Kyberturvallisuuden merkitys yrityksille : taloudelliset, toiminnalliset ja mainehaitat
Viinikainen, Valtteri (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202504035552
https://urn.fi/URN:NBN:fi:amk-202504035552
Tiivistelmä
Tämän opinnäytetyön tavoitteena oli selvittää kyberturvallisuuden merkitystä yrityksille, erityisesti kasvavien kyberuhkien ja niiden vaikutusten valossa. Taustalla on Euroopan unionin NIS2-direktiivi, joka sisältää osin samoja vaatimuksia kuin kansainväliset kyberturvallisuusstandardit. Tutkimuksessa nousi esiin kattavan tilastotiedon puute, joka johtui aiemmasta pakollisen raportoinnin puuttumisesta alalla.
Tutkimus toteutettiin kuvailevana kirjallisuuskatsauksena, jossa analysoitiin tietolähteitä kuten kansainvälistä tutkimuskirjallisuutta, viranomaismateriaalia ja ajankohtaisia uutisia. Aineisto kerättiin systemaattisesti tarkastellen kyberuhkien muotoja, kyberuhkien määriä, taloudellisia vaikutuksia ja ennaltaehkäiseviä toimia.
Tutkimuksen tulokset osoittavat, että kyberuhkien määrä on kasvanut nopeasti ja viime aikoina rikollisuus on siirtynyt entistä useammin suurista yrityksistä kohti pieniä ja keskisuuria yrityksiä. Näyttääkin siltä, että hyökkäyksiä kohdistetaan usein sinne, missä ei ole vielä käytössä tarvittavaa suojausta. Vuonna 2024 61 % kiristysohjelmien uhreista oli pk-yrityksiä. 78 % yrityksistä, jotka maksoivat lunnasvaatimuksen kohtasi uuden kiristyshaittaohjelman ja tällä kertaa noin kaksi kolmasosaa yrityksistä joutui maksamaan suuremmat lunnaat.
Inhimilliset virheet olivat merkittävin tekijä kyberuhkien mahdollistajana, koska 68 % tapauksista johtuivat käyttäjän toiminnasta. Tämä korostaa jatkuvan henkilökunnan koulutuksen tarvetta. Tietojenkalastelu pysyy vuodesta toiseen tehokkaana keinona saada haltuun luottamuksellista tietoa. Valitettavasti vielä vuonna 2017 60 % Eurooppalaisista yrityksistä ei ollut arvioinut, millaisia taloudellisia seuraamuksia aiheutuisi kyberiskusta.
Yllättävä havainto oli, että suurilla osakemarkkinoilla toimivilla yrityksillä ei havaittu merkittäviä pitkäaikaisia mainehaittoja kyberhyökkäysten jälkeen. Norsk Hydron tapauksessa osakekurssi ei romahtanut, vaan vakaantui viiden vuoden seuranta jakson aikana. Maailmanlaajuisen kyselyn mukaan vuonna 2018 kolmannes yrityksistä mieluummin maksaisi kiristäjälle kyberturvallisuuteen sijoittamisen sijasta. Suomessa tietomurroista selvitettiin poliisin toimesta vain 4 % vuonna 2021.
Johtopäätöksenä todettakoon, että yritysten on varauduttava ja panostettava pitkäjänteisesti kyberturvallisuuteen, jotta uhkiin voidaan vastata tehokkaasti.
Tutkimus toteutettiin kuvailevana kirjallisuuskatsauksena, jossa analysoitiin tietolähteitä kuten kansainvälistä tutkimuskirjallisuutta, viranomaismateriaalia ja ajankohtaisia uutisia. Aineisto kerättiin systemaattisesti tarkastellen kyberuhkien muotoja, kyberuhkien määriä, taloudellisia vaikutuksia ja ennaltaehkäiseviä toimia.
Tutkimuksen tulokset osoittavat, että kyberuhkien määrä on kasvanut nopeasti ja viime aikoina rikollisuus on siirtynyt entistä useammin suurista yrityksistä kohti pieniä ja keskisuuria yrityksiä. Näyttääkin siltä, että hyökkäyksiä kohdistetaan usein sinne, missä ei ole vielä käytössä tarvittavaa suojausta. Vuonna 2024 61 % kiristysohjelmien uhreista oli pk-yrityksiä. 78 % yrityksistä, jotka maksoivat lunnasvaatimuksen kohtasi uuden kiristyshaittaohjelman ja tällä kertaa noin kaksi kolmasosaa yrityksistä joutui maksamaan suuremmat lunnaat.
Inhimilliset virheet olivat merkittävin tekijä kyberuhkien mahdollistajana, koska 68 % tapauksista johtuivat käyttäjän toiminnasta. Tämä korostaa jatkuvan henkilökunnan koulutuksen tarvetta. Tietojenkalastelu pysyy vuodesta toiseen tehokkaana keinona saada haltuun luottamuksellista tietoa. Valitettavasti vielä vuonna 2017 60 % Eurooppalaisista yrityksistä ei ollut arvioinut, millaisia taloudellisia seuraamuksia aiheutuisi kyberiskusta.
Yllättävä havainto oli, että suurilla osakemarkkinoilla toimivilla yrityksillä ei havaittu merkittäviä pitkäaikaisia mainehaittoja kyberhyökkäysten jälkeen. Norsk Hydron tapauksessa osakekurssi ei romahtanut, vaan vakaantui viiden vuoden seuranta jakson aikana. Maailmanlaajuisen kyselyn mukaan vuonna 2018 kolmannes yrityksistä mieluummin maksaisi kiristäjälle kyberturvallisuuteen sijoittamisen sijasta. Suomessa tietomurroista selvitettiin poliisin toimesta vain 4 % vuonna 2021.
Johtopäätöksenä todettakoon, että yritysten on varauduttava ja panostettava pitkäjänteisesti kyberturvallisuuteen, jotta uhkiin voidaan vastata tehokkaasti.