Yrityksen tietoturva

Tietomurto voi tapahtua koska vain, ja niin pienet kuin suuretkin yritykset voivat joutua kyberhyökkäyksen kohteeksi. Yritys voi onneksi varautua tietoturvaongelmiin ennakoivilla toimenpiteillä ja vakuuttamalla.

Pyydä tarjous kybervakuutuksesta

Yrityksen tietoturvasta huolehtiminen on välttämätöntä

Yrityksesi tietoturvaan voi kohdistua monenlaisia riskejä erilaisista onnettomuuksista rikollisuuteen. On tärkeää, että yrityksessä on käytössä turvallisuus- ja virustorjuntaohjelmat ja että ne ovat ajan tasalla. Muista kuitenkin myös henkilöstön kouluttaminen - yrityksen tietoturvan heikoin lenkki on usein ihminen.

Tietorikolliset osaavat toimia huomaamattomasti

Mitä pidempään hakkeri tai muu tietorikollinen onnistuu salaamaan tekonsa, sitä paremmin hän onnistuu pyrkimyksissään. Tietomurron havaitsemiseen kuluu keskimäärin 256 päivää. Tutustu vinkkeihimme, joilla voit helposti ja edullisestikin vähentää yrityksen tietomurron riskiä.

Vaikeus havaita rikosta häivyttää tietoturvauhkaa näkyvistä

Kun tietorikolliset jahtaavat haltuun otettavia tietojärjestelmiä, he toimivat yleensä hyvin huomaamattomasti. Mitä pidempään he onnistuvat piiloutumaan, sitä paremmin he onnistuvat pyrkimyksissään. Siten voi olla vaikea huomata, että tietojärjestelmään on murtauduttu tai tietoja on vuotanut asiattomille.

Yrityksen tietojärjestelmiin murtautuvilla hakkereilla on useita menetelmiä tavoitteidensa saavuttamiseksi. He voivat huijata yrityksen työntekijöitä ilmoittamaan salasanansa tai asentamaan ohjelmia, joiden avulla saadaan pääsy järjestelmään. He etsivät jatkuvasti ja kokeilevat, onko tietojärjestelmässä turvallisuusaukkoja.

"Tietomurron havaitsemiseen kuluva aika riippuu suuresti yrityksen suhtautumisesta tietoturvallisuuteen."

Hienovaraisuus on tietorikolliselle hyve. Siksi voi kestää kauan, ennen kuin tietomurto huomataan. Ponemon Instituten tekemässä tutkimuksessa todetaan, että tietomurron havaitsemiseen kuluu keskimäärin 256 päivää.

Tämä koskee erityisen vaarallista ns. APT-uhkaa, Advanced Persistent Threat, jossa hakkerit toimivat hyvin aktiivisesti ja kätkevät läsnäolonsa. Joskus harvoin hakkerit tuovat läsnäolonsa ilmi, yleensä painostaakseen yritykseltä rahaa.

Tietomurron havaitsemiseen kuluva aika vaihtelee suuresti riippuen hyökkäystyypistä ja yrityksen suhtautumisesta tietoturvallisuuteen. Mitä vähemmän huomiota kiinnitetään turvallisuusasioihin, sitä myöhemmin hyökkäys todennäköisesti huomataan.

Tunnista tietoturvarikoksen merkit

Vaikka voi olla vaikea huomata, että asiattomat ovat peukaloineet laitetta tai järjestelmää, eräitä merkkejä voi tarkkailla.

1. Tietokone toimii hitaasti

Jos tietokoneesi on saanut virustartunnan, kovalevy käy usein jatkuvasti. Tämä ei itsessään ole varma merkki, mutta jos tähän liittyy muuta epänormaalia, kuten omituisia ilmoituksia ponnahdusikkunoissa tai koneen tai ohjelmien äkillistä käynnistymistä, viruksen todennäköisyys on suurempi. Ellei ongelma selviä virustorjuntaohjelmalla, on aika soittaa turvallisuusasiantuntijalle. Hän auttaa selvittämään, onko tietokone saastunut.

2. Tietokone toimii oudosti

Jos olet joutunut tietomurron kohteeksi ja ulkopuoliset ovat päässeet sähköpostiisi, tietorikolliset voivat lähettää sähköpostia omasta osoitteestasi. Jos huomaat omituisia ilmiöitä, kuten hiiren kohdistimen liikkuvan näytöllä itsestään, tämä on hyvä merkki siitä, että ulkopuolinen on ottanut koneen hallintaansa. Muita merkkejä ovat esim. se, ettet voi käyttää tiettyjä ohjelmia aloitusvalikon kautta, yksittäiset ohjelmat kieltäytyvät käynnistymästä tai salasanasi ovat yhtäkkiä vaihtuneet.

