Tunnemme kaikki tarinan sammakon onnettomasta lopusta vettä kattilassa keitettäessä. Analogiana tarina kuvaa osuvasti niin ICT-teknologian ja tiedon johtamisen kuin kyberturvan ja kyberturvallisuuden johtamisen strategisen merkityksen kasvua.
Mikä lämmittää tätä kattilaa? Ensiksi, yrityksissä investoinnit tieto- ja viestintäteknologioihin (ICT) – informaatio- ja operatiivisen teknologian järjestelmiin (IT ja OT), esineiden internettiin (IoT) ja tiedonvälitysverkkoihin – toteutetaan 80–90 prosenttisesti yritysten ydinliiketoimintojen kehittämiseksi. Näin on ollut 2010-luvun alusta lukien.
Toiseksi, mainituilla teknologioilla luodaan, käsitellään, varastoidaan sekä välitetään ja uudelleen käytetään digitaalista tietoa liiketoiminnan suunnittelemiseksi, toteuttamiseksi ja kehittämiseksi sekä tuloksista raportoimiseksi. Lähes kaikki liiketoiminnassa käytettävä tieto on digitaalista ja vastaavasti lähes kaikki osallistuvat tämän tiedon käsittelyyn työtehtävissään.
Kolmanneksi, olemme onnistuneet automatisoimaan pitkälle yritysten sisäisten tietojen käsittelyn ja välittämisen. Etsimme nykyään yhä enemmän ratkaisuja tietojen automaattiseksi välittämiseksi yritysten välillä ja tietoon sisältyvän arvon muuttamiseksi rahaksi tietoon pohjatuvilla palveluliiketoiminnoilla kutsuen näitä liiketoimintoja alusta- ja datataloudeksi.
Kehityksen seurauksena olemme riippuvaisia ICT-teknologioista ja digitaalisesta tiedosta niiden johtamisen sulautuessa strategisen johtamisen osaksi. Todellisia vaihtoehtoja ICT-teknologian ja digitaalisen tiedon käytölle on yhä vähemmän.
Suurten liiketoimintamahdollisuuksien kääntöpuolena ovat mahdollisuuksien saavuttamista uhkaavat riskit. On turvattava liiketoiminnan jatkuvuus mahdollisissa häiriötilanteissa. Liiketoimintakriittisen tiedon tulee olla sen käyttöön oikeutettujen saatavilla helposti ilman riskiä tiedon päätymisestä vääriin käsiin. Henkilöiden, yritysten ja laitteiden yksityisyyttä on suojattava. On estettävä väärinkäytökset sisäisen huolimattomuuden aiheuttamista laiminlyönneistä aina ulkoisten rikollisten hyökkäyksiin. Nämä asiat ovat kyberturvallisuuden johtamisen kohde jatkuvasti ja nopeasti muuttuvassa liiketoiminta- ja teknologiaympäristössä.
Yritysten ja julkisyhteisöjen hallitusten jäsenet tarvitsevat opastusta kyberturvallisuuden johtamiseksi osana hallitustyötä. Eurooppalaisten hallitusammattilaisten katto-organisaation ecoDan kokoama asiantuntijaryhmä on tänä vuonna uusinut Internet Security Alliancen tuella eurooppalaisille hallitusammattilaisille tarkoitetun käsikirjan Cyber Security Risk Handbook – Key Principles and Practical Guidance for Corporate Boards in Europe. Se koostuu kuudesta kyberturvallisuuden johtamisen periaatteesta ja 13 kyberturvallisuuden johtamisen arviointiin ja raportointiin soveltuvasta työkalusta. Jokainen kuudesta periaatteesta sisältää viidestä seitsemään keskeistä tiivistystä hallituksen työssä huomioitavista näkökohdista (key considerations).
Tämän kirjoituksen otsikko mukailee käsikirjan ensimmäistä periaatetta: Kyberturvallisuus strategisena riskinä. Yksinkertaistettuna periaate tarkoittaa organisaation laajuisen strategisen johtamisen näkökulman tärkeyttä vastakohtana ICT-organisaatiolle delegoidulle vastuulle.
Kyberturvallisuus on ajankohtainen myös regulaation vuoksi. Lokakuun 18. astuu voimaan laki kyberturvallisuuden riskienhallinnasta eli niin kutsuttu EU:n NIS2-direktiivin kansallinen toimenpanoasetus. Eduskunta käsittelee parhaillaan lakiesitystä yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta eli EU:n CER-direktiivin kansallista toimeenpanoasetusta.
Asetukset täydentävät toisiaan. NIS2-direktiivin vaikutuksia hallitustyöhön käsiteltiin DIFin kyberturvatilaisuudessa syksyllä 2023. Asetukset muun muassa velvoittavat kriittisten toimialojen yrityksiä hallituksineen laatimaan kirjalliset kyberturvasuunnitelmat ja turvaamaan ylimmän johdon riittävän kyberturvaosaamisen. Mainittujen asetusten ja muun ajankohtaisen EU:n kyberturvaregulaation vaikutuksia hallitustyöhön käsitellään DIFin kyberturvatilaisuudessa marraskuussa. Asetusten vaikutukset nousevat tänä syksynä esille myös DIFin ja KPMG:n liiketoiminnan jatkuvuussuunnittelua koskevassa sparraustilaisuudessa sekä DIFin kyberturvallisuuden sparraustilaisuudessa.
Kirjoittaja, Tomi Dahlberg, on DIFin Senior Advisor kyberturvallisuudessa. Hän oli kirjoituksessa mainitun ecoDan kyberturvallisuuskäsikirja -projektin jäsen.