Monet pienyritysten omistajat ajattelevat yhä, että kiristysohjelmahyökkäykset kohdistuvat vain sairaaloihin, maailmanlaajuisiin brändeihin tai julkiseen infrastruktuuriin. Todellisuudessa pienyritysten kiristysohjelmariski on yksi selkeimmistä esimerkeistä siitä, miten hyökkääjät kohdistavat toimiaan johdonmukaisesti organisaatioihin, joilla on arvokasta dataa, vähän aikaa ja heikompi puolustus.
Protonin tietomurtojen seurantakeskuksen tuoreet havainnot osoittavat, että pienet ja keskisuuret yritykset joutuvat usein murtojen uhreiksi. Ne ovat myös suhteettoman suuri osa kaikkein vahingollisimmista tapauksista, mukaan lukien murrot, joihin liittyy korkean riskin tietoja ja laajamittaisia tietopaljastuksia.
Kiristysohjelmat ovat toiminnan jatkuvuuteen, kirjautumistietojen turvallisuuteen ja tietosuojaan liittyvä ongelma. Yhdistyneen kuningaskunnan hallituksen kyberturvallisuusmurtoja koskevassa kyselyssä todettiin, että 1 % brittiläisistä yrityksistä tunnisti kiristysohjelmatapauksia edellisen 12 kuukauden aikana, kun vuonna 2024 luku oli alle 0,5 %. Kansallisella tasolla tämä vastaa arviolta 19 000 yritystä.
Kiristysohjelmien lisääntymisestä huolimatta tietojenkalastelu on edelleen yleisin kyberhyökkäystyyppi. Hyökkääjät pääsevät useimmiten yritysten verkkoihin ihmisten, kirjautumistietojen ja rutiininomaisten työnkulkujen kautta suuren mittakaavan kyberhyökkäysten sijaan. He voivat periaatteessa käyttää tietojenkalasteluhyökkäystä käynnistääkseen myöhemmin suuremman kiristysohjelmahyökkäyksen, jos he aistivat suuremman lunnasrahan mahdollisuuden.
Pienyritykselle kiristysohjelman aiheuttamat vahingot voivat aiheuttaa merkittäviä häiriöitä toiminnan jatkuvuuteen. Tiimin jäsenet menettävät tiedostojen käyttöoikeuden eivätkä voi jatkaa työtään, toiminnot hidastuvat tai pysähtyvät, eivätkä asiakkaat saa asianmukaisia palveluita. Jos henkilötiedot altistuvat, seurauksena on raportointivelvollisuuksia. Pk-yritysten käytännön kiristysohjelmastrategian on katettava hyökkäyksen molemmat puolet: ehkäisy ja palautuminen.
Kuinka kiristysohjelma toimii?
Kiristysohjelma on eräänlainen haittaohjelma, joka estää teitä käyttämästä laitteita tai tietoja – yleensä salaamalla tiedostoja – ja vaatii sitten maksua vastineeksi salauksenpurusta. Monissa tapauksissa hyökkääjät tekevät nykyään muutakin kuin lukitsevat tiedostoja. He myös varastavat tietoja ja uhkaavat vuotaa ne, jos lunnaita ei makseta, mikä muuttaa tapauksen sekä saatavuuskriisiksi että mahdolliseksi tietomurruksi.
Uhreja ohjeistetaan usein viestimään anonyymin sähköpostin tai verkkosivujen välityksellä ja maksamaan kryptovaluutalla. Pienyrityksille tämä ero on tärkeä, koska kryptovaluutta on anonyymiä, hajautettua ja perinteisten rahoituslaitosten sääntelyn ulkopuolella: maksujen jäljittäminen on lähes mahdotonta.
Kiristysohjelmatapahtuma ei aina rajoitu tiedostojen käyttöoikeuden menettämiseen. Se voi tarkoittaa myös sitä, että asiakastiedot, työntekijöiden tiedot, talousasiakirjat, sopimukset tai kirjautumistiedot on jo anastettu. Kiristysohjelmat voivat johtaa henkilötietojen oikea-aikaisen käytön menetykseen ja tapauksissa, joissa varmuuskopiot eivät ole asianmukaisia tai saatavilla, jopa pysyvään menetykseen.