3. Et pysty kirjautumaan palveluun

Niin sanotulla palvelunestohyökkäyksellä (DDOS-hyökkäys) pyritään estämään luvallisten käyttäjien pääsy tietojärjestelmään. Tämä on erityisen kriittistä yrityksille, joiden myynti tai markkinointi riippuu verkkosivuista. Palvelunestohyökkäyksessä tietorikolliset kuormittavat sivustoasi tuhansia kertoja sekunnissa haltuun ottamiensa tietokoneiden avulla. Kaistanleveys loppuu, ja sinä ja asiakkaasi ette pääse verkkosivuille. Jos tietokoneesi on viruksen saastuttama, se voi olla tietämättäsi yksi tällaiseen synkronoituun hyökkäykseen osallistuvista koneista.

4. Saat outoja ilmoituksia

Yhtäkkiä esiin ponnahtavat oudot viestit tietokoneesi tuntemattomien ohjelmien aiheuttamista turvallisuusvirheistä voivat olla merkkejä haittaohjelmasta. Nämä uhat on kohdennettu tarkemmin kuin tietokonevirus, joka on ohjelmoitu leviämään mahdollisimman laajalle. Haittaohjelma voi esimerkiksi yrittää kytkeä pois virustorjuntaohjelmat, jotka usein etsivät myös haittaohjelmia. Se voi myös estää sinua käyttämästä päivittäin tarvitsemiasi ohjelmia tai salata tärkeitä tietojasi ja vaatia sinulta lunnaita, jotta saisit tietosi takaisin.

5. Turvallisuusjärjestelmäsi varoittavat

Yritysten kannattaa ottaa käyttöön puolustusmekanismeja kuten järjestelmiä, jotka havaitsevat hyökkäykset ja suojaavat liiketoimintaa niiltä. Esimerkiksi IPS/IDS-järjestelmä (Intrusion Prevention System / Intrusion Detection System) varoittaa jo varhain, kun joku yrittää tehdä järjestelmään muutoksia. Näin yritys voi ryhtyä ajoissa vastatoimiin.

Kannattaa myös ottaa vakuutus, jonka kautta saa apua ja taloudellista tukea normaalin tilanteen palauttamiseksi, jos joudut tietorikollisuuden kohteeksi. Vakuutus ei kuitenkaan kata IT-järjestelmien parantamiskustannuksia.

Kun olet lukenut oireluettelossa annetut esimerkit, on syytä panna jäitä hattuun. Järjestelmän kaatuminen tai käyttäjän mielestä epänormaali tilanne ei aina tarkoita, että tietojärjestelmiin olisi murtauduttu.

Yleensä eri oireiden yhdistelmä antaa aihetta ryhtyä tutkimaan, mitä järjestelmässä tapahtuu ja miksi. Kuten usein, tässäkin ennaltaehkäisy on helpompaa ja halvempaa kuin jälleenrakentaminen. Opasta työntekijöitä ymmärtämään, mitä tietoturvallisuus on käytännössä, millaisia ovat hyvät toimintatavat ja miten ohjelmat ja virustorjuntaohjelmistot pidetään ajan tasalla. Laadi myös suunnitelma kriisin toteutumisen varalta – ja ylläpidä sekä harjoittele ohjelmaa säännöllisesti.

Tietomurto?

Hakkerointi ei ole teinien harrastelua

Yritysten tietojärjestelmiin murtautumisesta eli hakkeroinnista on tullut suuren luokan liiketoimintaa. Erilaisten hakkerien motivaatiot ovat hyvin erilaisia.

Mikä oikeastaan on hakkeri?

Keitä eri hakkerityypit ovat, ja mitkä ovat heidän tarkoitusperänsä?

