DIF x KPMG -aamutilaisuudessa 11.10. käytiin läpi kyberturvallisuuden ajankohtaisia asioita. Tilaisuuden avasi ja kyberin roolia ESG:ssa valotti Mika Laaksonen (Partner, Head of Cyber & IT Advisory). DIFin Senior Advisor Tomi Dahlberg kertoi EU-regulaatiosta. Mikko Vatanen (Head of Technical Cyber) ja Jan Nyström (Head of D&A) puhuivat tekoälyn tietoturvallisuudesta, riskeistä ja mahdollisuuksista. DIFin jäsenen kommenttipuheenvuorosta vastasi Fujitsu Finlandin toimitusjohtaja Hanna Kivelä.
Kyber ja ESG
Kyberin ja ESG:n välillä on Laaksosen mukaan löydettävissä linkkejä.
Kun miettii ESG-asioita, onkin hyvä samalla pohtia, kuinka kyber voisi liittyä niihin.
Ympäristönäkökulmasta (E) on tärkeää suojata kriittistä infrastruktuuria: tehtaita, järjestelmiä, prosesseja, laitteita. Mikäli kyberiä ei ole näissä huomioitu riittävällä tasolla, voi seurauksena olla ei-toivottuja vaikutuksia ympäristöön ja ihmisten terveyteen.
Sosiaalisesta näkökulmasta (S) on keskeistä turvata tieto ja huomioida tietosuojanäkökulmat, erityisesti henkilötietojen osalta. Yritysten omien ESG-ohjelmien puitteissa voidaan edistää S-näkökulmaa esimerkiksi auttamalla yhteiskuntaa ja koululaisia ymmärtämään paremmin kyberriskejä (kybertietoisuuden ja -ymmärryksen lisääminen). Sosiaaliseen näkökulmaan ja kyberiin linkittyy vahvasti myös datan ja tekoälyn eettiset kysymykset.
Governance-näkökulmasta (G) tulee suojata ESG-raportointidata. Asiakkaiden odotukset on tiedostettava, ja niihin on vastattava. Joillain toimialoilla kyber pitää itsessään raportoida osana ESG-raportointia.
Kyberturvan johtaminen tulee ottaa vakavasti
Kyberturvan johtaminen kuuluu kiinteästi yrityksen liiketoiminnan ja julkishallinnon organisaation johtamiseen kaikilla tasoilla; se ei ole erillinen toiminto tai kerros. Teknologiaa, tietoa ja niihin liittyviä riskejä tulee johtaa osana organisaation johtamista, ja tämä kuuluu kaikille. Kyberturvadirektiivin mukaan myös jokaisen hallitusjäsenen tulee osoittaa tuntemuksensa näissä asioissa. Ei voida tuudittautua ajatukseen, että ”IT-johtaja ja -asiantuntija hoitaa”.
Tivian, ILF:n (ICT Leaders Finlandin) ja Turun kauppakorkeakoulun IT- ja digibarometrin vastausten mukaan enintään 30 prosenttia yrityksistä ja julkishallinnon organisaatioista arvioidaan olevan korkeasti kyvykkäitä johtamaan teknologiaa, dataa ja niiden riskejä (kyberriskejä).
Ajankohtaista sääntelyä
EU-kyberturvadirektiivi (NIS2), joka vaikuttaa moniin lakeihin, on lausuntokierroksella. Direktiivi tulee voimaan 18.10.2024. Se koskee lukuisia toimialoja (yhteiskunnan kriittistä infrastruktuuria) ja kaikki, jotka ovat tekemisissä kyseisten toimialojen kanssa, joutuvat huomioimaan direktiivin. Suomen hallituksen esitys kyberturvallisuusdirektiivin täytäntöönpanemiseksi on ”Laki kyberturvallisuuden riskienhallinnasta”.
Direktiivi vastaa nykyisiä hyviä hallinta- ja valvontakäytäntöjä, raportointivelvollisuus tosin laajenee. Direktiiviin kannattaa varautua ja tutustua, sillä kyberturva on jokaisen hallituksen ja johdon jäsenen asia edellyttäen perehtyneisyyttä ja koulutusta (ellei sitä jo ole).