Hyökkäysketju on yleensä tavanomaisempi kuin voisi odottaa. Helposti huomaamatta jääviä tapahtumia, jotka voivat johtaa kiristysohjelmahyökkäykseen, ovat muun muassa:
- tietojenkalastelulinkkien avaaminen
- uudelleen käytettyjen salasanojen paljastuminen tietomurrossa
- Suojaamattomaksi jätetty etäkäyttöpalvelu.
- tunnetut haavoittuvuudet, joita ei ole korjattu päivityksillä
Kun hyökkääjä saa pääsyn yrityksen verkkoon, hän liikkuu sivusuunnassa, laajentaa käyttöoikeuksia, poistaa palautuspolut käytöstä mahdollisuuksien mukaan ja julkaisee salauksen tai kiristyksen siellä, missä se satuttaa eniten. Mikään yksittäinen työkalu tai ratkaisu ei voi estää kiristysohjelmahyökkäyksiä. Sen sijaan organisaatioiden on keskityttävä vähentämään helppoja polkuja verkkoihinsa.
Miksi pienyritykset ovat suhteettoman suuria kohteita
Pienyritykset ovat houkuttelevia kiristysohjelmakohteita yksinkertaisesta syystä: niillä on arvokasta dataa, jota ei suojata niin hyvin kuin pitäisi. Protonin uusimmat seurantahavainnot osoittavat, että pk-yritysten osuus tammikuusta 2025 lähtien seuranneista murroista on 63 % ja yli 352 miljoonaa vuodettua tietuetta.
Niiden osuus on myös 61 % murroista, joihin liittyy korkean riskin tietoja, ja pienyritykset yksinään edustavat 48 %:a näistä kriittisistä tapauksista. Yli 100 000 tietuetta paljastaneista murroista pk-yritysten osuus on 60 %, ja pienyritykset edustavat niistä 42 %:a.
Pienyritykset eivät ole huolimattomia. Itse asiassa Protonin pk-yritysten kyberturvallisuusraportti 2026 osoittaa, että pienyritykset yrittävät parantaa kyberturvallisuuttaan. Ongelmana on, että niiden puolustus pettää todellisissa olosuhteissa. Johdonmukaisen valvonnan puute, inhimilliset virheet, jaetut käyttötavat ja rajallinen sisäinen tietoturvakapasiteetti tekevät pienyrityksistä houkuttelevia kohteita.
Protonin tutkimuksessa, johon osallistui 3 000 johtajaa alle 250 työntekijän yrityksistä, 39 % sanoi tapausten johtuvan inhimillisestä virheestä ja 48 % kertoi, ettei heillä ollut käytössään salasananhallintaa.
Suuremmilla yrityksillä voi olla käytössään dedikoidut vastausryhmät, segmentoidut ympäristöt, testatut varmuuskopiotilaukset ja ulkopuolinen tuki poikkeustilanteissa. Pienemmillä yrityksillä on usein vain yksi kevyt IT-toiminto, ulkoistettu tuki tai ei lainkaan dedikoitua tietoturva-asiantuntijaa. Hyökkäyksen sattuessa yritys joutuu tekemään korkean riskin päätöksiä operatiivisen paineen alla. Juuri tähän paineeseen kiristysohjelmien käyttäjät luottavat.
Yleisimmät kiristysohjelmien sisäänpääsyreitit pk-yrityksissä
Tutkittuamme Yhdistyneessä kuningaskunnassa tehtyjä tutkimuksia tiedämme, että tietojenkalastelu on edelleen yrityksiin kohdistuvan kyberrikollisuuden hallitseva reitti. Mutta miksi? Koska tietojenkalastelu on usein ensimmäinen askel kohti kirjautumistietojen varkautta, tilin altistamista, haittaohjelmien toimitusta tai etäkäytön väärinkäyttöä.
Heikot tai uudelleen käytetyt kirjautumistiedot ovat toinen suuri ongelma. Pienyrityksillä on usein jaettuja kirjautumisia, useissa palveluissa käytettyjä samoja salasanoja tai vanhoja tilejä, jotka pysyvät aktiivisina sen jälkeen, kun joku vaihtaa tehtävää tai lähtee yrityksestä. Kun hyökkääjät saavat yhden toimivan kirjautumisen, heidän ei tarvitse murtautua tileille. He voivat yksinkertaisesti kirjautua sisään.