Useimmat tuntevat hakkerit elokuvista. Hakkerit ovat yleensä nuoria miehiä – hieman epäsosiaalisia dataguruja, joiden hakkeroinnilla pahat tarkoitusperät. Todellisuus on paljon monimuotoisempi kuin mitä Hollywood-elokuvista käy ilmi. Hakkeri-käsite ei välttämättä tarkoita samaa kuin rikollinen tai vastuuton henkilö. Jotkut hakkerit pyrkivät haastamaan yritysten tietoturvallisuutta ja yrittävät hakkeroimalla löytää aukkoja turvaverkosta. Toiset hakkerit ovat rikollisia, jotka käyttävät turvallisuusaukkoja ja virheitä omaksi tai muiden hyödyksi. Hakkerit onkin luokiteltu hakkeroinnin tarkoitusperien perusteella eri tyyppeihin.

Script kiddies – pikkulapset

Alimpana arvoasteikossa ovat ns. script kiddies -hakkerit, joiden nimitys on peräisin heidän käyttämistään hakkerointityökaluista. Script kiddies -hakkereita harvoin motivoi muu kuin jännitys ja mahdollisuus näyttää olevansa kavereita parempi hakkeri. Tähän ryhmään kuuluvat käyttävät yksinkertaisia hakkerointityökaluja, joilla etsitään automaattisesti turvallisuusaukkoja ja -puutteita uhrin järjestelmästä. Työkaluja ei yleensä kirjoiteta itse vaan ne ladataan joltakulta, joka osaa ja tietää enemmän hakkeroinnista.

Näitä tekijöitä on paljon. Heillä on hiukan tietotekniikkaosaamista, mutta he eivät täysin ymmärrä hakkeroinnin seurauksia. Tämä antaa aihetta huoleen,

Haktivistit

Seuraavana arvoasteikolla ovat ns. haktivistit, joiden motiivit hakkerointiin ovat vahvempia ja täsmällisempiä. Tähän kuuluu erilaisia ryhmiä, joiden hakkerointitavoitteet voivat olla sosiaalisia, ideologisia, uskonnollisia tai poliittisia. Ryhmillä on vahvoja motiiveja, ja ne tekevät kohdettaan vastaan enemmän hakkerointityötä kuin esim. script kiddies -hakkerit, joiden toiminta on tilapäistä. Tietojärjestelmiin murtautumisen sijaan haktivistien tarkoituksena on usein pakottaa organisaatio tai yritys polvilleen ylikuormittamalla tietojärjestelmiä ja hankkia näin julkisuutta.

Valkohattuhakkerit (white-hat hackers)

Turvallisuusalalla puhutaan usein hakkerien erilaisista hatuista sen mukaan, mihin he käyttävät hakkerointiosaamistaan. Kehittyneimpien hakkereiden tarkoitusperien kuvaamiseen käytetään kolmea eri hattutyyppiä: valkoista, harmaata ja mustaa.

Valkohattuisten cowboyden tavoin valkohattuhakkereita (white-hat hackers) pidetään hyväntahtoisina. Nämä ovat usein tietoturvallisuusasiantuntijoita, jotka testaavat IT-järjestelmän turvallisuutta ja rajoja: kuinka suojaton tai pitävä järjestelmä on.
Valkohattuhakkereita sanotaan usein eettisiksi hakkereiksi. Heillä on erittäin hyvä asiantuntemus ohjelmoinnista ja turvallisuusjärjestelmistä sekä syvälliset tiedot tietoverkkojen ja käyttöjärjestelmien toiminnasta.

Mustahattuhakkerit (black-hat hackers tai crackers)

Cowboyelokuvissa pahoilla hahmoilla on usein mustat hatut. Sama kielikuva pätee hakkerimaailmaan.

Nämä hakkerit, tai 'kräkkerit', kuten haittatarkoituksessa hakkeroivaan myös usein viitataan, murtautuvat turvallisiin tietoverkkoihin tuhotakseen, muuttaakseen tai varastaakseen tietoja tai tehdäkseen tietoverkon käyttökelvottomaksi. Toisin kuin valkohattuhakkerit, jotka raportoivat puutteista tietojärjestelmien omistajille ja kehittäjille, mustahattuhakkerit pitävät kaiken salassa. Jos he löytävät heikkouden, he salaavat asian ja yrittävät hyödyntää heikkoutta laajamittaisesti.

Jos mustahattuhakkeri esimerkiksi löytää Windowsista vian, joka tarjoaa helpon pääsyn tietojärjestelmään, hän ei paljasta löydöstään. Silloin vaarana olisi, että vika korjataan. Mustahattuhakkerilla on kohteensa suhteen aina pahat tarkoitusperät. Hän yrittää hakkeroitua tietoverkkoon varastaakseen tietoja tai rahaa, murtaakseen sähköpostitilejä, edistääkseen poliittisia pyrkimyksiä, kaupatakseen henkilötietoja identiteettivarkaille tai toteuttaakseen operaatioita silkkaa pahuuttaan.

