Jos on yksi asia, joka teknologia-alan starttiyrityksenne tulisi ottaa mukaan vuodesta 2025, se on se, että mikään yritys ei ole liian pieni ollakseen kohde kyberrikollisille. Itse asiassa pk-yritykset ovat nyt houkuttelevampia kohteita kiristysohjelmille kuin vanhentuneet suuryritykset rajallisten resurssiensa ja arvokkaiden asiakastietojensa ansiosta.
Usein starttiyrityksiltä puuttuu tieto tai resurssit, joita ne tarvitsevat tehdäkseen hyviä päätöksiä liiketoimintansa alkuvaiheessa. Otimme yhteyttä IT-turvallisuusasiantuntijaan, joka työskentelee usein teknologia-alan starttiyritysten kanssa, saadaksemme näkemyksiä siitä, mitä yritysten on tiedettävä ollessaan vasta alussa.
Gary Power, Power Consultingin(uusi ikkuna) operatiivinen johtaja ja asiakaspalvelujohtaja, omaa 25 vuoden kokemuksen ulkoistetusta IT-alasta. Power Consulting työskentelee tiiviisti kaikenkokoisten yritysten kanssa kaikilla toimialoilla tarjoten palveluita, kuten hallittuja IT-palveluita, IT-strategista suunnittelua sekä kyberturvallisuustarkastuksia ja -palveluita.
Puhuimme Garyn kanssa ymmärtääksemme, missä teknologia-alan starttiyritykset tekevät virheitä liiketoimintansa alkuvaiheessa.
Yrityksenne ei ole liian pieni kyberturvallisuustoimenpiteille
Käyttämällä Data Breach Observatoryamme Proton seurasi vuotaneita yritystietoja pimeässä verkossa ymmärtääkseen, keihin hakkerit kohdistivat hyökkäyksiä ja miten yrityksiin murtauduttiin. Paljastimme 794 murtoa, yhteensä yli 300 miljoonaa vuotanutta tietuetta, ja kävi ilmeiseksi, että pienemmät organisaatiot ovat yhä suuremmassa vaarassa.
Yrityksenne voi hyötyä tutkimalla, miten ja miksi tietomurrot ovat vaikuttaneet muihin yrityksiin. Data Breach Observatoryn tuottamat oivallukset sekä kyberturvallisuussuosituksemme teknologia-alan starttiyrityksille löytyvät uusimmasta e-kirjastamme The breaches that broke 2025.
Riippumatta siitä, pettikö heidän kirjautumistietojensa hallinta vai epäonnistuivatko he suojatoimenpiteiden, kuten päästä päähän -salauksen, käytössä, näyttää siltä, että pk-yritykset tekevät kriittisiä virheitä turvallisuuskäytännöissään. Ja jos pienyritykset pysyvät haavoittuvaisina kyberuhkille, se vahingoittaa lopulta toimialoja ja innovaatioita ympäri maailmaa rajoittamalla liiketoiminnan kasvua.
Gary huomauttaa, että keskeinen osa yrityksenne riittävää suojaamista on ajattelutavan muuttaminen käyttämienne turvatoimien suhteen.
”Alussa perustajat kysyvät yleensä reaktiivisia kysymyksiä, kuten ‘Tarvitsemmeko tätä?’ tai ‘Onko tämä liioittelua meidän kokoluokallemme?’. Kun he kehittyvät, kysymykset muuttuvat muotoon ‘Mikä itse asiassa estäisi meitä joutumasta murron kohteeksi?’ ja ‘Kuinka skaalaudumme turvallisesti hidastamatta liiketoimintaa?’”
Sen sijaan, että hyppäisitte vaiheiden yli yrityksenne vakiintuessa, investoikaa alusta alkaen kyberturvallisuuteenne. Loppujen lopuksi, kuten Gary sanoo: ”Menestyneimmät perustajat ymmärtävät, että turvallisuus on mahdollistaja, ei estäjä.”