Sieltä käsin huonosti suojattu ylläpitäjätili, suojaamaton pilvikonsoli tai etäkäyttöpiste ilman kaksivaiheista tunnistautumista (2FA) voi muodostua sillaksi laajempaan kiristysohjelmatapaukseen. Realistisesti ajateltuna organisaatioiden on otettava käyttöön 2FA, vähimpien oikeuksien periaate ja säännölliset käyttöoikeuksien tarkistukset vähentääkseen varastettujen kirjautumistietojen uudelleenkäytön helppoutta ja haittaohjelmien leviämistä.
Päivittämätön ohjelmisto on toinen yleinen sisäänpääsyreitti. NCSC toteaa, että kiristysohjelmia julkaistaan yhä useammin suojaamattomien palveluiden, kuten RDP:n tai päivittämättömien etäkäyttölaitteiden kautta, ja suosittelee paikkaamaan etäkäyttöjärjestelmien ja internetiin suunnattujen järjestelmien haavoittuvuudet heti, kun päivitykset ovat saatavilla. Pk-yrityksille tässä on kohta, jossa huomaamatta jäänyt tapahtuma muuttuu hiljaa hyökkäyspinnaksi.
Näin suojautudutte kiristysohjelmilta: kerroksittainen lähestymistapa
Ei ole olemassa yhtä ainoaa hallintakeinoa, joka voisi estää kiristysohjelmat. Tehokkain lähestymistapa on kerroksittainen ja käytännönläheinen.
Aloittakaa henkilöllisyyden hallinnasta
Tiimin jäsenten tilien tiedot tarvitsevat perusteellista suojausta kiristysohjelmahyökkäysten torjumiseksi. Tehkää kaksivaiheinen tunnistautuminen pakolliseksi aina kun mahdollista liiketoiminnan kannalta kriittisillä tileillä, erityisesti sähköpostissa, ylläpitäjän työkaluissa, pilvitallennustilassa, rahoitusalustoilla, etäkäyttöpisteissä ja kaikissa järjestelmissä, joihin on tallennettu asiakkaiden henkilötietoja tai muita arkaluonteisia henkilötietoja (PII).
Parantakaa salasanahygieniaa
Hyökkääjät eivät aina murtaudu tileille. Usein he kirjautuvat sisään varastetuilla tai uudelleen käytetyillä kirjautumistiedoilla. Jokaisella yritystilillä on oltava yksilöllinen, vahva salasana, ja jaettu käyttö tulisi korvataan hallitulla ja turvallisella kirjautumistietojen jakamisella yritystason salasananhallinnan kautta laskentataulukoiden, chatien tai sähköpostin sijaan.
Protonin oma pk-yritysraportti korostaa, että jopa yritykset, joilla on työkalut käytössä, turvautuvat silti usein turvattomiin salasanojen jakamistapoihin. Juuri tässä turvallinen yritystason salasananhallinta, kuten Proton Pass for Business, voi vähentää riskiä: se auttaa tiimejä luomaan vahvoja ja yksilöllisiä kirjautumistietoja, tallentamaan ne turvallisesti ja jakamaan pääsyn hallitusti ja turvallisesti.
Päivitysten hallinnan on oltava kurinalaista
Käyttöjärjestelmien, sovellusten, VPN-yhteyksien, etäkäyttötyökalujen ja rajapintalaitteiden suojauspäivityksiä tulee käsitellä toiminnallisina välttämättömyyksinä, ei valinnaisena huoltona. Asentakaa suojauspäivitykset mahdollisimman pian ja käyttäkää automaattisia päivityksiä, jos se on mahdollista.
Vankka sähköposti- ja verkkosuojaus
Sähköpostin suodatus, liitetiedostojen hallinta, tunnettujen haitallisten sivustojen estäminen ja turvallisen selailun suojaukset vähentävät kaikki todennäköisyyttä sille, että kiristysohjelma pääsee perille alun alkaenkaan. Koska tietojenkalastelu on niin yleistä, nämä hallintakeinot ovat välttämättömiä.
Inhimillisiin virheisiin puuttuminen
Vaikka olisitte ottaneet käyttöön turvatoimet ja salasanakäytännön, tietoturvatietoisuuskoulutus on silti tarpeen. Koulutus auttaa henkilöstöä havaitsemaan epäilyttävät sähköpostit ja sosiaalisen manipuloinnin yritykset, mutta ihmiset tekevät silti virheitä.