Harmaahattuhakkerit (grey-hat hackers)

Näiden kahden ryhmän välissä on hakkereita, joiden tarkoitusperät ovat sekoitus molempia tyyppejä. Heidän tarkoituksenaan ei ole vahingoittaa ketään etsiessään puutteita, mutta he eivät välttämättä paljasta vikoja järjestelmien omistajille. Toisinaan he muistuttavat toiminnassaan enemmän mustahattuisia kollegojaan.

Nämä hakkerit voivat esim. surffata internetissä ja hakkeroidatietojärjestelmän varoittaakseen järjestelmänvalvojaa siitä, että heidän järjestelmässään on turvallisuuteen liittyvä heikkous. Sen jälkeen he voivat tarjoutua korjaamaan vian maksua vastaan.

Hakkerit toimivat usein omin päin, mutta joskus he saavat myös tukea organisaatioilta. Nämä voivat olla mafian kaltaisia rakenteita, jotka pyrkivät keräämään lunnasrahoja tai myymään tietoja.

Turvaudu tietorikollisuudelta

Suojautuakseen hakkeroinnilta yritysten ja yksityishenkilöiden on pysyttävä koko ajan valppaina ja huolehdittava IT-järjestelmiensä turvallisuudesta ja työntekijöidensä hyvästä turvallisuuskulttuurista.

Joskus parhaatkaan toimenpiteet eivät estä hakkeria murtautumasta tietojärjestelmään. Turhan usein he onnistuvat, ja joudut yhtäkkiä uhriksi tietämättä, mitä pitäisi tehdä. Erityisesti yritysten on viisasta suojautua hakkerointia vastaan hankkimalla tietoturvavakuutus, joka kattaa tietorikollisuudesta aiheutuvia, usein suuria kustannuksia.

Hakkeroinnista aiheutuvat vahingot vaihtelevat kassajärjestelmän tai verkkosivujen kaatumisesta johtuvasta liikevaihdon menetyksestä aina vahinkoa kärsineille asiakkaille maksettaviin suuriin korvauksiin.

Kybervakuutus tietorikollisuuden varalta

Olemme kehittäneet vakuutuksen, joka kattaa seuraavat palvelut ja riskit:

Apua tietomurron syiden ja vaikutusten selvittämiseen: Ympärivuorokautinen palvelu, jossa IT-asiantuntijat arvioivat tilannetta ja antavat neuvoja.
Taloudelliset menetykset: Liiketoiminnan keskeytymisestä johtuva tulojen menetys ja tietomurrosta aiheutuneet kustannukset.
Selvitys ja tietojen palauttaminen: Kustannukset mm. vahinkojen selvittämisestä sekä järjestelmien ja tiedostojen palauttamisesta ennalleen.

Lue tietoturvavakuutuksesta

Tarvitsenko kybervakuutuksen?
Tietoturva- eli kybervakuutus tuo taloudellista turvaa alasta ja yrityskoosta riippumatta, ja saat käytännön apua, jos yrityksesi tietoturvaa uhataan.
Tutustu tietoturvavakuutukseen
Tietoturvarikoksia on monenlaisia
Tietomurtoon tarvitaan vain yksi viaton klikkaus, jonka seurauksena liiketoiminta voi tuhoutua.
Esimerkkejä tietoturvarikoksista
Vinkkejä riskien vähentämiseen
Yrityksen tietoturvallisuuden parantaminen alkaa siitä, että uhkiin suhtaudutaan vakavasti.
Tutustu vinkkeihin

Yrityksen tietoturvasanastoa

Tietoturvalla tarkoitetaan erilaisilta tietoturvauhilta, kuten haittaohjelmilta ja tietoturvahyökkäyksiltä, suojautumista. Se on tärkeä osa yrityksen riskienhallintaa. Kokosimme yhteen termejä, joita saatat tarvita aihetta tutkiessasi.

Kyberhyökkäys (Cyber attack)

IT-ympäristöön kohdistuva luvaton toimenpide, kuten tietomurto, haittaohjelman levittäminen tai palvelunestohyökkäys. Kybervakuutus tuo taloudellista turvaa, jos yrityksesi suojaus pettää.

