PwC:n tuore Women in Work Index paljastaa, että samalla kun naisten määrä työmarkkinoilla on lisääntynyt, sukupuolten välinen kuilu palkoissa on syventynyt. Kansainvälinen selvitys osoittaa, että vuosina 2021–2022 palkkaero kasvoi peräti 20:ssä 33:sta OECD-maasta. Suomessa naisten ja miesten palkkaero on 16,1 %, mikä on 2,6 prosenttiyksikköä enemmän kuin OECD-maissa keskimäärin. PwC:n vuosittain kokoama Women in Work...

PwC selvitti: Sukupuolten välinen palkkaero kasvussa

CapMan ja PwC yhdistävät voimansa ja käynnistävät hyväntekeväisyyskampanjan Tukikummit-säätiölle ja sitä kautta lasten ja nuorten tueksi. Tavoitteena on kerätä tämän kevään aikana yhteensä yli 100 000 euron potti Tukikummeille ja haastaa kampanjan jatkuessa muita yrityksiä hyväntekeväisyyskampanjaan mukaan. ”Haluamme moninkertaistaa pitkällä aikavälillä nuorten ja lasten hyväksi vuosittain kerättävän summan”, CapManin ja Tukikummit-säätiön hallitusten puheenjohtaja Joakim Frimodig toteaa....

CapMan ja PwC yhdistävät voimansa lasten ja nuorten hyväksi

Globaalit jännitteet ja lisääntyneet kyberhyökkäykset huolettavat suomalaisia toimitusjohtajia, osoittaa PwC:n jo 27. kertaa toteuttama CEO Survey -tutkimus, johon vastasi yli 4 700 toimitusjohtajaa yli sadasta maasta. Tutkimukseen haastatelluista suomalaisjohtajista 41 % näkee kyberriskit merkittävänä uhkana yritykselleen tulevan vuoden aikana, kun maailmanlaajuisesti tulos on vain 21 %. Kyberriskien ohella suomalaisia toimitusjohtajia huolestuttavat geopoliittiset konfliktit, jotka mainitsee...

Teknologian nopea kehitys haastaa kyberturvallisuutta

KHO:n tuore ratkaisu KHO:2024:68 selkeyttää edellytyksiä perintö- ja lahjaverotuksen sukupolvenvaihdoshuojennuksen soveltamiseen erityisesti arvopaperikauppaa harjoittavassa yhtiössä. Yleensä perintö- tai lahjavero määrätään omaisuuden käyvän arvon perusteella ja veron maksuaika on lyhyt. Kun kohteena on vähintään 10 % yrityksen osakkeista ja lahjan- tai perinnönsaaja jatkaa yritystoiminnan harjoittamista, verotuksessa voidaan kuitenkin soveltaa niin sanottua sukupolvenvaihdoshuojennusta. Silloin veron määrä alenee...

Sukupolvenvaihdoshuojennus sijoitusyhtiössä 

Erityisesti HR-ammattilaisia ja yritysjohtoa keskusteluttava EU:n palkka-avoimuusdirektiivi otetaan Suomessa käyttöön viimeistään kesäkuussa 2026. Onko se vain uusi pala byrokratian palapelissä? Vaikka ensisilmäyksellä siltä voi näyttää, direktiivillä on itseään isompi merkitys yrityksille. Se voi terävöittää johtamiskäytäntöjä, lisätä päätöksenteon läpinäkyvyyttä, tukea henkilöstön ymmärrystä liiketoiminnan tavoitteista ja vahvistaa yrityksen houkuttelevuutta työntekijöiden ja sijoittajien silmissä. Direktiivi on työkalu, jolla...

Kun direktiivi on itseään isompi

Kestävyysraportointi tulee pakolliseksi yrityksen koon mukaan vaiheittain tästä vuodesta alkaen. Verot saattavat tulla osaksi tätä raporttia kolmella eri tavalla: yrityskohtaisena aiheena, ESRS-standardien osana tai EU-taksonomian kautta. Verojen raportointi voi tuoda yrityksille merkittäviä etuja, kuten parantaa sijoittajasuhteita ja osoittaa yhteiskunnallista vastuullisuutta. Verojen raportointi yrityskohtaisena aiheena Kestävyysraportoinnin perusta on kaksoisolennaisuusanalyysi, jossa arvioidaan eri aiheiden olennaisuutta niiden vaikutusten...