Vanhentuneet työkalut eivät ole automaattisesti turvallisia
Kun on aika valita työkalut, kuten yrityksenne käyttämät sähköposti-, levy- ja salasananhallintaratkaisut, valinnallanne on suuri merkitys. Gary varoittaa olettamasta, että suositut ja nykyaikaiset ratkaisut olisivat automaattisesti turvallisin vaihtoehto.
”Suurin sokea piste on olettaa, että turvallisuus on ‘implisiittistä’, koska käytetään moderneja työkaluja tai pilvialustoja. Perustajat uskovat usein, että Microsoft 365, Google Workspace tai AWS tarkoittaa automaattisesti turvallista. Todellisuudessa useimmat murrot johtuvat virheellisistä määrityksistä, heikoista henkilöllisyyden hallintatoimista, huonosta käyttöoikeushygieniasta ja valvonnan puutteesta – eivät eksoottisista hakkerointitekniikoista.”
Tämä ei ehkä kuulosta positiiviselta, mutta se on: Kehittyneitä hakkerointitekniikoita on paljon vaikeampi ennustaa ja estää kuin rakentaa vahvoja henkilöllisyyden hallinta- ja valvontakäytäntöjä verkkoonne. Garyn korostamia ongelmia voidaan lähestyä käyttämällä seuraavia:
- Perusteelliset verkkosovellusten turvallisuuskäytännöt, joiden avulla voitte tunnistaa ja lieventää mahdollisia uhkia ympäristössänne.
- Henkilöllisyyden hallintatoimenpiteet, kuten kertakirjautuminen (SSO) ja kaksivaiheinen tunnistautuminen (2FA), jotka suojaavat yritysverkkoanne ja tekevät samalla tiimin jäsenille helpommaksi ja turvallisemmaksi käyttää yritysverkkoanne.
- Pimeän verkon valvonta on hyödyllinen työkalu, joka voi ilmoittaa teille, jos yritystietojanne ilmestyy pimeään verkkoon, mikä mahdollistaa nopean toiminnan ja tietomurron estämisen.
Inhimillinen virhe on vakava uhka
Ei ole väliä, ovatko työkalunne turvallisia, jos niitä ei käytetä turvallisesti. Inhimillinen virhe on itse asiassa yksi yrityksenne suurimmista kyberturvallisuusuhkista. Hyökkäyspinnat kasvavat eksponentiaalisesti nykyaikaisten yritysverkkojen monimutkaisuuden vuoksi, mikä vaatii tiimin jäseniä luomaan kymmeniä tilejä ainutlaatuisilla salasanoilla ja mahdollisesti käyttämään näitä tilejä henkilökohtaisilta laitteiltaan.
”Toinen suuri virhe on inhimillisen riskin aliarvioiminen: tietojenkalastelu, kirjautumistietojen uudelleenkäyttö ja hallitsemattomat laitteet ovat yleensä etuovi.”
Nämä riskit voivat johtua tietoisuuden puutteesta kyberturvallisuudessa ja epäselvistä odotuksista siitä, miten tai voidaanko yritysverkkoanne käyttää tiimin jäsenten henkilökohtaisilla laitteilla. Onneksi niihin voidaan puuttua helposti kaksitahoisella lähestymistavalla, joka koostuu käytännöistä ja koulutuksesta:
- Koko yrityksen laajuinen koulutus siitä, kuinka tunnistaa tietojenkalasteluhuijaukset ja muut haittaohjelmatyypit(uusi ikkuna), auttaa jokaista tiimin jäsentä suojaamaan yritysverkkoanne
- Etätyökäytäntö ja tuo oma laitteesi (BYOD) -käytäntö, jos ne ovat merkityksellisiä yrityksellenne
- Turvallinen yrityssalasananhallinta varmistaa, että salasanakäytäntöjä noudatetaan ja että arkaluonteiset kirjautumistiedot on tallennettu keskitettyyn sijaintiin, ja ne ovat jopa turvallisesti jaettavissa tarvittaessa.
