Tietomurtojen yleistymisen myötä ei ole enää kyse siitä, hyökätäänkö organisaatiota vastaan, vaan siitä, milloin. Tietoverkkorikolliset ovat hyödyntäneet nykytilannetta ja käynnistäneet useita kehittyneitä verkkohyökkäyksiä, jotka kohdistuvat useisiin eri toimialoihin.
Tietomurtojen jatkuva virta ei näytä laantuvan, ja jos jotain, niin niiden taajuus ja vakavuus lisääntyvät. Tuoreen Risk Based Security Report -raportin mukaan vuoden 2020 ensimmäisten kuuden kuukauden aikana on jo paljastunut huikeat 8,4 miljardia tietuetta.
Tietomurron pitkän aikavälin seuraukset ovat tulleet aivan liian todellisiksi, ja monet organisaatiot ovat nyt hyvin tietoisia vahingoista, joita kalliista tietomurrosta voi aiheutua. British Airwaysille ja Marriotille määrätyt sakot korostavat, miten vakavasti ICO aikoo suhtautua GDPR:n rikkomuksiin jatkossa.
Miten tietoturvaloukkauksen kohteeksi joutuneet organisaatiot kärsivät?
Tietomurto voi aiheuttaa korjaamatonta vahinkoa, ja pitkän aikavälin vaikutukset voivat olla lamauttavia. Sen lisäksi, että organisaatioille voidaan määrätä suuria sakkoja sääntöjen noudattamatta jättämisestä, ne voivat joutua maksamaan lisäkustannuksia, jotka aiheutuvat toiminnan keskeytymisestä, asiakastietojen menetyksestä, uusien turvatoimien toteuttamisesta ja korvausten maksamisesta asiakkaille, joita asia koskee.
Tietomurto voi myös vaikuttaa merkittävästi kuluttajien luottamukseen, osakkeen arvoon ja vahingoittaa brändin mainetta. Valitettava tosiasia on, että monet kuluttajat yksinkertaisesti menettävät luottamuksensa yritykseen, jos he uskovat, että heidän henkilötietojaan ei ole suojattu asianmukaisesti.
Tietoturvaloukkaukset voivat vaikuttaa merkittävästi yrityksen arvostukseen ja osakekurssiin. Hyvä esimerkki tästä oli Yahoon tietomurto vuonna 2013. Yli 3 miljardia käyttäjätiliä paljastui, jolloin paljastui arkaluonteisia asiakastietoja, kuten sähköpostiosoitteita, salasanoja, puhelinnumeroita ja syntymäaikoja.
Tietomurto tuli ilmi vuonna 2016, kun yhdysvaltalainen teleyritys Verizon oli ostamassa yritystä. Yrityskauppa eteni, ja sijoittajat ostivat Yahoon alennetulla 4,48 miljardin dollarin hinnalla, joka on noin 350 miljoonaa dollaria vähemmän kuin alkuperäinen osakkeen hinta.
Ammattijärjestö (ISC)2:n raportissa korostettiin myös tietoturvaloukkauksen vaikutusta yrityksen arvostukseen. Tutkimus osoitti, että jos yritys kärsii tietomurrosta, se voi laskea merkittävästi sen osakekurssia pörssissä.
Raporttia varten haastateltiin 250 yhdysvaltalaista fuusioiden ja yrityskauppojen asiantuntijaa, joista 49 prosenttia on nähnyt fuusio- tai yrityskauppasopimuksen kariutuvan tietoturvaloukkauksen vuoksi. Lisäksi 86 prosenttia vastaajista sanoi, että jos yritys julkisesti raportoisi tietoturvaloukkauksesta, se heikentäisi sovittua hankintahintaa.
Kuitenkin 77 prosenttia ilmoitti, että he olivat aiemmin suositelleet yhtä yritystä ostettavaksi toisen yrityksen sijaan sen kyberturvallisuusohjelman vahvuuden vuoksi. 96 prosenttia oli myös todennut, että kyberturvallisuusvalmiudet vaikuttavat laskelmiin, kun he arvioivat mahdollisen ostokohteen rahallista kokonaisarvoa.
Tutkimus osoittaa, että vaikka useimmat yritykset eivät haluaisikaan kokea tietomurtoa, rahoittajat ja yritysjohtajat suhtautuvat niihin myönteisemmin, jos ne ovat ryhtyneet toimiin sen käsittelemiseksi hyvin, mukauttaneet toimintatapojaan ja prosessejaan sekä parantaneet yleistä tietoturvatilannettaan.
