Louhi Networksin viimeisen puolen vuoden aikana tekemät haastattelut antavat lohduttoman kuvan suomalaisyritysten web-sovellusten tietoturvasta.
Haastatteluihin osallistui 105 suomalaista yritystä. Vastaajina olivat it-päättäjät, jotka vastaavat yritystensä web-sovellusten tietoturvasta. Alkuhaastattelut tehtiin puhelimessa. Näin haastatelluista it-päättäjistä 58 suostui jatkohaastattelutapaamiseen.
Peräti 40 yritystä kieltäytyi haastattelusta siksi, että ne eivät kokeneet sovellustietoturvaa todelliseksi ongelmaksi. Näiden yritysten perusteluja olivat muun muassa "emme ole kiinnostava kohde hyökkääjille", "asiakkaat tai sidosryhmät eivät vaadi" sekä "meitä vastaan ei ole ennenkään hyökätty". Seitsemän yritystä kieltäytyi, koska ne kokivat web-sovelluksensa jo turvatuiksi.
Haastattelutapaamisissa kävi ilmi, että 50 tapauksessa palvelun toimittajalle ei ollut annettu tarkkoja tietoturvamäärityksiä. Lisäksi 54 yrityksessä ei ollut lainkaan määritelty tietoturvatestauskäytäntöä verkkopalveluille.
Kaikista haastatelluista 34 uskoi, että vastuu verkkopalveluiden tietoturvasta on palveluntarjoajalla tai -tuottajalla tai ulkoistuskumppanilla.
– Suomalaiset yritykset luulevat liian usein, että vastuu verkkopalvelun tietoturvasta on palveluntarjoajalla. Tämä käsitys on väärä, sillä vastuu tietoturvasta on aina yrityksellä itsellään, sanoo Louhi Networks Oy:n tietoturva-asiantuntija Henri Lindberg.
98 vastaajaa piti tietoturvaa tärkeänä tai erittäin tärkeänä yritykselleen. Silti muutamien tuhansien eurojen hintaisia tietoturvatestauksia pidettiin kalliina yrityksissä, jotka sijoittavat palvelimiin ja ohjelmistoihin monisatakertaisen määrän rahaa.
– Vahingon sattuessa it-sopimukset eivät juuri koskaan korvaa välillisiä vahinkoja. Jos esimerkiksi verkkokauppa murretaan ja se on viikon poissa käytöstä, jo pelkästään suorat vahingot ovat viideskymmeneskahdesosa vuoden liikevaihdosta. Palveluntarjoajan korvaamat viikon ylläpitomaksut ovat murto-osa tästä menetyksestä, Lindberg jatkaa.
Jos yrityksellä on vastuullinen tietoturva-asiantuntija tai -päällikkö, sen tietoturva on kaikilla toimialoilla keskimääräistä paremmalla tasolla, Louhi Networks päättelee. Yhtiön mukaan tietoturvapäällikön pesti yrityksessä tarkoittaa, että uhat tunnistetaan, että tietoturvaa testataan säännöllisesti ja että uusiin testausmenetelmiin suhtaudutaan positiivisesti.
