Vuoden 2018 kyberturvallisuusennusteet [raportti]
Kybervakuutusten hankkiminen lisääntyy yrityksissä; riskienhallintajohtaja ottaa suuremman roolin kyberriskien hallinnassa; sääntelyn paine nousee maailmanlaajuisesti; moniosaisen todennuksen merkitys kasvaa; yrityksen sisältäpäin aiheutuvista riskeistä ei raportoida.
Kyberhyökkäykset uhkaavat yhä enemmän jokaista liiketoiminnan osa-aluetta ja kasvavat päivä päivältä määrällisesti ja laajuudeltaan, kerrotaan Aonin julkaisemassa 2018 Cybersecurity Predictions -raportissa. Yritykset ryhtyvät uusiin toimenpiteisiin, jotta kyberturvallisuus saadaan aiempaa tiiviimmäksi osaksi yrityksen kokonaisvaltaista riskienhallintaa.
“Vuosi 2017 jää mieleen vuotena, joka viimeistään herätti suomalaiset yritykset kyberriskeihin. Tietoturvaan liittyvät uhkat koskettavat yrityksiä niiden kokoon tai toimialaan katsomatta. Keskiössä olivat etenkin laajasti levinneet kiristysohjelmat, EU:n uuden tietosuoja-asetuksen tuomat muutokset sekä yksittäisten yritysten kohtaamat tietoturvaongelmat. Trendin nähdään jatkuvan vuonna 2018”, sanoo Lauri Kononen, Aon Finlandin kyberasiantuntija.
”Mielenkiintoista on, että jatkossa rikolliset kohdentavat hyökkäyksiään enenevässä määriin myös pieniin ja keskisuuriin yrityksiin, joiden kautta yritetään päästä suuryritysten verkkoon. Enää ei riitä, että yritykset huolehtivat omista järjestelmistään ja IoT-laitteiden turvallisuudesta. Jatkossa yritysten tulee huomioida riskienhallinnassaan myös käyttämiensä yhteistyökumppanien ja ulkoistettujen palveluntarjoajien varautuminen hyökkäyksiin. Lisääntynyt palveluiden ulkoistaminen ja räjähdysmäinen IoT-laitteiden käyttö asettaa perinteisen riskienhallinnan haasteeseen, kun tulevaisuudessa riskienhallinnassa tulee huomioida myös sopimuskumppanien ja palveluntarjoajien käyttämien järjestelmien ja IoT-laitteiden turvallisuus”, kommentoi Christa Heinonen, Aon Finlandin kyberasiantuntija.
Raportin mukaan vuonna 2018 altistumisen kyberuhkalle odotetaan lisääntyvän kolmen trendin lähentymisen myötä: yritykset ovat yhä enemmän riippuvaisia teknologiasta, sääntelyviranomaisten halu suojella kuluttajatietoja lisääntyy ja aineettoman omaisuuden arvo kasvaa.
Raportin 8 keskeisintä havaintoa:
1. Yritykset hankkivat kybervakuutuksen, kun hallitus ja johtoryhmä havahtuvat kybervastuuseen. Kun yrityksen hallitus ja johtoryhmä joutuvat kohtaamaan kyberhyökkäysten vaikutukset, joita ovat esimerkiksi pienentyneet tulot, toimintahäiriöt ja vaatimukset hallitusta ja johtajia kohtaan, yritykset hankkivat räätälöidyn kybervakuutusratkaisun. Kybervakuutusta eivät koe tärkeäksi enää vain perinteiset kybervakuutuksen ostajat, kuten vähittäiskauppa, finanssiala ja terveydenhuollon toimijat, vaan myös muut toimialat, jotka ovat alttiita tietoverkkoihin liittyville liiketoimintahäiriölle. Näitä aloja ovat muiden muassa teollisuus, kuljetus, julkinen palvelu sekä öljyn ja kaasun tuotanto.
2. Kun fyysinen ja kybermaailma kohtaavat, riskienhallintajohtajat ovat keskeisessä roolissa hallitsemassa kyberuhkia yrityksenlaajuisena riskinä. Vuonna 2018 riskienhallintajohtajien odotetaan työskentelevän tiiviisti tietoturvajohtajien kanssa auttaakseen organisaatioita ymmärtämään kyberriskin kokonaisvaltaiset vaikutukset yrityksen liiketoimintaan.
