Hyppää sisältöön

Mikä on tietoturvan taso suomalaisissa yrityksissä?

Kantar teki alkuvuodesta 2022 tutkimuksen, jossa selvitettiin suomalaisten yritysten tietoturvan tilannetta. Tutkimus tehtiin juuri ennen Venäjän hyökkäystä Ukrainaan ja siihen vastasi hieman reilu tuhat pk-yritysten edustajaa.

Kirjoittanut Kimmo Haapavuori
maanantai 11. huhtikuun 2022
3 min

58 prosenttia vastaajista piti tietoturvasta huolehtimista erittäin tärkeänä ja 31 prosenttia melko tärkeänä. Yhteensä siis 89% piti tietoturvaa tärkeänä, joka omaan korvaan kuulostaa ilahduttavan suurelta luvulta. Toivottavaa toki on, että jokainen yritys ja yrittäjä tiedostaisi tietoturvan tärkeyden. Arvelen, että etenkin yksinyrittäjistä löytyy niitä, jotka eivät pidä tietoturvaa tärkeänä. On kuitenkin tärkeää muistaa, että tietoturvan tärkeys ei ole yrityskoosta riippuvainen.

Esimerkiksi henkilötietoja käsitellään käytännössä jokaisessa yrityksessä. Ja liiketoimintaa pyöritettäessä myös rahaliikennettä on aina. Jo nämä asiat merkitsevät, että tietoturvaa ei voi sivuuttaa.

Tietoturvan taso yrityksissä hyvällä tasolla?

Vastanneista yrityksistä 56 prosenttia arvioi tietoturvan tason hyväksi ja 15 prosenttia erinomaiseksi. Yhteensä siis 71 prosenttia kokee tilanteen olevan positiivisen puolella. Tämäkin prosenttiluku kuulostaa omaan korvaan varsin hyvältä. Jopa niin hyvältä, että arvelen joissain yrityksissä hyvänolontunteen hiipineen salakavalasti puseroon. Toivottavaa toki on, että tilanne aidosti on hyvä. Tietoturvan kehittäminen ja pelkästään ylläpitäminenkin on kuitenkin jatkuva prosessi. Tämän prosessin pitää toimia koko ajan.

Osaamisen puute ja kustannukset esteenä hyvälle tietoturvalle

Yrityksistä 35 prosenttia kokee osaamisen puutteen esteenä hyvän tietoturvan toteuttamiselle. 22 prosenttia puolestaan pitää kustannuksia esteenä. Osaltaanhan nämä asiat korreloivat keskenään. Etenkään pienissä yrityksissä sisäistä osaamista ei useinkaan ole vaan osaamista on hankittava talon ulkopuolelta. Tämä luonnollisesti tuo kuluja. Tietoturva onkin nykyisellään yksi asia, mikä tulee huomioida yrityksen budjetoinnissa. Tähän liittyvät niin tietoturvaan liittyvät teknologiset hankinnat kuin lähes aina myös asiantuntijatyöhön liittyvät hankinnat.

Toisaalta monilta osin hyvän tietoturvan toteuttamisella ei ole konkreettista hintalappua. Tietoturvan toteuttaminen vaatii esimerkiksi yrityksen jokaisen henkilön tiedostavan tietoturvaan liittyvät seikat ja ottavan nämä huomioon jokapäiväisessä työssä.

Huonot salasanakäytännöt, lukitsematta jätetty tietokone tai kahvilan pöydälle jätetty muistio ovat selkeitä tietoturvariskejä. Näiden tilanteiden tietoturvallinen toteuttaminen ei maksa mitään. Se kuitenkin vaatii, että yrityksen työntekijät tiedostavat tilanteet tietoturvan kannalta tärkeiksi ja että he ottavat nämä seikat huomioon päivittäisessä toiminnassaan.

Tietoturvaan liittyviä toimenpiteitä ja niiden tuomia kustannuksia tulee miettiä riskiarvion kautta. Tietoturvaan satsaamista voi tietyiltä osin verrata vakuutusten hankintaan. Mitä seuraa, jos jokin tietoturvaan liittyvä uhka realisoituu. Todennäköisesti uhka tuo realisoituessaan rahallista kustannusta. Varsin todennäköistä on myös esimerkiksi mainehaitta. Mitä seuraa, jos yrityksen hallussa olevia henkilötietoja vuotaa vääriin käsiin? Tästä esimerkkinä monelle on vielä hyvässä muistissa Psykoterapiakeskus Vastaamon tapaus.

Tietomurtoja ja niiden yrityksiä tapahtuu jatkuvasti

Noin 10 prosenttia yrityksistä kertoo joutuneensa tietomurron tai sen yrityksen kohteeksi. Yli kymmenen henkilöä työllistävissä yrityksissä luku on noin 20 prosenttia. Olisi mielenkiintoista tietää tarkemmin jakauma realisoituneiden tietomurtojen ja niiden yritysten välillä. Myös eri henkilöt todennäköisesti määrittelevät eri tavalla tietomurtoyrityksen. Toiset esimerkiksi laskevat tähän luokkaan sähköpostiin tulleen kalasteluviestin ja toiset eivät. Myöskään yrityksen edustajat eivät läheskään aina tiedä tai huomaa, kun yritystä vastaan kohdistuu tietomurtoyritys.

Vallitsevan maailmantilanteen vuoksi on mielestäni selvää, että riski tietomurron kohteeksi joutumiselle on kasvanut. Tämä riski pätee valtiollisiin toimijoihin, mutta myös yhtä lailla yksityisiin yrityksiin. Tietoturvaan ja kyberturvaan panostaminen on nykyisellään jokaiselle yritykselle välttämätöntä. Siitä on tullut perusedellytys. Valitettavasti tämä vaatii yrityksiltä investointeja, mutta tietoturva ei ole pelkkää rahallista panostamista. Tietoturva vaatii oikeanlaisia käytäntöjä, jatkuvaa kehittämistä ja henkilöstön kouluttamista.

Jos oman yrityksen tietoturvan taso mietityttää, voit helposti lähteä liikkeelle tutustumalla pienyrityksen tietoturvan muistilistaan. Olemme myös mielellämme avuksi yrityksenne tietoturvan tilan kartoittamisessa ja kehittämisessä.

Kauppalehti uutisoi Kantarin tutkimuksesta