DIF-aamiaisella 11.10.2022 pureuduttiin kyberturvallisuuteen strategian ja riskienhallinnan näkökulmasta. KPMG:n isännöimän tilaisuuden avasi Mika Laaksonen, joka kehotti tutustumaan ajankohtaiseen, yli 1300 kansainvälisen yrityksen toimitusjohtajan näkemyksiä kokoavaan KPMG 2022 CEO Outlook -tutkimukseen. Aamutilaisuudessa kuultiin tietoiskut whistle blowingista sekä strategian merkityksestä kyberturvan johtamisessa. Lopuksi kyberturvallisuutta käsiteltiin hallituksen näkökulmasta.
Kyberturvaa pitää johtaa
Kyberturvan merkitys on kasvanut, ja yhteiskunnat ovat reagoineet tähän regulaatiolla. Esimerkiksi EU:n kyberturvadirektiivi määrittelee kymmenen toimialaa, joilla on oltava valmiussuunnitelmat. Kyberturva ei kuitenkaan ole vain tiettyjen toimialojen asia, vaan se koskee kaikkia. Teknologia on tullut osaksi kaikkea organisaation toimintaa: tuotteita ja palveluita, liiketoimintamalleja, prosesseja ja kommunikointia. Olemme haavoittuvaisia teknologiasta: (usein) ei ole fyysistä vaihtoehtoa, jos teknologia ei ole käytettävissä tai tietoja katoaa.
DIFn Senior Advisor Tomi Dahlberg puhui kyberturvan johtamisesta, joka vaatii sekä liiketoiminnallista että teknistä osaamista. Sen tulee olla leivottuna liiketoimintastrategian sisälle. Nykyisessä ajattelumallissa on jäljellä enää vain liiketoimintastrategia, jossa liiketoimintaa, teknologiaa ja kyberturvallisuutta ajatellaan yhtä aikaa, ei erillisinä osina tai strategioina.
Whistle blowing – teknisesti ja hallinnollisesti uskottava kanava
KPMG:n Forensic-palveluiden johtaja Timo Piiroinen kertoi whistle blowing -direktiivistä, joka saatetaan voimaan alkuvuodesta 2023. Organisaatiot täyttävät direktiivin velvoitteet luomalla sisäisen ilmoituskanavan, jonka välityksellä epäillyt toimintatavan vastaiset toimet ja muut poikkeamat voidaan turvallisesti ja luottamuksellisesti tuoda esiin. Kanavan on oltava sekä teknisesti että hallinnollisesti uskottava. Hallituksen tulee nimetä tai valtuuttaa joku nimeämään vastuuhenkilö ja ilmoitusten käsittelijät, ja saada vähintään kerran vuodessa tilanneraportti. Käsittelyn on oltava ammattimaista ja riippumatonta. Uskottavuus sisältää esimerkiksi ilmoittajan henkilöllisyyden suojaamisen ja luotettavan teknisen turvan, joka täyttää tietosuojalainsäädännön vaatimukset.
Kyberturvallisuus riskienhallinnan näkökulmasta
KPMG:n Threat Intelligence -palvelun asiantuntija Mikko Vatanen käsitteli kyberturvallisuutta riskien näkökulmasta. Hän nosti esiin kysymyksen, keskustelevatko IT/kyberturvallisuus ja taloushallinto keskenään: kuinka manipuloitavissa esimerkiksi organisaatiosta ulos lähtevät maksut ovat. Ediscoverylla tarkoitetaan datankeruuta, kun jotain on jo tapahtunut. Nykyään tekoälyn avulla pystytään louhimaan nopeasti keskeinen sisältö isosta datamassasta. Sähköpostit ovat kriittisimpiä kyberriskejä, ja ne ovat myös tärkein tiedon lähde.
Onnekas vai taitava hallitus, jos kyberturvallisuus ei nouse keskusteluihin?
Dahlbergin mukaan tutkimukset osoittavat, että hyvä teknologia-, digitalisaatio- ja kyberjohtaminen johtavat kyberturvassa onnistumiseen. Hallituksen tehtävänä on varmistaa, että kyberturva on pöydällä, raporteissa, tarkastuksissa, käytännöissä ja kulttuurissa, vastuut ovat selkeät ja henkilökunta osaa. Teknisen osaamisen sijaan hallitusjäsenillä on oltava kokonaisvaltainen kompetenssi ymmärtää teknologian ja kyberturvallisuuden strategian läpäisevä luonne. Hallituksen tulee keskustella kyberturvasta hallitus- ja liiketoimintasanastolla teknologiasanaston sijaan.
DIFn loppukommenttipuheenvuoron pitänyt Kojamon digijohtaja Katri Harra-Salonen kysyi, miten kyberturvallisuusasiat nousevat hallituksen agendalle etenkin tilanteissa, joissa toimitusjohtaja ei niistä raportoi eikä johtoryhmään kuulu teknologiajohtajaa. Vuosittain teemaa on kuitenkin luontevaa pitää esillä riskienhallinnan ja sisäisen tarkastuksen raporttien kautta. Budjetin lisäksi Harra-Salonen mainitsi haasteena kyberturvallisuuden liitynnän koko liiketoimintaan, erityisesti horisontaaliprosessien johtamisen ja niiden toimivuuden varmistamisen. Mittareita mietittäessä haasteena on puolestaan tavoitetasojen määrittely. Esimerkiksi whistle blowingiin liittyen nolla ilmoitusta on todennäköisesti väärä tavoite. Harra-Salonen pohti myös, onko kyberturvallisuus ja esimerkiksi whistle blowing brändätty negatiivisen kautta ja kuinka brändäystä voisi tehdä positiivisesta, kannustavasta näkökulmasta. Kuinka sitten onnistua kyberturvallisuudessa? Henkilökunnan tietoturvakoulutuksen ja arkikäyttäytymisen ohjaamisen sekä rakenteiden ja käytäntöjen kautta, tiivisti Harra-Salonen.
Tilaisuuden esitysmateriaali on DIFin jäsenten ladattavissa ohessa. Pääsy materiaaleihin edellyttää kirjautumisen.