Vahvempien työkalujen tai ominaisuuksien ja pääsynhallinnan tulisi olettaa se. NCSC suosittelee nimenomaisesti tietoisuuskoulutusta, mutta Protonin tutkimus osoittaa myös, että koulutus yksinään ei estä jokaista hairahdusta. Hyvä tietoturvasuunnittelu vähentää vahinkoja, kun joku klikkaa, tekemällä yhdestä virheestä vähemmän todennäköisesti laajamittaisen vaaratilanteen – olipa kyseessä 2FA, vähimpien oikeuksien pääsy, vahvemmat sähköpostisuojaukset, segmentoitu käyttö tai palautumista tukevat testatut varmuuskopiot.
Suojatkaa palautus ennen kuin tarvitsette sitä
Varmuuskopioiden on oltava säännöllisiä, eristettyjä ja testattuja. ICO suosittelee 3-2-1-lähestymistapaa: kolme kopiota kahdella eri laitteella, joista yksi on tallennettu muualle kuin toimipisteeseen. NCSC lisää tärkeän toiminnallisen varoituksen: kiristysohjelma on saattanut soluttautua ympäristöönne ennen sen havaitsemista, joten varmuuskopiot tulisi skannata ennen palauttamista, ja itse varmuuskopiointijärjestelmät tulisi suojata.
Kirjautumistietojen yhteys: miksi salasanat ovat edelleen tärkeitä kiristysohjelmien torjunnassa
On helppo ajatella kiristysohjelmia vain haittaohjelmina ja unohtaa, että salasanoilla on osuutta onnistuneessa hyökkäyksessä. Monet kiristysohjelmatapaukset saavat kuitenkin alkunsa kirjautumistietojen varkaudesta, uudelleenkäytöstä tai väärinkäytöstä.
Tämä voi tarkoittaa henkilöstön jäsentä, joka käyttää uudelleen toisen palvelun salasanaa, entisen alihankkijan tilin jäämistä aktiiviseksi, ylläpitäjän kirjautumistietojen jakamista useiden ihmisten kesken tai suojaamattoman etäkäyttöpisteen suojaamista pelkällä salasanalla. Jokainen näistä oikopoluista laajentaa hyökkäyspintaa.
Tämä on yksi syy sille, miksi vahva kirjautumistietojen hallinta kuuluu kaikkiin kiristysohjelmien palautussuunnitelmiin ja torjuntakehyksiin. Palvelukohtaiset yksilölliset salasanat pienentävät yhden varastetun kirjautumisen vaikutusaluetta. MFA tekee varastetusta salasanasta vähemmän hyödyllisen sellaisenaan, kun taas keskitetty kirjautumistietojen tallennus poistaa tarpeen turvattomille kiertotavoille.
Turvallinen jakaminen tarkoittaa, että työntekijät saavat tarvitsemansa pääsyn hallittujen ja seurattavien menetelmien kautta epävirallisen salasanojen jakamisen sijaan. Säännöllinen tarkistus siitä, kenellä on pääsy mihinkin, tukee myös vähimpien oikeuksien periaatetta, jota NCSC suosittelee osana liikkumisen ja leviämisen rajoittamista.
Olemme kirjoittaneet laajasti pk-yritysten kohtaamista kiristysohjelmauhkista. Kerta toisensa jälkeen näemme saman asian: hyökkääjät etsivät yhä useammin yrityksiä, joihin on helpompi murtautua, eivätkä vain tunnetuimpia yrityksiä.
Mitä tehdä, jos pienyrityksenne joutuu hyökkäyksen kohteeksi
1. Rajoittakaa vaaratilanne
Jos yrityksenne joutuu hyökkäyksen kohteeksi, ensisijaisena tavoitteena on rajoittaminen. Katkaiskaa saastuneiden laitteiden yhteys verkkoon, poistakaa käytöstä altistuneet tilit, jos pystytte tunnistamaan ne, eristäkää etäkäyttöreitit, säilyttäkää todisteet ja välttäkää järjestelmien tyhjentämistä liian nopeasti, mikäli saatatte tarvita rikosteknistä tukea myöhemmin.
2. Raportoikaa vaaratilanteesta
NCSC suosittelee Yhdistyneen kuningaskunnan organisaatioita raportoimaan vaaratilanteista ja tarjoaa erityisiä kiristysohjelmaoppaita reagointia ja palautumista varten. Protonin opas vaaratilanteisiin reagoimiseen on myös hyödyllinen viite laajemman päätöksentekoprosessin rakentamiseen rajoittamisen, tutkinnan, viestinnän ja palauttamisen osalta.