Verot kestävyysraportoinnissa

Korkein oikeus (KKO) arvioi huhtikuussa antamassaan ratkaisussa KKO 2024:24 työsopimuslain mukaista työn tarjoamis- ja koulutusvelvollisuutta erityisesti siitä näkökulmasta, voiko työnantaja valita, mitä työtä se tarjoaa työntekijälleen irtisanomisen vaihtoehtona. Hämeenlinnan hallinto-oikeus antoi puolestaan helmikuussa päätöksen siitä, tuleeko Wolt Enterprises Oy:n ruokalähettejä pitää työsuhteisina tai ei. KKO 2024:24 Tapauksessa A oli työskennellyt lähilennonjohdon tehtävissä Helsingissä Malmin lentokentällä...

Ajankohtaista työoikeudellista oikeuskäytäntöä

Tuulivoimaloiden kiinteistöverotuksessa tapahtuu taas kuten Verohallinnon julkaistessa vuoden 2022 versionsa ohjeesta tuuli- ja aurinkovoimalaitosten verotuksesta, jossa Verohallinto otti kantaa rakentamisaikaisten yleis- ja korkokulujen huomioimiseen kiinteistöverotuksessa. Tällä kertaa korkein hallinto-oikeus laajensi päätöksessään KHO 2024:51 verovelvolliselta kiinteistöverotusta varten tarvittavia selvityksiä, kun se päätti, että yhteinen liittymispiste tarkoittaa verkkoinfrastruktuurin kokonaisuutta, jolla tuulivoimala on kytketty jakeluverkkoon, eikä teknistä liittymispistettä. ...

KHO otti kantaa kiinteistöveron voimalaitosprosentin soveltamiseen yhteisen liittymispisteen osalta

Muistatko vielä vuodelta 2021 KHO:n ennakkopäätökset, jotka koskivat osakkeiden hankintavelan vähennyskelpoisuutta (KHO 2021:178 ja KHO 2021:179 – päätöksiä on tarkasteltu tarkemmin täällä)? Päätöksissään KHO vaikutti vetävän rajan suurin piirtein siten, että rakenteen suunnittelu verotehokkaaksi oli sallittua, kun se tapahtui ennen osakkeiden hankintaa riippumattomalta osapuolelta. Sen sijaan hankinnan jälkeisiä, konsernin sisäisiä järjestelyitä ei hyväksytty, jos ne...

Kummitus nimeltä Lexel

Arvonlisävero nousi otsikoihin viime viikolla hallituksen kehysriihessä. Arvonlisäverokannan nosto ei yllättänyt ketään, mutta nosto 1,5 prosentilla löi veikkaajat ällikällä – ilmeisesti lähinnä siksi, että emme ole käyttäneet murtolukuja verokantoina arvonlisäverotuksessa. Liikevaihtoverotuksen aikaan oli toisin, mutta silloin verokin laskettiin verollisesta hinnasta taaksepäin. Euroopassa murtolukuja käytetään ainakin neljässä valtiossa, joten suurempaa haittaa itse murtoluku ei aiheuta.  Saimme...

Arvonlisävero otsikoihin hallituksen kehysriihessä

Henkilöstörahastojen verotus on kokenut viimeisen kuukauden ajan turbulenssia sen aikaisemman lentomatkan tasaisuudesta huolimatta. Turbulenssin aiheuttajana ovat Verohallinnon julkaisemat uudet ohjeet henkilöstörahastosta saatavien tulojen verotuksesta.  Ohjeista ensimmäinen julkaistiin 11.3.2024. Ohje oli jokseenkin epäselvä ja aiheutti paljon kysymyksiä. Ehkä saadun palautteen tai runsaan kysymystulvan perusteella Verohallinto päätyi päivittämään ohjetta 23.3.2024 vain reilut kaksi viikkoa sen julkaisusta (VH/2324/00.01.00/2024)....

Turbulenssia henkilöstörahastojen verotuksessa

Suomen ja Ranskan välillä on jo vuoden 2023 alussa sovittu uudesta verosopimuksesta, jonka tarkoituksena on päivittää verosopimus vastaamaan nykyisiä tulkintoja ja käytäntöjä. Sopimuksen voimaan saattaminen etenee ja siihen liittyvä hallituksen esitys on annettu. Olennaisimmat muutokset kohdistuvat erityisesti eläkkeisiin ja portfolio-osinkoihin. Lisäksi kaksinkertaisen verotuksen poistamismenetelmä muuttuu, ja sopimukseen tehdään muita pienempiä täsmennyksiä. Verosopimuksen keskeiset muutokset Eläkkeiden...