Hakkerointi (Hacking)

Hakkeroinnilla viitataan usein tunkeutumiseen tietyn kohteen järjestelmään tai -sovellukseen ilman kohteen suostumusta tai tietoa. Termi 'hakkerointi' sisältää myös kohdistetut hyökkäykset (APT=Advanced Persistent Threat).

Monet kuitenkin tekevät eron termien 'hakkeri' ja 'krakkeri' (cracker) välille:

Hakkerit pyrkivät käyttämään tietojaan hyvään tarkoitukseen, eivätkä tee tietoturvahyökkäyksiä vahingoittaakseen yritystä tai sen tietoja. Yritys voi palkata hakkerit etsimään järjestelmistään tietoturva-aukkoja tai "hyökkäys" voidaan toteuttaa ns. pro bono, eli hyvää hyvyyttään, jotta yritys huomaisi olemassa olevan riskin.

Krakkerit puolestaan murtautuvat järjestelmään aikeenaan varastaa tai muuten vahingoittaa yrityksen tietoja tahallaan.

On muistettava, että tietyissä tapauksissa hakkerointi voi olla jopa riskialttiimpaa kuin perus tietoturvamurto, koska hakkereilla on käytössään usein tarkempaa tietoa kohteen ohjelmista ja koodista. Valtaosa hakkereista silti työskentelee turvajärjestelmien kehittämiseksi, ja tekemällä yhteistyötä tunnetun ja alalla arvostetun toimijan kanssa, riskin voi minimoida.

Tietojenkalastelu (Phishing)

'Tietojenkalastelu' tai 'verkkourkinta' on tietotekniikassa rikollista toimintaa, jolla pyritään saamaan haltuun luottamuksellisia tietoja, kuten henkilö- tai tilitietoja.

Tietojenkalastelu toteutetaan esiintymällä tiedon saantiin oikeutettuna tahona. Tämä voi tapahtua esimerkiksi puhelimitse, sähköpostitse tai sosiaalisen median kautta. Tietojenkalastelu on jo kauan tiedetty, mutta koko ajan yleistyvä verkkorikollisuuden muoto.

Haittaohjelma (Malware)

Haittaohjelma on yleiskäsite tietokoneohjelmille, jotka tarkoituksellisesti aiheuttavat ei-toivottuja tapahtumia tietokoneessa tai sen ympäristössä.

Haittaohjelmiin kuuluvat mm. virukset, troijalaiset, madot, takaportit, botit (bot=web robot) ja useiden haittaohjelmien yhdistelmät (blended/multi-vector cocktail malware).

Virus

Tietokoneviruksella tarkoitetaan tietokoneohjelmaa, joka monistaa itseään ja leviää tietokoneesta toiseen. Virukset lasketaan ns. haittaohjelmiin.

Troijalainen (Trojan)

Troijalainen on viattomaksi naamioitu haittaohjelma tai ohjelman osa, joka jonkin yksinkertaisen hyödyllisen toiminnon lisäksi käynnistää myös viruksen tai haittaohjelman, tai käyttää muutoin hyväkseen järjestelmän haavoittuvuutta.

Mato (Worm)

Mato on samantapainen haitallinen tietokoneohjelma kuin virus. Mato on suunniteltu leviämään laitteesta toiseen automaattisesti tekemällä itsestään kopioita ilman tietokoneen käyttäjän toimenpiteitä. Viruksesta poiketen mato ei tarvitse isäntäohjelmaa.

Vakoiluohjelma (Spyware)

Vakoiluohjelmalla tarkoitetaan ohjelmistoa, joka aktiivisesti vakoilee käyttäjän toimintaa verkossa tai yksittäisellä koneella, ja joka kykenee paikallisesti tallentamaan tai lähettämään löydöksensä kolmansille osapuolille.

'Vakoiluohjelma'-termi sisältää myös näppäimistönlukijat, selainkaappaajat ja haitalliset mainosohjelmat. Vakoiluohjelmat voidaan lukea osaksi haittaohjelmia.

Kiristysohjelma (Ransomware)

Kiristysohjelma on haittaohjelma, joka on suunniteltu salaamaan laitteella olevat tiedostot ja tekemään ne sekä niihin pohjaavat järjestelmät käyttökelvottomiksi.

Kiristysohjelma voi siis esimerkiksi lukita tietokoneen ja estää sen käytön, kunnes tietty rahasumma on maksettu.

