tiistai 23. marraskuuta 2010

Yli puolet tietorikoksista jää ilmoittamatta

Helsingin kauppakamari teki lokakuussa 2010 tutkimuksen yritysten tiedon suojaamisesta ja tietoihin kohdistuneista rikoksista. Tutkimus paljastaa että yli puolet tietorikoksista jää ilmoittamatta viranomaisille, ja syy tähän on usein yrityssalaisuuden suojeleminen. Tutkimus paljastaa karun totuuden tietorikosten käsittelystä yrityksissä 

  • 46 % yrityksistä on joutunut tai vahvasti epäilee joutuneensa tietorikoksen kohteeksi, 59% jätti kuitenkin rikosilmoituksen tekemättä 
  • yritysten tekniset suojaukset ovat hyvätasoisia ja suunnattu ulkoisia uhkia vastaan, 47% väärinkäytöksistä ja rikoksista on oman henkilökunnan tekemiä 

Suurimmat syy ilmoittamatta jättämiseen olivat ettei siitä uskottu olevan apua tai yrityssalaisuuksia ja imagoa haluttiin suojella. Yritysten tulisikin varautua tilanteeseen etukäteen toimintasuunnittelemalla väärinkäytöstä tai rikosta epäiltäessä. Ulkopuolisia asiantuntijoita käytettäessä tulee varmistaa toimijoiden laillisuus, sillä rikosten paljastaminen on luvanvaraista toimintaa. Tutkimus osoittaa että pahimmat aukot turvallissuudessa ovat samoja KRP:n julkaiseman yrityksiin kohdistuvan ja niitä hyödyntävän rikollisuuden tilannekuvan kanssa, mistä kirjoitimme viime viikolla. Tiedon merkityksen tunnistaminen yrityksen toiminnassa sekä siihen kohdistuvien uhkien arviointi on edelleen puutteellista ja tutkimuksessa todetaankin "yritysten riskitietoisuudessa ja yrityksien sisäisten prosessien aukottomuudessa on parantamisen varaa". Tekniset suojaukset ovat kunnossa mutta hallinta puuttuu. Useiden tapausten taustalla on ollut liian vapaa pääsy järjestelmiin ja pääsynhallinnan prosessien puuttuminen. Tämäkin tutkimus osoittaa että suomalaisten yritysten tekniset suojaukset ovat keskitasoa paremmat. Vastaajien mukaan kuitenkin sinisilmäisyys ja liiallinen luottamus aiheuttavat tietojen vuotamista, teknisistä suojauksista huolimatta. Asennekasvatus ja riskitietoisuuden parantaminen ovatkin tie turvallisempaan toimintaan.

maanantai 8. marraskuuta 2010

KRP: Tietoturvallisuuden hallinnan merkitys kasvaa

Keskusrikospoliisi julkaisi ensimmäisen otsikon raporttinsa vuodesta 2009 viime vuoden lopulla. Nyt 5.11.2010 julkaistiin päivitetty raportti. Jotain on vuodessa muuttunut, mutta paljon on pysynyt samana.

Yrityksiin kohdistuvan ja niitä hyödyntävän rikollisuuden tilannekuva sisältää tietoa suomalaisen viranomaisen näkökulmasta lähitulevaisuuden uhista sekä ohjeita uhkiin varautumisesta. Vuoden 2009 raportin yhteenveto löytyy jutustamme viime vuoden lokakuulta. Tänä vuonna keskeiset havainnot ovat: 

  • Ulkomaisten tilausperiaatteella toimivat rikollisryhmien lisääntyminen Suomessa 
  • Sähköiseen tietoon ja sen käsittelyyn kohdistuvat uhat 
  • Tietoturvallisuusriskit ja riskienarviointi organisaatioissa 
  • Tietojenkäsittely-ympäristön tekniset haavoittuvuudet 
  • Harmaan talouden vaikutukset 
  • Työssä koetun väkivallan lisääntyminen 

Selkein muutos viime vuoteen on tietoturvallisuuden selvästi korostunut merkitys. Viime vuonna vain yksi kohdista liittyi tietoturvaan. Tämä ei mielestäni johdu välttämättä suoraan toteutuneiden uhkien lisääntyneestä määrästä, vaan ihmisten heräämisestä tämän päivän toimintaympäristöön. KRP:n seurannan mukaan tosin myös uhkien määrä on kasvussa. Yhä useamman organisaation on pakko alkaa tunnustamaan, että toiminta ei todellakaan jatku ilman, että tietty tieto on koko ajan saatavilla. Se on myös useimmiten sähköisenä, eikä sen käsittely paperilla ole enää mahdollista ilman tietojenkäsittely-ympäristöä. Ikävä kyllä kyseinen ympäristö on juuri se asia, jonka yrityksen johto tuntee heikoiten.

Tätä tukee myös KRP:n raportti. ”Tällä hetkellä tietorikokset tekee erityisen helpoksi puutteellinen tietojenkäsittely-ympäristön hallinta.” (KRP, 5.11.2010). Eli suurin syy on se, että organisaatioiden tärkein ympäristö ei ole hallinnassa! Siihen kohdistuvia riskejä ei välttämättä edes tunneta. Vaikka IT-asiat ovat yleensä hankalia, suosittelen ehdottomasti asiaan tarttumista. Sen voi tehdä itse tai sen voi ulkoistaa – itse tekeminen edellyttää IT-tietämystä, mutta ulkoistus vaatii jatkuvaa sopimushallintaa ja sopimusjuridiikan tuntemista. Mitä ei hallitse, ei voi johtaa ja jos yksi tärkeimmistä tuotantotekijöistä ei ole johdettavissa, ollaan tuuliajolla. Hienoa on kuitenkin ollut käytännössä huomata, että organisaatiot ovat tähän vihdoin heräämässä ja rohkeita toimenpiteitä on aloitettu monessa paikassa.