Verosopimus Suomen ja Ranskan välillä uudistuu – muutokset kohdistuvat lähinnä eläkkeisiin sekä osinkoihin

Henkilöstön takaisin kutsumiseen sopeuttamistoimien jälkeen liittyy erilaisia huomioitavia ja noudatettavia juridisia sääntöjä ja velvoitteita. Lisäksi kokonaisuuteen kytkeytyy myös muita, inhimillisiä tekijöitä, jotka kannattaa ottaa huomioon. Vaikka työnantajan näkökulmasta sopeuttamistoimenpiteet ovat normaali ja jopa välttämätön toimenpide liiketoiminnan kannattavuuden ja jatkuvuuden turvaamiseksi, voivat yksittäisen työntekijän kokemukset ja tunteet sopeuttamistoimista olla hyvin voimakkaita ja osin kielteisiä. Henkilöstön lomauttaminen...

Mitä työnantajan kannattaa huomioida kutsuessaan henkilökuntaa takaisin töihin lomautusten jälkeen?

Ovatko yrityksesi kriittisimmät tiedot vaarassa? Voiko ulkopuolinen hyökkääjä päästä niihin käsiksi? Pystyykö kyberrikollinen halvaannuttamaan liiketoimintasi? Kyllä! Red Teaming auttaa sinua tehostamaan kyberpuolustustasi näitä ja monia muita uhkia vastaan. Red Teamingilla tarkoitetaan harjoitusta, jossa joukko kyberturvallisuuden ammattilaisia (Red Team) tekeytyy hyökkääjäksi ja simuloi aidon kaltaista verkkohyökkäystä yrityksen verkkoon. Harjoitus testaa yrityksen valmiuksia suojautua ja reagoida kyberhyökkäyksiin...

Red Teaming yrityksesi kyberpuolustuksen kehittämisen tukena

PwC:n Mikä ihmeen IFRS? -blogisarjan viidennessä osassa Ville Toivonen käsittelee liiketoimintahankinnoista annettaviin liitetietoihin ehdotettuja muutoksia. IASB on julkaissut odotetun standardiluonnoksen liikearvon arvonalentumistestauksen sekä liiketoimintahankinnoista esitettävien liitetietojen muutoksista. Ehdotettuja muutoksia voi kommentoida heinäkuun 15. päivään asti, joten vielä on mahdollisuus vaikuttaa. Muutosten voimaantulohetkeä ei ole päätetty. Aiemmassa kirjoituksessani kävin läpi ehdotetut muutokset liikearvon arvonalentumistestaukseen. Tässä kirjoituksessa...

IFRS valokeilassa – Muutoksia liiketoimintahankinnoista annettaviin liitetietoihin: paremmat tiedot johtavat parempiin päätöksiin