Vahva tietoisuusohjelma on avainasemassa riskien vähentämisessä ja valmistautumisessa väistämättömään. Jos organisaatiot investoivat kyberturvallisuuteen ja pystyvät osoittamaan, että ne ovat toteuttaneet kaikki tarvittavat toimenpiteet tietoturvansa suojaamiseksi, ne eivät todennäköisesti joudu kohtaamaan sääntelyviranomaisten täyttä vihaa, eikä niiden osakkeen arvo välttämättä kärsi yhtä paljon kuin niiden yritysten, jotka eivät ole tehneet mitään.
Klikkaa tästä saadaksesi lisätietoja tietoturvaloukkauksen 5 vahingollisesta seurauksesta.
Parhaat käytännöt tietomurron välttämiseksi
- Henkilöstön koulutus - Hyvän tietoturvatavan opettaminen henkilöstölle on paras tapa puolustaa organisaatiota hyökkäyksiltä. ICO: lle vuoden 2019 ensimmäisellä puoliskolla ilmoitetuista 4856 henkilötietomurrosta 60 prosenttia johtui inhimillisestä virheestä. Organisaatioilla voi olla taipumus keskittyä ulkoisiin uhkiin, mutta suurimman turvallisuusriskin muodostavat usein omat työntekijät. Kattava tietoturvatietoisuuskampanja, jossa hyödynnetään erilaisia työkaluja ja tekniikoita, on paras tapa sitouttaa henkilöstö ja valistaa heitä kehittyvästä uhkakuvasta.
- Päivitä tietoturvaohjelmistot - Tietoturvaohjelmistot olisi päivitettävä säännöllisesti, jotta hakkerit eivät pääse verkkoon vanhempien ja vanhentuneiden järjestelmien haavoittuvuuksien kautta. Juuri näin hakkerit pääsivät käsiksi yli 143 miljoonan amerikkalaisen henkilötietoihin pahamaineisessa Equifax-tietomurrossa vuonna 2017. Korjaus tähän haavoittuvuuteen oli saatavilla kaksi kuukautta ennen tietomurtoa, mutta yritys ei päivittänyt ohjelmistoaan.
- Säännölliset auditoinnit ja riskinarvioinnit - GDPR:ssä säädetään, että organisaatioiden on suoritettava säännöllisiä tietojenkäsittelytoimien auditointeja ja noudatettava tietosuojan periaatteita, jotka auttavat suojaamaan tietoja. Näin varmistetaan, että käytössä on sopiva kehys, joka pitää asiakkaiden henkilökohtaisesti tunnistettavat tiedot turvassa ja lieventää mahdollisia riskejä. Tehokkaan toimintaperiaatteiden hallintajärjestelmän käyttöönotto antaa organisaatioille mahdollisuuden osoittaa, että ne noudattavat lainsäädännöllisiä vaatimuksia, ja kohdistaa toimet tehokkaasti aloille, jotka aiheuttavat suurimman tietoturvariskin.
- Salasanojen turvallisuus - Yksi helpoimmista tavoista, joilla hakkerit pääsevät käsiksi yrityksen arkaluonteisiin järjestelmiin, on salasanojen arvaaminen. Lisäturvallisuuden vuoksi käyttäjien tulisi luoda salasana, joka on lauseesta tai sanayhdistelmästä koostuva salasana. Kunkin sanan ensimmäinen kirjain muodostaa salasanan perustan, ja kirjaimet voidaan korvata numeroilla ja symboleilla lisäsuojan lisäämiseksi. Kahden tekijän todennus (2FA ) tarjoaa myös lisäturvaa tileille. Salasanan lisäksi 2FA edellyttää toista tietoa käyttäjän henkilöllisyyden vahvistamiseksi. Tämä voi olla turvakysymys, sormenjälki tai kertakäyttökoodi.
Olemme laatineet ilmaisen oppaan, jossa on 10 käytännön vinkkiä siitä, miten parantaa henkilöstön tietoisuutta kyberturvallisuudesta, jotta voit parantaa tietoisuutta organisaatiossasi ja vähentää kalliin tietomurron mahdollisuutta.
Tässä oppaassa opit:
- Miten kehitetään vankka tietoverkkoturvallisuustietoisuussuunnitelma, joka vähentää tietomurron riskiä.
- Mitä vaaditaan, jotta tietoverkkoturvatietoisuusohjelma olisi tehokas.
- Käytännön vinkkejä henkilöstön tietoturvatietoisuuden parantamiseen.
Klikkaa tästä saadaksesi 10 tapaa parantaa henkilöstön tietoisuutta kyberturvallisuudesta -oppaan.