NIS2-direktiivin 21 artiklassa säännellään kyberturvaturvariskien hallintatoimenpiteistä ja niiden valvonnasta. Lisäksi toimijan tulee tunnistaa ja arvioida riskit (lain 7 §) sekä omata ajantasainen kyberturvallisuuden riskienhallinnan toimintamalli (8 §). Hallitusta koskevat myös direktiivin kyberturvakoulutukseen liittyvät kohdat sekä johdon vastuu (10 §).
Muuta ajankohtaista sääntelyä ovat muun muassa: DORA (Digital Operational Resielience Act), GDPR, henkilötietojen identiteetin hallinta (E-IDAS) sekä EU:n viisi datasäädöstä.
Ajankohtaiseen sääntelyyn kannattaa tutustua tarkemmin jäsenalueelle ladatusta esitysmateriaalista.
Ymmärrä liiketoiminnallinen merkitys
IT:n ja digin liiketoiminnallisen merkityksen ymmärtäminen on ratkaisevaa ja kaikkein tärkein asia: mikä merkitys näillä on meidän liiketoiminnassa. Hyväkään teknologian ja kyberriskien johtaminen ei korvaa liiketoimintamerkityksen ymmärrystä.
Parhaiten asiat hoidetaan johtamalla dataa ja teknologiaa osana normaalia johtamisjärjestelmää. Kun ymmärretään, miten ja mihin asiat liittyvät, asiat osataan huomioida – ja järjestelmä toimii hyvin. (Varmista, onko asiat oikeasti huomioitu!)
Tekoäly nyt
Nyström ja Vatanen valottivat tekoälyyn liittyviä kysymyksiä.
AI, automaatio ja algoritmit ovat jo osa normaalia elämää. Generatatiivisen AI:n malleja on koulutettu internetin aineistolla. Voidaankin kysyä, kuinka luotettavaa opetusaineisto on.
Organisaatiot rakentavat omia ympäristöjään, joissa voi käyttää omia aineistoja ja kouluttaa omalla datalla. – Jos pyytää tekoälyä tekemään strategian seuraavalle viidelle vuodelle oman aineiston perusteella, tämä toimii itse asiassa aika hyvin.
Strateginen näkökulma: ota hyöty irti
Tekoälyn käyttömahdollisuudet ovat rajattomat. Keskeistä onkin miettiä tekoälystrategia.
Miten meidän organisaatiossa hyödynnetään tekoälyä: mihin ei mennä, mihin mennään?
Suurin osa yritysjohtajista näkee tekoälyssä mahdollisuuksia.
Fundamentaalinen kysymys on tiedostaa, miten tekoäly määritellään. Yleensä yrityksissä tätä ei ole määritelty. Esimerkiksi EU:n määritelmä on laaja: kaikki (robotiikka), mikä tekee automaattisesti asioita.
KPMG AI in Control Framework
KPMG on kehittänyt hallintamallin (riskikehikko/viitekehys), joka sisältää 75 erilaista riskiä ja näiden ympärillä erilaisia kontrollimekaniemeja, joilla voidaan hallita riskiä. Tarkoitus ei ole hallita pelkästään applikaatioita (sovelluksia), vaan sitä, mitä dataa sovellus hyödyntää ja miten sitä opetetaan ja kehitetään. Koska ei voida hallita sitä, mitä tekoäly tekee algoritmin sisällä, pitää hallita sen ympärillä olevia asioita, että output (tulos) on luotettavaa.
Tekoälyyn liittyviä tietoturvariskejä
Yksi tekoälyn tärkeimmistä rajoituksista kyberturvallisuudessa liittyy sen syötteiden ja tulosten tarkkuuteen. Tietoja voidaan myös manipuloida.
Tieto, mitä LLM-malleihin (laajoihin kielimalleihin) syötetään, on oltava luotettavaa. Siihen on oltava jollakin hallinta, sillä ulkopuolinen voi haluta ja voida vaikuttaa siihen, mitä tietoja syötetään.
LLM-malleihin kerätään valtava määrä tietoa ja opetetaan järjestelmää. Kouluttamiseen menee paljon aikaa, ja uudelleen kouluttaminen ja korjaaminen ei ole helppoa. Puhutaan esimerkiksi vähintään 2–4 viikon kouluttamisesta ennen kuin malli lähtee toimimaan oikein.
