Kyberturvallisuus asettaa haasteita pk-yritysten liiketoiminnalle
Maailmaa muuttavassa digitalisaatiossa ei sinänsä ole kyse uudesta ilmiöstä, vaan kyseessä on tietoyhteiskunnan murroksesta seuraavaa jatkumoa. Selkeänä erona aikaisempaan ja samalla suurena mahdollisuutena on tällä hetkellä usean ICT-alueen teknologisen ajurin yhtäaikainen positiivinen toiminnallinen ja taloudellinen kehitys. Digitalisaatiolle on ominaista digitaalisten teknologioiden hyödyntäminen uudella, aikaisemmasta poikkeavalla tavalla organisaation tai yksilön toiminnassa. Samalla tarve käyttää ja jakaa tietoa entistä laajemmin ja tehokkaammin uusia tieto- ja viestintätekniikoita käyttäen lisää yrityksen tietopääomaan liittyviä riskejä ja uutiset tietomurroista, palvelunestohyökkäyksistä ja muista kyberuhkista ovat jo arkipäivää eri medioissa. Siitä huolimatta yritysten huoli kyberturvattomuudesta kasvaa varsin hitaasti, eikä ole lähelläkään lakipistettään. Valitettavasti tässä asiassa ei huolen jakaminen vaikuta sitä pienentävästi yksittäistä toimijaa kohtaan.
Suomessa oli Tilastokeskuksen mukaan vuonna 2016 yhteensä lähes 356 790 yritystä, joista 99 % oli alle 50 henkilöä työllistäviä. Pk-yritysten (< 250 työntekijää) osuus kaikkien yritysten kokonaisliikevaihdosta oli samana vuonna 59 %. Kun otetaan lisäksi huomioon, että pk-yritykset muodostavat merkittävän osan suuryritysten toimittajaverkostosta, on pk-yritysten kyberturvallisuudella kriittinen merkitys paitsi pk-yritysten itsensä kannalta, myös kansallisen kyberturvallisuuden kannalta tarkasteltuna.
Jyväskylän ammattikorkeakoulun IT-instituutissa toteutettiin vuosina 2015-2016 Cyber Scheme Finland –pilottiprojekti, jossa rakennettiin pk-yritysten tueksi kansallinen kyberturvallisuuden sertifiointimalli. Yhtenä projektin toimenpiteenä toteutettiin haastattelututkimus yhteensä kahdessakymmenessä pääosin Keski-Suomen alueella toimivassa pk-yrityksessä. Tutkimuksen tavoitteena oli tuottaa tietoa Keski-Suomessa toimivien pk-yritysten kyberturvallisuustietoisuuden ja kyberuhkiin varautumisen nykytilasta liiketoiminnan eri osa-alueilla. Hyödynsin toteuttamani tutkimuksen tuloksia ylempään ammattikorkeakoulututkintooni (YAMK) sisältyneessä opinnäytetyössäni ”Pk-yritysten varautuminen kyberturvallisuusuhkien varalle – tutkimus nykytilasta pienyrityksissä”, joka valmistui keväällä 2018. Tutkimus koostui viidestä tutkimuskysymyksestä
Opinnäytetyössäni vertasin tutkimukseni tuloksia alueelliseen, kansalliseen ja kansainväliseen tutkimukseen, joissa kaikissa kohderyhmänä olivat pk-yritykset. Tutkimuskysymykset eivät luonnollisestikaan olleet täsmälleen saman sisältöisiä, mutta kaikkien verrokkitutkimusten tuloksissa oli selkeitä yhteneväisyyksiä tekemäni tutkimuksen kanssa. Kansainvälinen verrokkitutkimus oli nimeltään ”Cyber Security Breaches Survey 2016” ja se toteutettiin osana Iso-Britannian National Cyber Security Program –ohjelmaa. Tutkimus oli luonteeltaan sekä määrällinen että laadullinen tutkimus, jonka teetti Department for Culture, Media and Sport. Tutkimuksen toteutti Ipsos MORI Social Research Institute yhteistyössä University of Portsmouth:in yksikön Institute for Criminal Justice Studies kanssa.
