Kyberturvallisuus on noussut yhdeksi kyberalan keskeisistä painopistealueista viime vuosina. Jopa hallitus on maininnut sen kriittisessä vireillä olevassa lainsäädännössä. Sen saavuttaminen on kuitenkin osoittautunut jonkin verran vaikeaksi Yhdistyneen kuningaskunnan kuudelle miljoonalle yritykselle. Jos Whitehallin viimeisimmän tutkimuksen mukaan on mitään suuntaa antavaa, alan turvallisuus- ja kehittämistavoitteiden ja organisaatioiden todellisten saavutusten välinen ero on edelleen huomattava.
Tämän vuoden Kyberturvallisuusloukkausten tutkimus on julkaistu. Ja se on jälleen kerran todiste siitä, että maan yritykset polkevat vesillä kyberturvallisuuspyrkimystensä suhteen. Vain puolella (57 %) keskisuurista yrityksistä ja kolmella neljäsosalla (74 %) suurista yrityksistä on edes käytössä tietoturvastrategia – käytännössä sama kuin viime vuonna. Työtä on vielä paljon tehtävänä.
Matka resilienssiin
Resilienssi tarkoittaa kyberturvallisuuden uudelleenmäärittelyä epävakaan uhkakuvan, kasvavan sääntelyvalvonnan ja digitaalisten investointien kyltymättömien hallitusten vaatimusten taustalla. Maailmassa, jossa kyberrikollisuustalous on arvoltaan biljoonia, kansallinen kyberturvallisuuskeskus (NCSC) on tekemisissä neljä "kansallisesti merkittävää" hyökkäystä viikossa ja miljardeja vaarantuneita tunnistetiedot kiertävät, turvallisuustiimien on hyväksyttävä, ettei mikään organisaatio ole 100-prosenttisesti tietomurtovarma.
Tässä yhteydessä painopiste siirtyy ennaltaehkäisystä kykyyn valmistautua, reagoida, toipua ja oppia kaikista hiipivistä hyökkäyksistä. Tämä on tärkeämpää kuin koskaan, kun hyökkäyspinnat laajenevat IoT-laitteiden, tekoälyagenttien, chatbottien ja oikeustieteen asiantuntijoiden räjähdysmäisen kasvun myötä – joista monia käytetään ilman IT-osaston tietämystä. IO (entinen ISMS.online) Tietoturvan tilaraportti 2025 paljastaa, että kolmasosa (34 %) vastaajista on huolissaan varjotekoälystä tulevan vuoden aikana, mikä on yksi suosituimmista vastauksista.
Mitä hallitus löysi
Todellinen resilienssi vaatii monikerroksisia puolustuskeinoja. Valitettavasti hallituksen viimeisin tietomurtoraportti paljastaa, että monet organisaatiot eivät ole ottaneet käyttöön perusasioita. Tässä on joitakin keskeisiä havaintoja:
Henkilöstön koulutus ja tietoisuus nostamallaVaikka näihin aktiviteetteihin osallistuvien vastaajien osuus kasvoi suurimmissa yrityksissä (viime vuoden 76 prosentista tänä vuonna 84 prosenttiin), se pysyi kokonaisuudessaan pettymyksen tuottaneessa 19 prosentissa.
Riskianalyysit: Kyberturvallisuusriskien arviointeja tekevien vastaajien määrän vuosittainen kasvu oli hyvin pieni keskisuurten (57–62 %) ja suurten (70–72 %) yritysten keskuudessa. Kokonaisluku pysyi kuitenkin käytännössä muuttumattomana 30 prosentissa.
Toimitusketjun riskienhallinta: Alle kolmannes (30 %) keskisuurista yrityksistä ja puolet (48 %) suurista yrityksistä tarkastelee välittömien toimittajiensa aiheuttamia kyberriskejä. Tämä on lähes sama kuin viime vuonna, jolloin luvut olivat 32 % ja 45 %. Laajemman toimitusketjun osalta luvut olivat vielä alhaisemmat: 13 % ja 24 % verrattuna 15 %:iin ja 25 %:iin. Kaiken kaikkiaan vain 15 % yrityksistä tarkasteli välittömiä toimittajiaan ja 6 % laajempaa toimitusketjua – suunnilleen sama kuin viime vuonna (14 % ja 7 %).
vakuutukset: Puolet (47 %) yrityksistä sanoo olevansa vakuutettuja kyberriskien varalta, ja keskisuurten yritysten kohdalla osuus on nousussa (61 %). Tämä on pääpiirteittäin samaa luokkaa kuin viime vuonna (45 % ja 65 %). Huolestuttavampaa on kuitenkin se, että vain 10 % sanoo, että heillä on käytössä erityinen kybervakuutus, ja yli viidennes (22 %) ei tiedä asiasta lainkaan. Molemmat tilastot olivat samankaltaisia kuin viime vuonna (7 % ja 20 %).
Hallitus: Kyberturvallisuutta pidetään "korkealla prioriteetilla" ylimmälle johdolle 72 % vastaajista. Mutta onko se todella? Johtotason vastuu siitä kasvoi vain hieman, 27 prosentista 31 prosenttiin.
Tapahtumavastaus: Niiden vastaajien osuus, joilla on virallinen sijoittajasuhdesuunnitelma, pysyi käytännössä muuttumattomana (25 %), kuten myös keskisuurten (53 %:sta 57 %) ja suurten (75 %:sta 76 %) yritysten luvut.