Etusivu

Verotus

Johtaminen ja vastuullisuus

Yrittäjyys

Juridiikka

Taloushallinto

Teknologia ja digitaalisuus

Strategy& -topics

Medialle

Tilaa uutiskirje


<p>Red Teamingilla tarkoitetaan harjoitusta, jossa joukko kyberturvallisuuden ammattilaisia (Red Team) tekeytyy hyökkääjäksi ja simuloi aidon kaltaista verkkohyökkäystä yrityksen verkkoon. Harjoitus testaa yrityksen valmiuksia suojautua ja reagoida kyberhyökkäyksiin ja auttaa siten yritystä virittämään puolustuskykyään tehokkaammaksi aitoja hyökkäyksiä varten. Tavoitteena on löytää heikkoja kohtia puolustusmekanismeissa, hyökkäysten havaintokyvyissä ja verkkoympäristöjen sekä tietojärjestelmien konfiguraatioissa. Harjoitus muodostaa realistisen kuvan yrityksen havainnointi- ja reagointikyvyistä sekä auttaa tunnistamaan näiden tärkeimpiä kehityskohteita.</p>
<p>Harjoituksessa Red Team simuloi todellista uhkatekijää käyttämällä realistisia keinoja yrityksen IT-ympäristöön murtautumiseen, pääkäyttäjän tunnusten haltuunottoon, ympäristössä levittäytymiseen, puolustuksen ohittamiseen, pysyvän jalansijan muodostamiseen sekä ennalta määritettyjen tavoitteiden saavuttamiseen. Harjoituksessa hyödynnetyt keinot valmistellaan huolellisesti ottamalla mallia keskeisimpien uhkatoimijoiden käyttämistä tekniikoista ja taktiikoista. Samalla hyödynnetään kyberturvatutkijoiden uusia löydöksiä sekä Red Teamin itse kehittämiä työkaluja.</p>
<p>Tiivistettynä Red Team on kuin oikea uhkatoimija, joka ei kuitenkaan pyri vahingoittamaan kohdeyritystä, vaan auttaa sitä sen sijaan kehittämään puolustustaan paremmaksi.</p>
<h2>Miten Red Teaming -harjoitus toteutetaan?</h2>
<p>Red Teaming tulisi toteuttaa siten, että vain muutama henkilö yrityksessä on siitä tietoinen. Erityisesti yrityksen tietoturvavalvomo (Security Operations Center, SOC) on pidettävä sisäpiirin ulkopuolella. Menettelyllä varmistetaan, että harjoitus testaa yrityksen havainnointikyvyn mahdollisimman todenmukaisesti ja että uhkaan vastataan aina yhtä tehokkaasti, oli kyseessä oikea hyökkäys tai harjoitus. Mikäli olet hankkinut tietoturvavalvomon palveluna, on sen tehokkuutta ja toimintaa hyvä arvioida säännöllisillä Red Teaming –harjoituksilla.</p>
<p>Harjoituksen alkaessa avustamme asiakasyritystä sopimaan tavoitteet, jotka Red Team pyrkii harjoituksen aikana saavuttamaan. Tavoitteina voi olla esimerkiksi pääkäyttäjäoikeuksien saaminen IT-ympäristössä, pääsy liiketoiminnan kannalta kriittisiin järjestelmiin, pääsy luottamukselliseen tietoon tai kiristyshaittaohjelmahyökkäyksen simulointi. Harjoituksessa Red Team pyrkii saavuttamaan ennalta määritellyt tavoitteet ja välttämään aiheuttamasta hälytyksiä tietoturvavalvomolle eli pysymään piilossa puolustajilta.</p>
<p>Red Teaming –harjoitus voidaan aloittaa monella eri tavalla, tässä kaksi yleisintä lähestymistapaa:</p>
<h3>Aloitus sisäverkosta</h3>
<p>Tässä yleisimmin käytetyssä lähestymistavassa Red Teamille annetaan pääsy yrityksen sisäiseen verkkoon olettaen, että murto on jo tapahtunut. Tällä voidaan simuloida tilannetta, jossa työntekijä tai ulkoinen kumppani on joutunut kalastelun uhriksi. Skenaario voidaan toteuttaa esimerkiksi tarjoamalla Red Teamille virtuaalikone tai työasema ja luomalla realistinen käyttäjätunnus. Kokemuksemme mukaan tämä lähestymistapa kannattaa valita, kun yritys haluaa testata ensisijaisesti sisäisiä havainnointi- ja reagointikykyjään.</p>
<h3>Hyökkäys ulkopuolelta</h3>
<p>Jos yritys haluaa testata ulkoista puolustustaan, Red Team voi aloittaa hyökkäyssimulaation yrityksen ulkopuolelta. Tässä lähestymistavassa Red Team pyrkii pääsemään yrityksen sisäverkkoon esimerkiksi kohdennetun kalastelun (spear phishing) avulla tai yrityksen julkista internet-omaisuutta hyväksikäyttämällä, kuten hyökkäämällä verkkosovelluksen kautta. Myös ei-teknisiä hyökkäysmenetelmiä, kuten sosiaalista manipulointia tai fyysistä tunkeutumista voidaan hyödyntää.</p>
<h2>Miksi Red Teamingia tehdään?</h2>