Vastaukset malleista eivät ole tarkkoja, ja niistä voi saada väärää tietoa. Käyttäjän tulee osata kysyä ja muotoilla kysymyksensä hyvin. Mallia tulee myös valvoa koko ajan, sillä algoritmi muuttuu jatkuvasti.
Alalla vallitsee osaamisvaje; tarvitaan ammattitaitoisia ammattilaisia, jotka voivat kehittää, toteuttaa ja hallita teknologiaa.
Riskejä liittyy esimerkiksi siihen, kuinka koneoppimismalli on suunniteltu tai koulutettu. Sitä voidaan myös käyttää väärin. Lisäksi tietovuotoja voi tapahtua. Hyökkääjät haluavat hakkeroida sovelluksia, kuten nettisivuja, ja varastaa mallista tietoa. Dataa voidaan myös haluta myrkyttää (jos sitä käytetään päätöksentekoon).
Nykyään on helppo esimerkiksi leikkiä Teams-puhelussa ketä tahansa. Tähän tarvitaan vain valokuva ja puolen tunnin työ.
Miksi tietoturva on oltava hallituksen agendalla?
Kivelä pohjusti loppupuheenvuoronsa mainitsemalla Fujitsun tutkimuksen, johon osallistui noin 1800 vastaajaa ympäri maailmaa. Tutkimuksen mukaan ylimmästä johdosta yli puolet näkee ulkoisten tekijöiden vaikuttavan merkittävästi liiketoimintaan. Kyberhyökkäykset sai eniten mainintoja liiketoimintaan vaikuttavista ulkoisista tekijöistä; sen mainitsi jopa 80 vastaajista.
Voit tutustua raporttiin tarkemmin tästä: Fujitsu Technology and Service Vision 2023.
Varaudu ja johda kokonaisuutta systemaattisesti
Kivelä esitti sopivana ajattelukehikkona tilaisuuden teemaan Suomen kokonaisturvallisuustimantin, joka kuvaa suomalaisen yhteiskunnan varautumista. Hän myös viittasi lyhyesti Fujitsun omaan tietoturvan johtamisen malliin kertoessaan, kuinka iso organisaatio voi johtaa kyberturvallisuutta osana riskienhallintaansa. Malliin voi tutustua jäsenalueelle ladatusta materiaalista.
Kokonaisturvallisuustimantin ajatusta mukaillen hallituksen on varmistettava, että perusasioista on huolehdittu, kyberiin on investoitu ja omataan puolustuskyky. Varautumiseen kuuluu se, että ollaan pulssilla ja johdetaan kokonaisuutta systemaattisesti.
Oikea osaaminen ja ihmiset ovat keskeisiä.
Henkinen kriisinkestävyys on kykyä ottaa vastaan tulipaloja.
Kyberiä on mietittävä koko toimitusketjun kannalta. Kumppaneilta tuleva tiedonsaanti tulisi olla mahdollisimman nopeaa, avointa ja luotettavaa.
Mitä tapahtuu, kun jotain tapahtuu? – Kivelän kysymykset hallituksille
- Onko meillä selkeä ja visualisoitu käsitys yrityksen kokonais-/kyberturvallisuudesta ja niihin liittyvistä riskeistä?
- Johdammeko sitä jatkuvasti kehittäen?
- Onko meillä oikea osaaminen ja oikeat vastuulliset ja reagointikykyiset yhteistyökumppanit?
- Kun jotain tapahtuu, analysoimmeko sen, jotta ymmärrämme juurisyyt ja osaamme puuttua niihin?
- Harjoittelemmeko säännöllisesti – huoltovarmuus?
Lopuksi keskusteltiin, investoidaanko tekoäly- ja tietoturvainfraan ja -osaamiseen tarpeeksi. Mainittiin sisäinen tarkastus, joka pitää johdon hyvin hereillä. Esitettiin kysymyksiä, onko huolehdittu vakuutuksista ja huomioidaanko tiedon suojaaminen (data protection).
Ymmärretäänkö, mihin tarpeeseen ollaan hakemassa ratkaisua: haetaanko kaikenkattavaa riskienhallintakehikkoa vai ratkaisua spesifiin tarpeeseen?
Viimeisenä vinkkinä mainittiin Keskuskauppakamarin Yritysjohdon kyberjohtamisen ohjelma yhtenä tapana pysyä ajan tasalla kyberturvallisuusasioista.