Tietoisuus hallituksen aloitteista: Useammat vastaajat kuin viime vuonna kertovat kuulleensa valtion ohjelmista, kuten Cyber Aware (24 % vs. 30 %), 10 askeleen ohjeistuksesta (12 % vs. 17 %) ja Cyber Essentialsista (12 % vs. 17 %). Mutta nämä luvut, samoin kuin uudempien ohjelmistoturvallisuuden käytännesääntöjen (22 %) ja kyberhallinnon käytännesääntöjen (16 %) luvut, ovat silti aivan liian alhaiset.
Lisäksi Cyber Essentials -tuotteita omistavien vastaajien osuus on kasvanut vain hieman, kokonaisuudessaan 3 prosentista 5 prosenttiin ja suuryritysten kohdalla 21 prosentista 35 prosenttiin.
Tekoäly: Noin viidennes (21 %) vastaajista sanoo ottaneensa käyttöön joitakin tekoälytyökaluja organisaatiossaan. Silti lähes puolet (45 %) väittää, ettei tekoälyllä ole merkitystä heidän organisaatiolleen.
Rastitusruudun turvallisuuden tuolle puolen
Cybanetixin teknologiajohtaja Merlin Gillespie kertoo IO:lle, että raportti havainnollistaa jälleen kerran kahta todellisuutta: suuremmat yritykset ovat yleisesti ottaen päteviä, kun taas niiden pienemmät kilpailijat ovat alttiita sille.
”Vakioresepti on hyvin harjoiteltu. Omaksu oletustietomurrosta koskeva asenne, laadi testattu tietomurron vastesuunnitelma selkeine eskalointipolkuineen, ota käyttöön joukko tietoturvakontrolleja, MDR, identiteetinhallinta, todennuksen vahvistaminen ja aloita toimitusketjusi virallinen tarkastelu”, hän selittää.
”Kaikki nämä ovat oikea vastaus yrityksille, joilla on virallinen turvallisuustoiminto ja resurssit sen toteuttamiseen. Ongelmana on, että tämä resepti olettaa kapasiteetin, jota useimmilla Yhdistyneen kuningaskunnan yrityksillä ei ole.”
Richard Groome, e2e-assuren OT-kyberturvallisuusasiantuntija, on huolissaan heikosta kykystä reagoida tietomurtoihin. ”Useimmat yritykset pystyvät eskaloimaan tilanteen sisäisesti, mutta vain kolmanneksella on selkeät ulkoiset raportointiprosessit. Se ei ole resilienssiä, se on reagointia”, hän kertoo IO:lle.
”Yritysten on siirryttävä pelkän rastiruutujen rastittamisen jälkeiseen tietoturvaan ja keskityttävä havaittavuuteen ja toiminnan sietokykyyn. Tämä edellyttää jatkuvaa valvontaa, nopeampaa havaitsemista ja testattua reagointia tapahtumiin, ei vain dokumentoitua. Kun käyttöön tulee 24 tunnin raportointivaatimuksia, et voi reagoida tapahtumaan, jota et ole havainnut. Näkyvyys ja nopeus ovat ratkaisevan tärkeitä.”
Semperisin EMEA-alueen varatoimitusjohtaja Dan Lattimer lisää, että identiteetin on oltava osa kaikkia tietomurtojen hallintasuunnitelmia. ”Investointi identiteetin valvontaan ja palauttamiseen ennaltaehkäisyn ohella on olennaista seisokkien, toistuvien tietomurtojen ja pitkäaikaisten liiketoimintavahinkojen vähentämiseksi”, hän sanoo. ”Tapahtumatilanteisiin reagointi ilman identiteetin palauttamista on epätäydellistä.”
Parhaiden käytäntöjen virallistaminen
Vaikka parhaiden käytäntöjen standardien ja viitekehysten tunnettuus ja käyttöönotto on vähäistä, ne voivat olla hyödyllinen liittolainen kyberuhkien sietokyvyn parantamisessa, toteavat muut IO:n haastattelemat asiantuntijat. Check Pointin julkisen sektorin UK&I-johtaja Graeme Stewart kuvailee raportin havaintoja "herätyshuutona" kaikenkokoisille organisaatioille.
”Ihmisten, prosessien ja teknologian muodostama taikakolmio vaatii huomiota. Henkilöstön on oltava ajan tasalla ja tietoinen. Prosessien on oltava luotettavia, kattaen sekä ennaltaehkäisyn että tapahtumien jälkeisen toiminnan, ja teknologiaa on päivitettävä asianmukaisesti, sitä on käytettävä oikein ja pidettävä ajan tasalla”, hän kertoo IO:lle.
”Kehykset, kuten Cyber Essentials, ISO 27001 ja NIST-ohjeet, tarjoavat elintärkeitä kaiteita erityisesti pienemmille organisaatioille, joiden johto ei ole kyberasiantuntijoita. Nämä viitekehykset tarjoavat yrityksille strukturoidun etenemispolun, ja se on todella myönteistä edistystä.”
Huntressin vCISO Muhammad Yahya Patel on samaa mieltä. ”Cyber Essentialsin ja ISO-standardien kaltaiset viitekehykset ovat arvokkaita, koska ne tarjoavat johdonmukaisen ja hallitun lähestymistavan kontrollien, riskien ja käytäntöjen hallintaan”, hän kertoo IO:lle. ”Erityisesti Cyber Essentials keskittyy vahvasti perustavanlaatuisiin hygieniatoimenpiteisiin, ja todellisuudessa monet nykyään näkemämme hyökkäykset onnistuvat juuri siksi, että näitä perustoimenpiteitä ei ole käytössä.”
Meidän raportti viime vuoden kyselystä Huomasimme myös, kuinka selviytymiskestoa koskevat toimet olivat pysähtyneet koko Yhdistyneen kuningaskunnan osakeyhtiössä. Toivottavasti emme joudu sanomaan samaa asiaa uudelleen ensi vuonna.