3. Älkää maksako lunnaita
NCSC ja Yhdistyneen kuningaskunnan lainvalvontaviranomaiset eivät kannusta tai hyväksy lunnasvaatimusten maksamista. Ne huomauttavat, ettei ole mitään takeita siitä, että saisitte pääsyn takaisin tietoihin, järjestelmänne saattavat silti olla saastuneita, rahoittaisitte rikollisryhmiä ja saattaisitte joutua todennäköisemmin uudelleen kohteeksi.
ICO on vastaavasti selkeä siinä, että lunnasrahojen maksaminen ei vähennä ihmisille aiheutuvaa riskiä eikä turvaa tietoja. Vaikka salauksenpurkuavainta tarjottaisiin, ei ole takeita siitä, että se toimisi tai ettei varastettuja tietoja silti vuodettaisi.
4. Aloittakaa palauttaminen
Palauttamisen tulee keskittyä hitaaseen ja turvalliseen ennallistamiseen. Se tarkoittaa järjestelmän uudelleenrakentamista puhtaista varmuuskopioista, hyökkäysreitin sulkemisen varmistamista, altistuneiden kirjautumistietojen vaihtamista, pääsyn varovaista palauttamista ja tapahtumien dokumentointia. Jos varmuuskopiot on yhdistetty käytössä oleviin järjestelmiin tai niitä ei ole testattu, yritykset kohtaavat usein toisen epäonnistumisen heti ensimmäisen jälkeen. Hyvä kiristysohjelmista palautumista koskeva suunnitelma alkaa todellisuudessa kauan ennen kuin vaaratilannetta edes tapahtuu.
Yhdistyneen kuningaskunnan raportointivelvollisuudet: milloin ICO:n on oltava mukana
Jos kiristysohjelmatilanne vaikuttaa henkilötietoihin, kyseessä voi olla Yhdistyneen kuningaskunnan GDPR:n mukainen tietoturvaloukkaus. ICO selittää, että pääsyn menettäminen henkilötietoihin voi itsessään olla tietomurto, jos se aiheuttaa riskin yksilöille. Teidän on ilmoitettava asiasta ICO:lle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa, jos loukkaus todennäköisesti vaarantaa ihmisten oikeudet ja vapaudet. Jos riski on suuri, myös niille henkilöille, joita asia koskee, on ehkä ilmoitettava ilman aiheetonta viivytystä.
Jotkut organisaatiot olettavat yhä, että jos ne palauttavat järjestelmät nopeasti tai jos ilmeistä julkista vuotoa ei tapahdu, raportointi on tarpeetonta. Se ei ole turvallinen oletus. ICO:n kiristysohjelmaopas käsittelee nimenomaisesti tietomurtoilmoituksiin liittyviä skenaarioita ja tekee selväksi, että arviointi perustuu yksilöille aiheutuvaan riskiin, ei pelkästään siihen, onko varastettuja tiedostoja jo ilmestynyt verkkoon.
Kiristysohjelmat ovat nykyään pk-yritysten ongelma
Pienet yritykset joutuvat kiristyshyökkäysten kohteeksi yhä useammin, ja kun ne osuvat kohdalle, vaikutus voi olla vakava, koska hyökkääjät hyödyntävät niiden heikkouksia. Protonin uusimmat tiedot tietomurroista tekevät tästä näkyvää: uhka on mitattavissa oleva, kasvava ja toiminnallisesti häiritsevä.
Hyvä uutinen on, että perusasiat voivat hoitaa suuren osan työstä mille tahansa pk-yritykselle. Toimenpiteet, kuten yritystason salasananhallinnan käyttö 2FA:n käyttöönottamiseksi ja yksilöllisten kirjautumistietojen luomiseksi, päivitykset, sähköpostin suodatus, henkilöstön tietoisuus, käyttöoikeuksien tarkistus, testatut varmuuskopiot ja vaaratilanteisiin reagoimisen suunnittelu eivät ehkä itsessään vaikuta loistokkailta, mutta yhdessä niillä on merkittävä vaikutus. Ne vähentävät todennäköisyyttä sille, että yksittäinen varastettu salasana, yksi tietojenkalastelusähköposti tai yksi avoin etäpalvelu laajenee koko yrityksen laajuiseksi käyttökatkoksi.
