Ennakointi, riskienhallinta ja harjoittelu muodostavat yritysten kyberturvallisuuden perustan. DIFin kyberturvallisuuden Senior Advisor Juhani Strömberg muistuttaa yritysjohtoa kyberturvallisuuden kriittisyydestä koko liiketoiminnalle.
Yritysten kohtaamat kyberuhkat ja niiden vaikutukset ovat kasvussa niin Suomessa kuin maailmalla. Osa hyökkäyksistä on vaikutuksiltaan pieniä, mutta joskus hyökkäykset vaikuttavat merkittävästi organisaatioiden toimintaan. Esimerkiksi toimitusjohtajahuijauksista aiheutuneiden tappioiden on arvioitu viimeisen kolmen vuoden aikana olevan globaalisti jopa 26 miljardia dollaria. Myös Suomessa toimitusjohtaja- ja laskutushuijauksia tapahtuu päivittäin.
Juhani Strömberg uskoo, että kyberturvallisuuden merkitys tulee nousemaan 2020-luvulla kokonaan uudelle tasolle myös yritysten näkökulmasta. Motiivit kyberrikollisuuteen ovat moninaisia, ja tulevaisuudessa erilaiset tahot ja niiden käytössä olevat resurssit vain kasvavat.
Hänen mukaansa monissa yrityksissä kyberturvallisuutta tarkastellaan viimeisen 10–20 vuoden perusteella, vaikka katseet kannattaisi suunnata jo reilusti tulevaan.
”Hallituksen tavoitteena pitäisi olla pysyminen askeleen edellä uhkaajia. Jos ollaan askeleen jäljessä, tehtäväksi jää tulipalojen sammuttaminen ja kriisien hoitaminen”, Strömberg sanoo.
Vastuu kyberturvallisuudesta kuuluu yrityksen hallitukselle
Kun tiedetään mitä kyberturvallisuudelta halutaan, mitkä ovat sen tavoitteet sekä miten ja mitä uhkia vastaan puolustaudutaan, ollaan jo pitkällä. Tilannetta kuitenkin hankaloittaa se, että käytännön tasolla kyberuhat koetaan usein hyvin teknisiksi ja abstrakteiksi. Strömbergin mukaan varsinkin vanhempi sukupolvi delegoi asian mielellään eteenpäin tietoturva-asiantuntijoille. Koska digitaaliteknologia lävistää koko yrityksen toiminnan ja on usein kriittistä koko liiketoiminnalle, on kyberturvallisuus kuitenkin ennen kaikkea strateginen asia.
”Siten kyberturvallisuus ei ole asia, jonka voi delegoida”, Strömberg muistuttaa.
Strömberg vertaa yritysten varautumista kyberuhkiin ja valtion valmistautumista sotaan. Resurssien on oltava kunnossa ja uhkaan valmistaudutaan harjoittelemalla. Kun tilanne on jo päällä, on myöhäistä tehdä suunnitelmia.
Myös hallituksen ja asiantuntijoiden vuorovaikutuksen pitää kehittyä. Hallituksen pitää osata vaatia tarvittavia toimenpiteitä ja pitää huoltaa siitä, että niin heikot kuin vahvat signaalit kulkeutuvat päätöksentekijöille. Lisäksi johdon tulee näyttää mallia omalla toiminnallaan.
Yrityksensä kyberturvallisuudesta huolestuneen hallituksen ensimmäinen ja tärkein tehtävä on Strömbergin mukaan päättää, että asia nostetaan kokousten vakioaiheeksi, ja että kyberturvallisuutta lähdetään edistämään määrätietoisesti ja suunnitelmallisesti.
Liikenne- ja viestintäviraston Kyberturvallisuuskeskus on julkaissut yritysten hallituksille suunnatun kyberturvallisuutta käsittelevän oppaan. Kyberturvallisuus ja yrityksen hallituksen vastuu -opas antaa yritysten hallituksille työkaluja ja tukea organisaation kyberturvallisuuden riskienhallintalähtöiseen kehittämiseen. Opas on suunnattu erityisesti suurten ja keskisuurten organisaatioiden hallitusten jäsenille, mutta opasta voivat hyödyntää kaikenkokoiset organisaatiot toimialaan katsomatta.
Opas on ladattavissa suomeksi, ruotsiksi ja englanniksi Kyberturvallisuuskeskuksen internet-sivuilta. Lisäksi oppaasta on mahdollista tilata painettu versio sähköpostitse.
Teksti: Aino Saarenmaa