11 elokuuta 2025

Kyberuhkien 5 myyttiä, joihin pk-yritysten ei pidä luottaa

Kuvassa Christina Forsgård

Kyberkriisi ei katso yrityksen kokoa. Christina Forsgård kehottaa katsomaan riskejä silmästä silmään.

 

Christina Forsgård on suunnitellut ja ohjannut kyberharjoituksia yrityksille, viranomaisille ja muille yhteiskunnan keskeisille toimijoille niin kotimaassa kuin kansainvälisesti. Kyberkriisien hallintaan, varautumiseen ja kriisiviestintään erikoistunut konsultti puhuu suoraan ja värikkäästi tavalla, joka saa ottamaan asian vakavasti.

Forsgårdin mukaan kaikkein isoin uhka on se, jos yrityksessä ei ole tunnistettu siihen potentiaalisesti kohdistuvia riskejä.

“Riskikenttä on viimeisen kolmen vuoden aikana muuttunut dramaattisesti. Kyberuhat ovat yhä useammin osa isompaa kokonaisuutta, jossa useampi riski realisoituu ja joka voi pysäyttää koko yrityksen liiketoiminnan. Puhutaan hybridiriskeistä”, Forsgård kertoo.

Keskustelimme Forsgårdin kanssa pk-yrityksiin kohdistuvista kyberuhista ja niihin liittyvistä uskomuksista.

Myytti 1: Yrityksemme on niin pieni, ettei se houkuttele rikollisia

 

On totta, että pk-yrityksillä harvemmin on tileillään miljoonia, joita kiristyshaittaohjelman levittäjä voisi havitella. Suuryrityksiin on kuitenkin vaikeampaa murtautua. Pienemmät sen sijaan ovat rikollisille helppoja saaliita.

“Pk-yrityskentässä on savannin hitainta antilooppia tarjolla. Ne ovat hyviä kohteita aloitteleville rikollisille. Jos saa riittävän monta, sekin riittää”, Forsgård huomauttaa.

Kiristyshaittaohjelmat ovat jo kansainvälistä bisnestä, jota kutsutaan nimellä RaaS eli Ransomware as a Service

“Ihminen, joka haluaa rikastua hinnalla millä hyvänsä, voi ostaa ransomware-ohjelmiston käyttöönsä ja käyttää sitä aseena, jolla hyökkää suojaamattomiin kohteisiin.”

Myytti 2: Meillä ei ole mitään kiinnostavaa

 

Tietomurtoja ei tehdä vain rahan vuoksi, eikä kohde aina ole se yritys, johon on murtauduttu. Usein ollaan tietojen perässä, ja vakoilun varsinaisena kohteena voivat olla yrityksen asiakkaat, päämiehet ja kumppanit. Suojaamattomat ohjelmistot ja palvelimet voivat toimia porttina asiakasrekistereihin, sähköposteihin, tarjouksiin, sopimuksiin, hinnastoihin ja IPR-omaisuuteen.

“Verkostoituneessa maailmassa ja alihankintaketjuissa yritysten on suojauduttava toimitusketjuhyökkäyksiltä. Yksikään yritys ei halua joutua tilanteeseen, jossa huomaa joutuneensa osaksi hyökkäystä omia asiakkaitaan kohtaan”, Forsgård painottaa.

Myytti 3: Tietoturva kuuluu IT-ammattilaisille

 

Kyberkriisi on koko organisaation kriisi, jota ei ratkaista pelkällä IT-osaamisella. Se vaikuttaa asiakkaisiin, maineeseen, toimituskykyyn ja pahimmillaan pysäyttää koko yrityksen liiketoiminnan.

“It-ammattilaiset tutkivat, mitä on tapahtunut ja miten tekninen ongelma korjataan. Lisäksi pitää viestiä asiakkaille, sidosryhmille ja henkilöstölle, mitä on tapahtunut ja mitkä ovat vaikutukset. Kolmanneksi on ymmärrettävä juridiset vastuut.”

Forsgård korostaa myös toimitusjohtajan ja hallituksen vastuuta, sillä varautuminen, päätöksenteko ja seuraukset ovat heidän vastuullaan.