Kansainvälinen verrokkitutkimus osoitti, ettei Suomi ole yksin tämän asian kanssa, vaan pk-yritysten tilanne on esimerkiksi Iso-Britanniassa samankaltainen. Tutkimuksessa haastateltiin puhelimen välityksellä 1008 sattumanvaraisesti valittua Iso-Britanniassa toimivaa yritystä pääasiassa joulukuun 2015 ja tammikuun 2016 aikana. Haastatelluista yrityksistä oli 28 % mikroyrityksiä (2-9 työntekijää), 17 % pienyrityksiä (10-49), 35 % keskisuuria yrityksiä (50-249) ja 20 % suuryrityksiä (250 +). Tutkimukseen osallistuneiden yrityksen profiilia suhteessa kyberturvallisuuden haasteisiin kuvaa hyvin se, millaisen osan online-palvelut muodistavat yrityksen ydinpalvelutarjonnasta. Vastaajista 14 % ilmoitti online-palveluja olevan suuressa määrin, 39 % jossakin määrin ja lähes puolella (47 %) ei lainkaan.
Kyberturvallisuutta piti tärkeänä 37 % (fairly high priority) tai erittäin tärkeänä 33 % (very high priority) kaikista vastaajista. Mikroyrityksistä 17 % ja pienyrityksistä 33 % ilmoitti haastattelussa olleensa kybertuvallisuuteen liittyvän tietomurron tai hyökkäyksen kohteena viimeksi kuluneiden 12 kuukauden aikana haastattelun ajankohdasta lukien. Kaikkien vastanneiden keskiavo oli 24 %.
Tutkimuksen mukaan vain 16 % mikroyrityksistä ja 47 % pienyrityksistä on kyberturvallisuusriskit dokumentoituna osaksi liiketoiminnan jatkuvuussuunnitelmaa, sisäisiä auditointeja sekä riskienhallintaa. Kaikilla tutkimukseen osallistuneista vastaava luku oli 29 %. Toimialoista paras tilanne (49 %) oli rahoitus- ja vakuutusalalla, koulutusalalla sekä terveys- ja sosiaalipalvelujen alalla.
Omassa tutkimuksessani yrityksille esitettyyn väittämään ”kyberturvallisuusuhkien varalta on dokumentoitu varautumissuunnitelma, jolla pyritään varmistamaan digitaalinen jatkuvuus” vastasi yrityksistä 20 % vaihtoehdolla ”hyvin” ja 10 % vaihtoehdolla ”kohtalaisesti”. Yrityksistä 35 % valitsi vaihtoehdon ”heikosti” ja saman suuruinen osuus (35 %) vastaajista vastasi vaihtoehdolla ”ei lainkaan”. Toimialoista ”Ammatillinen, tieteellinen ja tekninen toiminta” oli valmistautunut vastausten perusteella parhaiten.
Kansainvälisessä verrokkitutkimuksessa yrityksiltä kysyttiin, onko yritysten hallituksen jäsenenä henkilöä, jolle kyberturvallisuus on vastuutettu. Mikroyrityksistä 21% ja pienyrityksistä 37% ilmoitti vastuutuksen olevan tehty. Kaikista vastaajista 28% oli järjestänyt asian kysymyksen ilmaisemalla tavalla. Omassa tutkimuksessani esitettiin yrityksille väittämä ”yrityksessä on määritelty ja dokumentoitu turvallisuuteen liittyvät vastuut ja päätösvalta”. Vastaajista 30 % valitsi vaihtoehdon “hyvin” ja 20 % valitsi vaihtoehdon kohtalaisesti. Tutkimuksissa käytettyjen termien eroavaisuuksista huolimatta tilanne näyttää olevan molempien tutkimusten perusteella se, että kyberturvallisuuden vastuuttaminen mikro- ja pienyrityksissä on yli puolella yrityksistä tekemättä. Tästä johtuen on mahdollista, että siihen ei olla kovin helposti valmiita panostamaan, koska asia ei ole erityisesti kenenkään henkilön vastuulla.
