Preparedness against cybersecurity threats : A study of SMEs in the Nordic region
Reilimo, Jonna (2021-01-07)
Preparedness against cybersecurity threats : A study of SMEs in the Nordic region
Reilimo, Jonna
(07.01.2021)
Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
avoin
Julkaisun pysyvä osoite on:
https://urn.fi/URN:NBN:fi-fe202101262801
https://urn.fi/URN:NBN:fi-fe202101262801
Tiivistelmä
Along with the advantages and opportunities of the use of technological solutions, new threats have risen in the form of cyber threats. The importance of cybersecurity has grown and as opposed to general misconceptions, this research indicates that even SMEs are likely to encounter cyber risks and the consequences might include significant monetary losses. Nevertheless, according to previous research and empirical findings, the level of cybersecurity in SMEs seems to generally be rather low. Therefore, this research was directed to examining why the level of cybersecurity varies in Nordic SMEs and how it could be improved.
The theoretical framework used in this research concentrated on operational risk management, cyber risk management and challenges that SMEs encounter regarding cybersecurity. These theories were utilized later in the analysis of applying the theoretical framework with the use of empirical findings to the context of SMEs. The research was conducted qualitatively by conducting semi-structured interviews with six industry experts.
The empirical findings show that it is rather common that also SMEs nowadays encounter cyberattacks due to e.g. automatization, simplicity of cyberattacks and the fact that SMEs are often easier targets. In addition, study’s results showed three categories of most common cyberattacks for SMEs: extorsion attacks, attacks that aim to steal sensitive data, and attacks that exploit the target company’s IT resources. In addition, the study’s results indicated that the most common reasons for why SMEs might not have prepared for cyberattacks include the lack of awareness, limited financial and human resources, and lack of cybersecurity governance. Moreover, the study’s results indicated different normative suggestions on how to improve the level or cybersecurity in Nordic SMEs. Strategical and operational level suggestions followed the theoretical framework by adapting the different phases of cyber risk management to the context of SMEs. The technical level suggestions, on the other hand, presented more practical tools on how to improve the level of cybersecurity in Nordic SMEs.
These results of the study were used to apply the existing theories in cyber risk management to suit the context of SMEs thus, representing the theoretical contribution of the research. In addition, the results regarding the threats these Nordic SMEs might encounter and how they could improve their cybersecurity can be regarded as practical contribution of this research. Teknologian ja sen tuomien hyötyjen ja mahdollisuuksien mukana yritykset ovat kohdanneet myös uusia uhkia. Kyberuhkien vuoksi kyberturvallisuuden merkitys on kasvanut ja tämä tutkimus osoittaa, että vastoin yleisiä väärinkäsityksiä, myös pk-yritykset saattavat hyvin todennäköisesti joutua kyberhyökkäysten kohteiksi ja seuraukset saattavat johtaa merkittäviinkin taloudellisiin menetyksiin. Siitä huolimatta tutkimuksen tulokset sekä aiempi aiheesta tehty tutkimus viittaa siihen, että kyberturvallisuuden taso pk-yrityksissä on yleisellä tasolla suhteellisen matala. Tästä syystä tämän tutkimuksen aiheena on tutkia syitä kyberturvallisuuden tasojen vaihtelulle pohjoismaisissa pk-yrityksissä sekä mahdollisuuksia, miten kyberturvallisuuden tasoa voisi pk-yrityksissä parantaa.
Tutkimuksessa käytetty teoreettinen viitekehys koostuu operatiivisen riskijohtamisen sekä kyberriskijohtamisen teorioista. Lisäksi teoreettinen viitekehys sisältää olemassa olevan kirjallisuuden tutkimustuloksia siitä, millaisia haasteita pk-yritykset kohtaavat kyberturvallisuuteen liittyen. Tätä teoreettista viitekehystä on lisäksi käytetty tutkimustulosten analyysissä. Tutkimustulosten analyysin avulla teoreettista viitekehystä on sovellettu sopimaan pk-yritysten kontekstiin. Tutkimus on toteutettu käyttäen kvalitatiivista menetelmää ja tutkimuksen data on kerätty tekemällä kuusi puolistrukturoitua haastattelua kyberturvallisuusalan asiantuntijoiden kanssa.