Myytti 4: NIS2 ei kosketa meitä

 

On totta, että EU:n NIS2-direktiivi velvoittaa ensisijaisesti kriittisiä toimialoja kuten energia- ja vesihuoltoa, terveydenhoitoa, pankkeja jne. Vaikutukset ulottuvat kuitenkin laajalle. Jos yritys toimii osana toimitusketjua esimerkiksi energia-, logistiikka- tai teknologiateollisuudessa, siltä saatetaan edellyttää samoja turvallisuuskäytäntöjä kuin direktiivin alaisilta toimijoilta.

"Direktiivin kannalta ei ole väliä, minkä kokoinen yritys on, vaan toimiiko se kriittiseksi luokitellulla alalla. Lisäksi kyse ei ole vain siitä, mitä laki sanoo, vaan siitä, mitä kumppanit ja asiakkaat edellyttävät tai siitä miten vakavissaan yritys suhtautuu liiketoiminnan strategisiin riskeihin", Forsgård muistuttaa.

Myytti 5: Jos jotain tapahtuu, kyllä siitä selvitään

 

Ilman suunnitelmaa, roolitusta ja harjoittelua kriisistä selviäminen voi kestää kauan ja aiheuttaa mittavaa vahinkoa. Varautumisen tarkoitus on ennen kaikkea tunnistaa riskit ja estää niiden toteutuminen. Jos kyberkriisi kuitenkin iskee, varautuneella yrityksellä on kyky toimia hallitusti ja minimoida vahingot.

“Taloudelliset sanktiot ovat vain rahaa, mutta maineen menetys voi tarkoittaa bisneksen ja asiakkaiden menettämistä. Yritys, joka on varautunut, auditoinut ja sertifioinut järjestelmänsä, saa kriisissä myös asiakkaat, kumppanit ja suuren yleisön helpommin puolelleen”, Forsgård toteaa.

Christina Forsgård kannustaa pk-yritysten omistajia, hallituksia ja johtajia ottamaan riskiarvioinnin agendalle:

“Joskus tuntuu, että riskit ovat yritysjohtajille kuin Harry Potterin Voldemort: jos sen lausuu ääneen, riski toteutuu. Näinhän ei tietenkään ole. Rehellisen riskikartoituksen tehnyt yritys tietää, mihin sen pitää varautua. Se voi laatia suunnitelmat kaikkien todennäköisimpien ja vaarallisimien uhkien varalta. Kun on varautunut hyvin, voi myös nukkua yönsä hyvin.”

Yleistä

Samankaltaisia artikkeleita

Kuvassa Juhana Brotherus seisoo käytävässä

Ketterät yritykset selviytyvät kauppasodan varjossakin

Kauppapoliittinen tempoilu antaa aihetta pohtia uusia menestyksen avaimia, mutta ei kuitenkaan yllä aikakautta selkeimmin leimaavaksi tekijäksi.

 

Kuvassa Jouni Vihmo

Viisi näkymää rakennusalan kasvuun

Horisontissa pilkahtelee valoa. Rakennusalaa on kuritettu kaikin tavoin, mutta Rakennusteollisuuden kevään 2025 suhdannekatsauksen ennuste oli positiivinen.

 

Kuvassa Iisakki Koski

Yrityskauppa pääomasijoittajan kanssa – mahdollisuus uuteen kasvuun

Onnistunut yrityskauppa oikean kumppanin kanssa voi avata kokonaan uuden luvun yritykselle tarjoten avaimet kehitykseen ja valoisaan tulevaisuuteen.

Woman sitting with phone in her hand

Markkinoinnin viisi kulmakiveä B2B-yrityksille vuonna 2025

Siitä lähtien, kun markkinoinnin painopiste alkoi siirtyä verkkoon, kanavia, työkaluja, teknologioita ja trendejä on ilmaantunut sellaisella intensiteetillä, että hälyn keskeltä on vaikea erottaa, mikä on juuri omalle toimialalle ja yritykselle merkityksellistä.