DIF-aamiaisella 28.11.2024 paneuduttiin kyberturvallisuuteen KPMG:n johdolla. Mika Laaksonen avasi tilaisuuden ja nosti esiin Euroopan unionin kyberturvallisuusviraston ENISA:n tuoreen kyberturvallisuusraportin päähavaintoja.
Organisaatiot varaavat yhdeksän prosenttia IT-investoinneistaan tietoturvaan, 1,9 prosenttiyksikköä enemmän kuin edeltävänä vuotena. Organisaatioista 89 prosenttia kertoo tarvitsevansa lisää kyberturvallisuushenkilöstöä noudattaakseen NIS 2 -direktiiviä. Jo ennestään säännellyt alat ovat pidemmällä kyberturvallisuudessa ja niiden investoinnit tietoturvaan ovat suurempia. Vaikeimmiksi NIS 2 -direktiivin vaatimuksiksi kyselyyn vastanneet arvioivat jatkuvuuden hallinnan, haavoittuvuuksien hallinnan, autentikoinnin ja toimittajaverkoston riskienhallinnan.
Hallituksen työhön kyberturvallisuus linkittyy selvimmin strategian, riskienhallinnan ja sisäisen valvonnan kautta. Hallituksen tulisikin kiinnittää huomiota esimerkiksi kyberturvallisuuden vastuisiin ja resursseihin, kriittisen tiedon suojaamiseen, kyberturvallisuuskoulutuksen riittävyyteen, riskien hallintaan ja kriiseihin varautumiseen.
DIFin kyberturvallisuuden Senior Advisor Tomi Dahlberg loi katsauksen tulevaan NIS 2 -sääntelyyn. Vaikka NIS 2 -direktiivin kansallista voimaansaattamista vielä odotetaan, kannattaa sääntelyyn varautua jo nyt. Direktiivi sisältää muun muassa 12 kohdan listan kyberturvallisuutta koskevien riskien hallinnan toimenpiteistä, joiden toteutumista hallituksen on valvottava.
Dahlberg kehotti myös pohtimaan, miten kyberturvallisuus voitaisiin kääntää kilpailueduksi. Kysymystä voi lähestyä esimerkiksi liiketoiminnan jatkuvuuden, riskienhallinnan, tietojen suojaamisen ja iskunkestävyyden näkökulmista.
KPMG:n Karri Tomulan esitys käsitteli kyberturvallisuuden kustannuksia ja kustannusten optimointia. Kyberturvallisuuden kohdalla kyse ei ole säästämisestä vaan siitä, investoidaanko oikein: Mihin raha kannattaa laittaa, jotta saadaan mahdollisimman hyvä suoja riskejä vastaan suhteessa kustannuksiin? Kyberturvan kustannussäästöjä voidaan hakea esimerkiksi lisäämällä automaatiota, tehostamalla prosesseja, harmonisoimalla työkaluja, keskittämällä erityisosaamista ja jakamalla vastuut ja tehtävät selkeämmin.
Lopuksi kuultiin vielä Konecranesin kyberturvallisuuden kehitysprojektista, josta kertoi Chief Information Security Officer Heidi Lavento. Konecranes käynnisti kolmivuotisen kehitysohjelman nostaakseen kunnianhimon tasoa tietoturvassa. Muun muassa muuttunut toimintaympäristö, tuotteisiin ja tehtaisiin liittyvien tietoturvaodotusten kasvu sekä entistä kypsemmät ja tarkemmat asiakasvaatimukset ajavat parantamaan kyberturvallisuutta.
Tomi Dahlbergin esitysmateriaali on DIFin jäsenten ladattavissa ohessa sekä jäsensivuilla (edellyttää kirjautumisen).