Tutkimustulokset osoittavat, että on suhteellisen yleistä, että myös pk-yritykset joutuvat kohtaamaan kyberhyökkäyksiä. Syinä tähän ilmiöön olivat esim. hyökkäysten automatisointi, hyökkäysten helppous ja se, että pk-yritykset ovat usein helppoja kohteita hyökkääjille. Lisäksi tulokset indikoivat kolmea kyberhyökkäysten kategoriaa, joita pk-yritykset saattaisivat kohdata: kiristys hyökkäykset, hyökkäykset, joiden tavoitteena on varastaa arkaluontoista dataa sekä hyökkäykset, joiden tavoitteena on hyväksikäyttää kohteen tietoteknisiä resursseja. Lisäksi tulokset osoittivat, että pk-yritysten kyberturvallisuus saattaa olla heikolla tasolla, jos tietoisuus ei ole riittävällä tasolla. Lisäksi tekijät, kuten rajalliset taloudelliset ja henkilöstöresurssit sekä kyberturvallisuuden vastuuttamisen sekä johtamisen puute saattavat tutkimustulosten mukaan vaikuttaa alhaiseen varautumisen tasoon. Lisäksi tulokset tuottivat erinäisiä ehdotuksia sille, kuinka pohjoismaisten pk-yritysten kyberturvallisuutta voisi parantaa.
The theoretical framework used in this research concentrated on operational risk management, cyber risk management and challenges that SMEs encounter regarding cybersecurity. These theories were utilized later in the analysis of applying the theoretical framework with the use of empirical findings to the context of SMEs. The research was conducted qualitatively by conducting semi-structured interviews with six industry experts.
The empirical findings show that it is rather common that also SMEs nowadays encounter cyberattacks due to e.g. automatization, simplicity of cyberattacks and the fact that SMEs are often easier targets. In addition, study’s results showed three categories of most common cyberattacks for SMEs: extorsion attacks, attacks that aim to steal sensitive data, and attacks that exploit the target company’s IT resources. In addition, the study’s results indicated that the most common reasons for why SMEs might not have prepared for cyberattacks include the lack of awareness, limited financial and human resources, and lack of cybersecurity governance. Moreover, the study’s results indicated different normative suggestions on how to improve the level or cybersecurity in Nordic SMEs. Strategical and operational level suggestions followed the theoretical framework by adapting the different phases of cyber risk management to the context of SMEs. The technical level suggestions, on the other hand, presented more practical tools on how to improve the level of cybersecurity in Nordic SMEs.
These results of the study were used to apply the existing theories in cyber risk management to suit the context of SMEs thus, representing the theoretical contribution of the research. In addition, the results regarding the threats these Nordic SMEs might encounter and how they could improve their cybersecurity can be regarded as practical contribution of this research.
Tutkimuksessa käytetty teoreettinen viitekehys koostuu operatiivisen riskijohtamisen sekä kyberriskijohtamisen teorioista. Lisäksi teoreettinen viitekehys sisältää olemassa olevan kirjallisuuden tutkimustuloksia siitä, millaisia haasteita pk-yritykset kohtaavat kyberturvallisuuteen liittyen. Tätä teoreettista viitekehystä on lisäksi käytetty tutkimustulosten analyysissä. Tutkimustulosten analyysin avulla teoreettista viitekehystä on sovellettu sopimaan pk-yritysten kontekstiin. Tutkimus on toteutettu käyttäen kvalitatiivista menetelmää ja tutkimuksen data on kerätty tekemällä kuusi puolistrukturoitua haastattelua kyberturvallisuusalan asiantuntijoiden kanssa.
Tutkimustulokset osoittavat, että on suhteellisen yleistä, että myös pk-yritykset joutuvat kohtaamaan kyberhyökkäyksiä. Syinä tähän ilmiöön olivat esim. hyökkäysten automatisointi, hyökkäysten helppous ja se, että pk-yritykset ovat usein helppoja kohteita hyökkääjille. Lisäksi tulokset indikoivat kolmea kyberhyökkäysten kategoriaa, joita pk-yritykset saattaisivat kohdata: kiristys hyökkäykset, hyökkäykset, joiden tavoitteena on varastaa arkaluontoista dataa sekä hyökkäykset, joiden tavoitteena on hyväksikäyttää kohteen tietoteknisiä resursseja. Lisäksi tulokset osoittivat, että pk-yritysten kyberturvallisuus saattaa olla heikolla tasolla, jos tietoisuus ei ole riittävällä tasolla. Lisäksi tekijät, kuten rajalliset taloudelliset ja henkilöstöresurssit sekä kyberturvallisuuden vastuuttamisen sekä johtamisen puute saattavat tutkimustulosten mukaan vaikuttaa alhaiseen varautumisen tasoon. Lisäksi tulokset tuottivat erinäisiä ehdotuksia sille, kuinka pohjoismaisten pk-yritysten kyberturvallisuutta voisi parantaa.