”Varhaisista päätöksistä tulee pysyviä oletuksia”, Gary sanoo. ”Henkilöllisyysmallit, tietojen sijainnit, ylläpitäjän käyttöoikeudet ja laitestandardit on uskomattoman vaikea purkaa myöhemmin – varsinkin kun asiakkaat, sijoittajat ja sääntelyviranomaiset ovat mukana. Turvallisuusvelka kasautuu aivan kuten tekninen velka. On paljon halvempaa ja vähemmän häiritsevää asettaa hyvät suojakaiteet ajoissa kuin jälkiasentaa hallintatoimia murron, tarkastuksen epäonnistumisen tai kybervakuutuksen hylkäämisen jälkeen.”
Turvallisuuden perusteet ovat tärkeämpiä kuin työkalut
Työkalut eivät ole ainoa asia, jota yritysten on harkittava tullessaan markkinoille. IT-infrastruktuurinne sanelee, kuinka turvallisesti tiimin jäsenet voivat työskennellä, kuinka hyvin voitte havaita riskejä ja kuinka nopeasti voitte lieventää ongelmia.
Gary selittää, kuinka Power Consultingin asiantuntijat lähestyvät IT- ja kyberturvallisuusinfrastruktuurin määrittämistä starttiyrityksille. ”Keskitymme perusteisiin ennen hienoja työkaluja.”
- Määrittäkää vahvat henkilöllisyyden ja käyttöoikeuksien hallintakäytännöt, mukaan lukien MFA ja ”vähimpien oikeuksien periaate”, mikä tarkoittaa, että ihmisillä tulisi olla pääsy vain niihin järjestelmiin, joita he tarvitsevat.
- Suojatkaa päätepisteenne, mukaan lukien työntekijöiden henkilökohtaiset laitteet, ensimmäisestä päivästä lähtien. Laitteiden hallintaohjelmisto voi auttaa teitä seuraamaan, kuka kirjautuu verkkoonne ja mistä.
- Käyttäkää keskitettyä lokia ja valvontaa, jotta ongelmat, kuten luvaton käyttö tai tilimurrot, eivät jää huomaamatta.
- Valmistautukaa tapahtumaan asianmukaisilla varmuuskopiointi- ja palautustyökaluilla, kuten muuttumattomilla varmuuskopioilla (joita ei voida muuttaa luomisen jälkeen) tai ulkopuolisella suojauksella, jossa kriittiset tiedot lähetetään ja tallennetaan pois päätoimipaikastanne.
Rakentamalla yrityksenne vankalle pohjalle sijoitatte lopulta turvallisempaan yritykseen tulevaisuuttanne varten. Aika, jonka käytätte turvallisen infrastruktuurin rakentamiseen, on säästämänne rahan ja välttämänne riskin arvoinen pitkällä aikavälillä.
Ottakaa aikaa määrittääksenne asiat kunnolla
Gary suosittelee keskittymään henkilöllisyysarkkitehtuuriin, koska tällä alueella on suurin turvallisuusvaikutus. Jokaisella tiimin jäsenellä on digitaalinen henkilöllisyys, joka sallii heille pääsyn tietoihin ja työkaluihin, joita he tarvitsevat yritysverkossanne, ja tämän määrittäminen hyvin ratkaisee kaiken myöhemmin.
”Huonoa henkilöllisyysarkkitehtuuria on vaikein kumota – jaetut tilit, heikko MFA:n käyttöönotto ja liian monet ylläpitäjät luovat pitkän aikavälin riskin”, Gary selittää. ”Jäsentymätön tietojen leviäminen on toinen suuri ongelma; kun arkaluonteiset tiedot ovat hajallaan henkilökohtaisilla levyillä, sähköpostilaatikoissa ja hallitsemattomissa SaaS-sovelluksissa, hallinnan takaisin saaminen on tuskallista. Lopuksi, dokumentaation ja omistajuuden puute alussa johtaa sekaannukseen ja sokeisiin pisteisiin tiimien kasvaessa.”
