaativat lunnaita niiden vapauttamisesta. 

Yritysten tulisi varmistaa, että myös kumppaneiden kyberturva on kunnossa. Rikolliset voivat nimittäin hyödyntää yhden yrityksen tietoturva-aukkoa ja soluttautua kaikkien kumppaniverkoston yritysten ICT-infrastruktuuriin esimerkiksi yhteisen järjestelmän kautta. 

FINCSC avuksi pk-yrityksille 

Pk-yrityksillä on rajoitetusti resursseja kyberturvallisuutensa kartoittamiseen ja parantamiseen. JYVSECTEC on kehittänyt FINCSC-sertifiointijärjestelmän, jonka avulla yritys voi helposti ja edullisesti selvittää kyberturvallisuutensa nykytilan. 

Yritykset täyttävät sähköisessä FINCSC-portaalissa itsearviointilomakkeen, jossa huomioidaan kaikki kyberturvallisuuden osa-alueet organisaatioiden ja henkilöstön toimintatavoista yrityksen tiloihin ja ICT-järjestelmiin. 

JYVSECTECin kouluttamat ja hyväksymät arviointitahot käyvät läpi yritysten antamat vastaukset. Jos kyberturvallisuus on hyväksyttävällä tasolla, yritykselle myönnetään FINCSC-sertifikaatti. Arviointitaho ilmoittaa myös mahdolliset ongelmakohdat ja kertoo, millaisilla toimenpiteillä tilannetta voi parantaa. 

– FINCSC-itsearviointi tarjoaa yrityksille kokonaisvaltaisen ja yksinkertaisen tavan arvioida toimintansa riskejä, Karjalainen kertoo. 

JYVSECTEC kehittää parhaillaan FINCSC PLUS -tasoa, joka otetaan käyttöön ensi keväänä. Ajatuksena on, että sertifioidut yritykset voisivat hankkia ICT-infrastruktuurilleen arviointitahon tekemän auditoinnin. Onnistuneen auditoinnin jälkeen FINSCS-sertifikaatti korottuu FINSCS PLUS -sertifikaatiksi. 

JYVSECTEC ylläpitää ja kehittää FINCSC-sertifikaattia ja RGCE-kehitysympäristöä, jossa eri aloilla toimivat julkiset ja yksityiset organisaatiot voivat kehittää kyberturvallisuustietämystään ja toteuttaa kyberturvallisuusharjoituksia. JYVSECTECin yhteistyökumppaneita ovat esimerkiksi Airbus Defence and Space, Cygate, Elisa, Fingrid ja Telia.