Kansainvälisessä verrokkitutkimuksessa käsiteltiin myös henkilöstön kyberturvallisuusosaamisen kehittämistä. Haastattelussa kysyttiin, ”onko henkilöstöä osallistunut kyberturvallisuutta koskevaan sisäiseen tai ulkoiseen koulutukseen, seminaariin tai konferenssiin viimeisen 12 kuukauden aikana.” Mikroyrityksistä 12% vastasi kysymykseen myönteisesti ja 22% pienyrityksistä oli panostanut aiheeseen. Kaikista vastaajista 17% vastasin kysymykseen ”kyllä”. Omassa tutkimuksessani yritykset vastasivat väittämään ”Yrityksen henkilöstöä on koulutettu tunnistamaan ja käsittelemään kyberturvallisuuspoikkemia.” Vastauksista 20 % edusti vaihtoehtoa ”hyvin” ja 45 % oli vaihtoehdon ”kohtalaisesti” kannalla. ”Heikosti” oli asiaa hoitanut 25 % yrityksistä ja vastauksen ”ei lainkaan” valitsi 10 % vastanneista.
Kysymykset tutkimuksissa olivat jossakin määrin erilaisia johtuen siitä, että verrokkitutkimuksessa oli mukana aikaulottuvuus ja vastausvaihtoehtoina vain ”kyllä” tai ”ei”, joka sinänsä se antaa kaksijakoisemman kuvan tilanteesta kuin omassa tutkimuksessani käytetty viisiportainen Likert –asteikko. Tutkimusten eroavaisuuksista huolimatta on molempien tutkimusten mukaan selvää, että mikro- ja pienyritykset eivät ole – muiden yritysten tavoin – paljoakaan panostaneet henkilöstönsä kyberturvallisuusosaamisen kehittämiseen, sillä vain joka viides yritys ilmoitti asian olevan kunnossa.
Lisäksi kansainvälisessä verrokkitutkimuksessa esitettiin vastaajille kysymyksiä koskien konkreettisia kyberuhkia sekä kysymyksiä, jotka liittyivät Iso-Britannian valtion tekemiin panostuksiin pk-yritysten kyberturvallisuuden lisäämiseksi. Eräs tutkimuksessa esiin tullut seikka oli suomalaisen FINCSC® -sertifiointimalliin rakentamisessa benchmarkatut Cyber Essentials ja Cyber Essentials Plus arviointimallit, joiden käyttöä alihankkijoita valittaessa kysyttiin yrityksiltä. Kaikista vastaajista (N=241) Cyber Essentials -mallia tai sen noudattamista edellytti 8% päämiehistä. Cyber Essentials Plus –mallin kohdalla vastaava luku oli 5%. Toisin kuin Suomessa, luotiin brittiläiset Cyber Essentials -arviointimallit sikäläisen hallituksen vahvasti tukemana ja ne ovat olleet jo käytössä useita vuosia. Siitä huolimatta verrokkitutkimuksen mukaan vain 6 % kaikista tutkimukseen vastanneesta 1008 yrityksestä oli tietoisia mallien olemassaolosta. Tietoisuus vaihteli yrityskoon mukaan 5-20 % siten, että vähiten tietoisia olivat mikroyritykset ja paras tietoisuus oli suuryrityksillä.
Molemmat edellä mainitut tutkimukset osoittavat kiistatta, että jo pelkästään tietoisuuden lisäämiseksi kyberturvallisuudesta on vielä paljon työtä tehtävänä niin Iso-Britanniassa kuin Suomessakin. Siitä on hyvä aloittaa ja parantaa poikkeamien sietokykyä pitäen samalla mielessä, että täysin turvallista tilannetta ei voida koskaan saavuttaa, mikäli ollaan yhteydessä julkisesti käytössä oleviin tietoverkkoihin.
–Aimo Pellinen, asiantuntija, Jyväskylän ammattikorkeakoulu, IT-instituutti
Lähteet ja lisätietoja:
Yritykset 2016. 2017. Tilastokeskus. www-sivu. Viitattu 23.5.2018
https://www.tilastokeskus.fi/tup/suoluk/suoluk_yritykset.html
Klahr, R. Amili, S., Shan, J.N. 2016. Cyber Security Breaches Survey 2016. Main re-port. HM Government., Ipsos MORI., University of Portsmouth. Viitattu 22.5.2018.
https://www.gov.uk/government/publications/cyber-security-breaches-survey-2016
Pellinen, A. 2018. Pk-yritysten varautuminen kyberturvallisuusuhkien varalle – tutkimus nykytilasta pienyrityksissä. Opinnäytetyö, ylempi AMK. Jyväskylä. Viitattu 10.9.2018.