3. Sääntelyn valokeila laajenee ja muuttuu monimutkaisemmaksi. EU saattaa globaalit yritykset vastuuseen uuden tietosuoja-asetuksen (GDPR) rikkomuksista. Vuonna 2018 sääntelyviranomaiset kansainvälisellä, kansallisella ja paikallisella tasolla tulevat tiukentamaan entisestään voimassa olevia kyberturvallisuussäännöksiä. Suuria organisaatioita, joilla on hallussaan paljon dataa, tullaan valvomaan, miten ne keräävät, käyttävät ja suojaavat tietoja.
4. Rikolliset kohdentavat kyberhyökkäyksensä pieniin ja keskisuuriin yrityksiin, jotka tarjoavat palveluita globaaleille organisaatioille. Maailmanlaajuisesti toimivien organisaatioiden tulee huomioida esineiden internetin tuoma monimutkaisuus: miten yritykset hyödyntävät esineiden internetiä suhteessa kolmannen osapuolen riskienhallintaan. Raportissa ennustetaan, että näin ei tule tapahtumaan. Tämän seurauksena pieneen yritykseen kohdistettu hyökkäys toimii kanavana päästä häiritsemään suuryrityksen liiketoimintaa. Varoittavat esimerkit toimivat herätyksenä isoille organisaatioille, että ne arvioisivat uudelleen lähestymistapaansa kolmansien osapuolten riskienhallinnan suhteen.
5. Koska salasanoja tullaan hakkeroimaan jatkossakin ja hakkerit kiertävät fyysisiä biometriikkoja, moniosaisesta todennuksesta tulee tärkeämpää kuin koskaan aikaisemmin. Yritykset ottavat käyttöön uusia todennusmenetelmiä, kuten kasvo- ja sormenjälkitunnistuksia. Kuitenkin myös nämä teknologiat ovat haavoittuvia. Raportissa ennakoidaan, että yritykset alkavat ottaa käyttöönsä moniosaisen todennuksen torjuakseen salasanoihin ja biometriikkoihin kohdistuvia hyökkäyksiä. Vaikka yrityksissä on tarve moniosaiselle todennukselle, asiakkaat toivovat, että turvallisuustoimenpiteet olisivat mahdollisimman huomaamattomia. Tämä johtaa odotettavasti käytöksellisten biometriikkojen lisääntymiseen.
6. Rikolliset tähtäävät transaktioihin, joissa palkintopisteet toimivat valuuttana. Tämä vauhdittaa ohjelmointivirheiden metsästysohjelmien hyödyntämistä. Muutkin kuin teknologia-, autoteollisuus-, valtion ja finanssialan yritykset ottavat käyttöönsä ohjelmointivirheiden metsästysohjelmia (bug bounty programs) osaksi turvallisuusohjelmaansa. Kanta-asiakkuus- tai palkinto-ohjelmia hyödyntävät yritykset, kuten lentoyhtiöt ja vähittäiskaupat, ottavat bugipalkkio-ohjelmia käyttöön seuraavaksi, koska rikolliset tavoittelevat transaktioita, joissa pisteitä käytetään valuuttana.
7. Kryptovaluutat tukevat kiristyshaittaohjelmien menestystä. Vuonna 2018 kiristyshaittaohjelmarikolliset kehittävät taktiikoitaan. Raportissa ennustetaan, että hyökkääjät hyödyntävät haittaohjelmia, kuten ohjelmistoja, jotka on suunniteltu aiheuttamaan palvelunestohyökkäyksiä tai laittamaan liikkeelle display-mainoksia tuhansiin systeemeihin. Raportissa ennustetaan kasvua hyökkäyksille, jotka kohdistetaan ennalta määriteltyihin yrityksiin, ja joissa vaaditaan lunnasmaksuja suhteessa salatun omaisuuden arvoon.
8. Yritykset aliarvioivat sisältäpäin tulevan riskin vakavuuden. Vuonna 2017 yritykset eivät investoineet riittävästi ennakoiviin sisäisen riskin hallintastrategioihin, eikä tilanteen odoteta kohenevan vuonna 2018. Raportin mukaan sisäisessä turvallisuuskoulutuksessa ja teknisessä valvonnassa on puutteita, jolloin kyberhyökkäysten täysi mittakaava ja henkilöstön aiheuttamat tapaukset eivät tule julkisuuteen. Monet yritykset jatkavat reaktiivista vastaamista tapauksiin suljettujen ovien takana ja pysyvät epätietoisina sisäisen riskin todellisista kustannuksista ja vaikutuksesta organisaatiolle.