<p>Red Teaming antaa yritykselle oppeja aidosta kyberhyökkäystilanteesta ja siitä, miten organisaatio kykenee toimimaan uhkatoimijoita vastaan. Harjoitus tarjoaa näkyvyyttä yrityksen havainnointi- ja reagointikykyihin, sillä se mahdollistaa tietoturvakontrollien ja -prosessien testaamisen todenmukaisessa käytännön tilanteessa. Joillakin toimialoilla myös regulaatio edellyttää säännöllistä uhkaperusteista tietoturvatestausta.</p>
<p>Harjoitus paljastaa usein lukuisia heikkoja kohtia yrityksen tietoturvassa. Tyypillisimpiä tekemiämme havaintoja ovat:</p>
<ul>
<li>Huolimaton salasanojen hallinta</li>
<li>Puutteelliset tietoturvavalvontajärjestelmät tai -prosessit</li>
<li>Konfiguraatiovirheet</li>
<li>Puutteellisesti hallitut ja liian laajat käyttöoikeudet</li>
<li>Haavoittuvat verkkosovellukset</li>
</ul>
<h2>Mitä eroa on Red Teamingilla, Purple Teamingilla ja penetraatiotestauksella?</h2>
<p>Red Teaming testaa todellista kykyäsi suojautua kyberhyökkäyksiltä. Se koettelee yrityksen puolustuskykyä ja arvioi työntekijöiden, sidosryhmien, teknologioiden, konfiguraatioiden ja palveluntoimittajien toimintaa kyberhyökkäystilanteessa.</p>
<p>Purple Teaming on yhdistelmä Red ja Blue Teamia eli hyökkäävää ja puolustavaa tietoturvaa. Purple Teaming keskittyy havainnointiin ja sen parantamiseen erilaisten valmisteltujen hyökkäysskenaarioiden avulla, eikä varsinaisesti etsi järjestelmistä haavoittuvuuksia. Hyökkäysskenaariot suoritettuamme työskentelemme yrityksen kyberpuolustuksen kanssa ja kehitämme uusia tapoja havainnoida hyökkäyksen eri vaiheita.</p>
<p>Penetraatiotestauksessa keskitytään useimmiten yhteen sovellukseen tai infrastruktuurin osaan. Laadukkaassa testauksessa on automaattisten skannausten lisäksi paljon manuaalista työtä, ja asiantuntijoiden tulee vahvistaa löydetyt haavoittuvuudet käsin.</p>
<p>Teknologian ja erityisesti tekoälyn kehitys tuottaa jatkuvasti uusia apuvälineitä kyberpuolustuksen testaamiseen, havainnointiin ja sääntöjen kehittämiseen sekä reagointiin. Penetraatiotestaukset ja Red Teaming –harjoitukset ovat kuitenkin silti tarpeellisia varmistamaan, että teknologioita on hyödynnetty oikein ja että prosessit ovat liiketoiminnan odotuksen mukaisia.</p>
<h2>Varmistu organisaatiosi riittävästä kyberturvallisuuden tasosta</h2>
<p>Hallinnolliset menettelyt, kuten tietoturvallisuuden hallintajärjestelmän sertifioinnit luovat puitteet tietoturvallisuudesta huolehtimiselle, mutta todellisen kyberuhkien sietokyvyn osalta tarvitaan myös teknistä testausta. Kykyjä on kehitettävä ja harjoiteltava säännöllisesti, jotta niiden toimivuuteen voidaan luottaa tositilanteessa.</p>
<p>Red Teaming auttaa yritystäsi havaitsemaan puolustuksesi heikot kohdat, kehittämään prosesseja ja korjaamaan mahdollisia konfigurointivirheitä. Harjoituksen tuotoksena laadimme yleistajuisen johdon yhteenvedon ja yksityiskohtaisen teknisen raportin, jossa kuvailemme yksityiskohtaisesti käyttämämme tekniset metodit, tekemämme havainnot sekä tietoturvapuutteiden aiheuttamat riskit liiketoiminnalle. Lisäksi saat kehitys- ja korjausehdotuksia.</p>
<p>Yrityksesi saa näin elintärkeää tietoa siitä, miten parantaa havainnointi- ja reagointiprosessejaan sekä infrastruktuurin ja sovellusten teknistä suojausta. Tämä kaikki auttaa yritystäsi valmistautumaan ja suojautumaan kyberhyökkäyksiltä jatkuvasti monimutkaistuvassa tietoyhteiskunnassamme.</p>
<p>Lue lisää <a href="https://www.pwc.fi/fi/palvelut/teknologia-ja-digitaalisuus/kyberturvallisuus-ja-tietosuoja.html#tekninen-tietoturva-ja-red-teaming">Red Teaming-</a> sekä muista <a href="https://www.pwc.fi/fi/palvelut/teknologia-ja-digitaalisuus/kyberturvallisuus-ja-tietosuoja.html">kyberturvallisuuden palveluistamme</a></p>


Red Teaming yrityksesi kyberpuolustuksen kehittämisen tukena

Aiheeseen liittyvät sisällöt

Teknologian nopea kehitys haastaa kyberturvallisuutta

Kohti ISO/IEC 27001 -pohjaista tietoturvallisuuden hallintajärjestelmää

Yhteyshenkilösi PwC:llä

Antti Herrala

Anne Hintzell

Palvelumme

Muut lukivat myös

Sukupolvenvaihdoshuojennus sijoitusyhtiössä

Kun direktiivi on itseään isompi

Verot kestävyysraportoinnissa