Kyberturvallisuus yritystoiminnan ja -järjestelyiden osana on ehkä ajankohtaisempaa kuin koskaan. Aiheeseen syvennyttiin perusteellisesti tiistaina 9.2.2021 asiantuntijakumppani KPMG:n johdolla järjestetyssä DIF-webinaarissa, jota seurasi 60 DIFin jäsentä. Kyberturvasta vastaava Senior Advisor Juhani Strömberg ja KPMG:n Head of Technology Advisory Mika Laaksonen lausuivat tilaisuuden tervetuliaissanat.
Seuraavana KPMG:n asiantuntija Mikko Vatanen piti threat intelligence -katsauksen, jossa hän kertoi, miten julkista tai puolijulkista tietoa voi kerätä internetistä sekä esitteli dataa esimerkkitapauksista yritysten ja maiden tasolla. Johdon ja hallituksen on elintärkeää tiedostaa, miten merkittävää tietopääomaa (asset) suojataan haavoittuvuuksilta. Palveluntarjoajaan tai järjestelmäasiantuntijoihin ei voi tukeutua automaattisesti, sillä ne eivät välttämättä hoida tietoturva-asioita.
Asiantuntija Tommi Lampila puolestaan keskittyi tietoturvan havainnointiin ja riskeihin sekä niihin liittyviin palveluihin. Lampila esitteli, miten tietoturvapoikkeamia voidaan havaita ja miten niihin voidaan reagoida sekä kuinka perinteinen tai pilvipohjainen tietoturvanhallintakeskus (SOC) vaikuttaa toimintaan.
Laaksonen perehtyi yrityksen tietoturva- ja tietosuoja-asioiden läpikäyntiin osana yritysjärjestelyjä. Olemassa on kolmenlaisia teknisiä due diligence -prosesseja (Cyber DD, Tech DD ja IT DD), joiden välille hän teki pesäeroa. IT DD kartoittaa yleensä järjestelmien ominaisuuksia ja Tech puolestaan teknologia-arkkitehtuuria. Kummassakaan ei merkittävissä määrin keskitytä tietoturvaan tai -suojaan, saati uhka-analysoinnin kohteisiin, kuten Cyber DD:ssä. Lisäksi Lampila kävi läpi, mitkä ovat Cyber DD -toimeksiantojen tyypillisimmät havainnot, riskit ja toimenpiteet.
Laaksonen vastasi yleisökysymyksiin, joissa käsiteltiin muun muassa threat intelligence -analyysin näkyvyyttä, kyberuhkien varalle otettavien vakuutusten kattavuutta sekä mahdollisia mainehaittoja.
DIFin jäsenen kommenttipuheenvuorossaan Repe Harmanen kiitteli asiantuntijoiden selkeää esitystä sekä pohti muuttuvaa toimintaympäristöä ja kyberturvallisuutta hallituksen jatkuvan strategian näkökulmasta. Kyberturvan riskikartoitus on oltava liiketoiminnan jatkuvuussuunnitelmassa, minkä ohella on myös paikallaan punnita, että onko kaikki haavoittuva tietopääoma merkityksellistä? Jos kaikesta tehdään pomminvarmaa, helppokäyttöisyys, saatavuus ja käytettävyys usein kärsivät. Puheenvuoronsa lopuksi Harmanen listasi viisi kysymystä, joita kyberturva-asioita pohtiva hallitusjäsen voisi esittää itselleen ja kollegoilleen.
- Mikä on ikävintä, mitä meille voi tapahtua ja mitä teemme, ettei niin tapahdu?
- Mitä teen hallituksen jäsenenä, että vuonna 2021 nostetaan jatkuvuussuunnittelua irrallisten projektien ja riskikartoituksien sijaan?
- Miten tiedetään enemmän siitä, mitä emme tiedä, mitä yrityksemme kyberturvallisuuteen liittyy?
- Miten seuraamme uhkia säännöllisesti sekä mitkä ovat merkittävimpien ja tärkeimpien uhkien poistamisen toimenpiteet?
- Ja kun se ikävin kuitenkin joskus voi tapahtua, mitä teemme sillä hetkellä?
Tilaisuuden lopuksi pääsihteeri Leena Linnainmaa kiitti kaikkia puhujia sekä runsasta osanottajien määrää sekä totesi, millaisia haasteita kolme erilaista DD-prosessia voivat aiheuttaa. Asiantuntijatiedon ja Harmasen kysymyslistan ohella hän muistutti Laaksosen laatimasta DIF-teema-artikkelista, jossa kyberturvallisuuteen yritysjärjestelyissä perehdytään tarkemmin. Artikkelin laaja versio julkaistaan Boardview 1/2021 -lehdessä.
Tilaisuuden esitysmateriaali löytyy DIFin jäsensivujen Videotallenteet-sivulta (vaatii kirjautumisen). Esitysmateriaali löytyy kirjautuneille myös tämän artikkelin jälkeen.