Mainosohjelma (Adware)

'Adware' on tietokoneen haittaohjelma, joka esittää käyttäjälleen mainoksia ohjelman normaalin käytön yhteydessä. Mainoksilla ei välttämättä ole minkäänlaista yhteyttä itse ohjelman käyttötarkoitukseen.

Tavallisesti mainosohjelmat ovat ilmaisohjelmia, jotta ohjelma saavuttaisi mahdollisimman suuren käyttäjä- ja katsojamäärän.

Botti (Bot)

Botti on lyhenne sanasta robotti ja tarkoittaa tietokoneohjelmaa, joka osaa toimia itsenäisesti sille määriteltyjen toimintaohjeiden puitteissa, esimerkiksi hajautetuissa palvelunestohyökkäyksissä.

Myös verkkosivustoilta tietoja etsiviä hakukonerobotteja kutsutaan boteiksi, ja onkin hyvä muistaa, että 'botteja' on monenlaisia ja moneen tarkoitukseen. Tietoturvauhista puhuttaessa botilla tarkoitetaan kuitenkin aina haitallista ohjelmaa.

Näppäilytallennin (Keylogger)

Näppäilytallentimella (myös 'näppäinnauhuri', engl. keylogger) viitataan taustalla toimivaan tietokoneen näppäimistön painalluksia seuraavaan ohjelmaan.

Ohjelma kirjoittaa kaikki näppäimistöllä tapahtuvat painallukset salaa talteen ja lähettää ne internetin välityksellä ulkopuolisten käsiin.

Tapahtumat voivat sisältää sähköpostikeskusteluja, chattejä, salasanoja tai mitä tahansa muuta kirjoitettua materiaalia.

Takaportti (Backdoor)

Takaportilla tarkoitetaan tietotekniikassa rakennetta, joka mahdollistaa ulkopuolisen henkilön luvattoman pääsyn kohteena olevaan laitteeseen tietoverkon välityksellä. Takaportin avulla voidaan näin ohittaa käyttäjän tietoturvan kannalta olennainen todentaminen.

Takaporttien kautta saadaan yleensä käyttäjän laite kokonaan haltuun.

Palvelunestohyökkäys (DoS)

Kun pääsyä tietoihin tai tietojenkäsittelyyn vaikeutetaan pahantahtoisesti, on kyse palvelunesto- eli DoS-hyökkäyksestä (engl. Denial of Service).

Tavallisimmin tämä toteutetaan kohdistamalla verkkosivustolle niin paljon liikennettä, että se ei käytännössä kykene palvelemaan kävijöitä.

Useista lähteistä tapahtuvaa hyökkäystä kutsutaan nimellä hajautettu palvelunestohyökkäys (Distributed Denial of Service, DDoS).

Kohdistettu hyökkäys (APT)

Kohdistetussa hyökkäyksessä (Advanced Persistent Threat, APT) hyökkääjä käyttää useita menetelmiä ja tapoja päästäkseen käsiksi tietyn organisaation järjestelmään ilman lupaa.

Palomuuri (Firewall)

Palomuurilla tarkoitetaan eristävää moniosaista järjestelmää, joka suodattaa suojattavan verkon ja vaarallisemman verkon välisiä yhteyksiä.

Useimmiten palomuuria tarvitaan avoimesta internetistä tulevilta hyökkäyksiltä suojautumista varten. Palomuurilaitteilla on sääntöjä, joilla sisään tulevista yhteyksistä suodatetaan pois kaikki muu, paitsi tarvittava.

Tunkeilijan haivaitsemisjärjestelmä (IDS)

Tunkeilijan havaitsemisjärjestelmä (engl. Intrusion Detection System, IDS) on tietoverkkoon asennettava järjestelmä, joka on ohjelmoitu tunnistamaan verkkoon suuntautuvat hyökkäysyritykset.

Järjestelmä voi olla konekohtainen (Host IDS) tai verkkopohjainen (NetworkIDS). Runsaasta datavirrasta pyritään tunnistamaan tiettyjä kaavoja, joiden perusteella voidaan olettaa tunkeutumisyrityksen olevan päällä.

Jotkin verkkopohjaiset järjestelmät osaavat reagoida tällaisissa tilanteissa katkaisemalla oletetun hyökkääjän yhteydet. Tällaisista aktiivisista järjestelmistä käytetään myös termiä 'murron estämisjärjestelmä' (Intrusion Prevention System, IPS).