Kyberrikollisuuden uhkakuvat yritysten liiketoiminnalle

Abstract

Kyberrikollisuus muodostaa vakavan uhkan yritysten liiketoiminnalle. Rikollisten motiivit vaihtelevat kiusanteosta taloudellisen hyödyn hakemiseen, teollisuusvakoilusta liiketoiminnan vahingoittamiseen. Kyberrikollisuutta vastaan varaudutaan teknisin keinoin, luomalla toimintamalleja sekä kouluttamalla henkilökuntaa tunnistamaan uhkat. Tässä tutkielmassa selvitetään kuinka pelkkä kyberuhka vaikuttaa yritysten liiketoimintaan, miten uhkatietoa haetaan ja mitä tiedolla sen jälkeen tehdään ja mihin toimiin uhka-arvioiden perusteella on ryhdytty. Lisäksi selvitetään uhkatiedon vaikutukset liiketoiminnan suunnitteluun, tuotteisiin ja palveluihin sekä toimintamalleihin. Tutkielma jakautuu kahteen osaan kirjallisuuskatsaukseen ja empiiriseen monitapaustutkimukseen. Kirjallisuuskatsauksella muodostetaan yleiskuva yrityksiin kohdistuvasta kyberrikollisuudesta, sen vaikutuksista liiketoimintaan, uhkakentästä, riskienhallinnasta, kyberturvallisuuden johtamisesta ja organisoinnista. Tätä kirjallisuuskatsausta hyödyntäen rakennettiin tietopohja monitapaustutkimusta varten. Näin pystyttiin arvioimaan tutkimuksen kannalta relevantit teemat tutkimusongelman ratkaisemiseksi. Monitapaustutkimuksen kohteena oli neljä yritystä eri kokoluokista ja toimialoilta, henkilökohtaisia haastatteluita tehtiin 12 ja vastaajat edustivat kyberturvallisuuden ja tietohallinnon johtoa, liiketoimintajohtoa sekä yrityksen kannalta muita kriittisiä toimintoja. Tulokset osoittavat miten pelkkä kyberuhka vaikuttaa yrityksen eri toimintoihin ja niiden suunnitteluun, riippumatta siitä onko uhka toteutunut. Tutkielmassa selviää kuinka uhkatieto hankitaan ja tavat tiedon jatkokäsittelyyn. Tutkimuksen tuloksena luotiin malli uhkatiedon käsittelystä ja hyödyntämisestä. Tutkimustuloksia voidaan hyödyntää paitsi tieteellisessä jatkotutkimuksessa, myös yritysten toimintatapojen kehittämisessä kyberturvallisuutta parantavasti ja kyberrikosten aiheuttamien vahinkojen minimoimiseksi.

Cybercrime constitutes a serious threat to the business of companies. The motives of the criminals vary from mischief to the seeking of economic benefit, industrial spying and the harming of business. One can prepare against cybercrime with technical methods, by creating operating models, and training staff to identify threats. This thesis examines how cyber threats alone affect the business of companies, how threat related information is sought and what is afterwards done with this information, and what actions are taken on the basis of the threat assessment. Furthermore, we will investigate the effects of threat related information on the planning of business, products and services, as well as operating models. The thesis is divided into two parts; a survey of the literature and an empirical multiple case study. The survey of literature will form an overview of the cybercrime that targets companies, its effects on business, the field of threat, risk management, and cybersecurity leadership and organization. Utilizing the survey of literature, an informational groundwork was built for the multiple case study. In this way relevant themes for resolving the research problem could be estimated. The objects of the multiple case study were four companies of different sizes and industries. Twelve personal interviews were conducted. The interviewees represented the management of cybersecurity and data administration, business management, as well as other critical functions in a company. The results clearly show how cyber threats alone affect a company’s different functions and their planning, regardless of whether the threat actualizes. The study shows how information regarding threats is procured and by what methods said information is further processed. Based on the results of the study, a model was created for processing the threat related information and its utilization. The study results may be utilized not only in further scientific study, but also for developing company procedures to improve cybersecurity and minimize harm caused by cybercrime.