Hallitusten on aika ottaa haltuun kyberturvallisuus yhtenä riskienhallintateemana.
DIF nostaa kyberturva-asioiden painoarvoa toiminnassaan 2018. DIF-Tietopankissa on 19.4.2018 julkaistu teemaa käsittelevä uusi sisältöosio, jonka luomisessa yhteityökumppaninamme on KPMG sekä erityisesti sen kyberturva-alueesta vastaava partneri Mika Laaksonen. Tematiikan nopeasta kehityksestä johtuen tarkoitus on luoda jatkuvasti päivittyvä käsikirjan luonteinen sisältöosio. DIF järjestää yhdessä KPMG:n kanssa hallituksen roolia kyberturvaan liittyvissä asioissa käsittelevän aamiaistilaisuuden 4.10.2018. Itse olen aloittanut 2018 alussa DIF:n uutena Senior Advisorina vastuualueenani kyberturvallisuus.
Miksi kyberturvateema on relevantti hallituksen agendalla juuri nyt?
Kyberturvallisuus-asiat ovat vyörymässä mainstreamiin. 2020-luku tulee olemaan kaikkialle läpitunkevan digitalisoitumisen vuosikymmen, samaan aikaan kun taloudellisesti, poliittisesti ja geopoliittisesti motivoituneiden sekä mittavilla resursseilla varustettujen tahojen synnyttämä turvallisuusuhka kasvaa. Myös osaavat pikkurikolliset ja fanaatikot voivat saada pahaa jälkeä aikaan. Uhkilla voi olla monta kohdetta – yksittäinen hallituksen jäsen, yritys, toimiala tai yhteiskunnan jokin perustoiminto. Digitalisoituneen yhteiskunnan monimutkaisten keskinäisriippuvuuksien vuoksi ei välttämättä tarvitse edes olla suoran uhkan kohteena joutuakseen välillisesti kärsimään seurauksista, raskaastikin. Hallitusten tietoisuuden tematiikan vakavuudesta täytyy vielä kasvaa.
Moninaistuvien uhkien mahdolliset seuraukset voivat olla katastrofaaliset. Myös kyberuhkien seurausten, niin suorien kuin välillisten, moninaisuus kasvaa. Seurausten vakavuuden ääripäätä edustavat tilanteet, joissa esimerkiksi täysin digitalisoituneen liiketoiminnan tulovirta katkeaa teknisesti kokonaan tai yrityksen julkikuva romahtaa. Tällaisten tilanteiden välttämisessä ollaan hallituksen roolin ytimessä.
Hallitukset pääsääntöisesti vasta opettelevat hallitsemaan asiaa. Kyberuhat ja niihin varautuminen on varsin uusi riskienhallintateema, jolta puuttuu samankaltainen vakiintunut käsittelykonteksti kuin mitä monilla perinteisemmillä riskienhallinta-asioilla on. Kyberturvallisuus on riskinäkökulman ohella enenevästi myös kilpailustrateginen mahdollisuus – tämä helposti unohtuu tai jää taka-alalle muutoin uhkapainotteisessa käsittelyssä. Hallitukset ovat tematiikan hallinnassa tyypillisesti edelleen opettelun alkuvaiheessa.
Kyberturvallisuus on käsitteellisesti haastava kenttä. Kyberturvallisuuteen kytkeytyy myös tietoturva-, tietosuoja- ja IT-näkökulmat. Monet hallituksen jäsenet kokevat tematiikan itselleen vieraaksi ja jättävät sen mentaalisesti asiantuntijoille. Näin ei jatkossa voi olla.
Liikkuva maali. Asetelmaa vaikeuttaa kyberuhkatematiikan monitahoisuuden rinnalla myös sen nopea kehittyminen. Kyberuhkat ovat olleet, ovat ja ovat jatkossakin liikkuva maali. Esimerkiksi kahden vuoden päästä konkreettisten uhkateemojen joukkoon on todennäköisesti tullut sellaisia, joita emme tänään vielä tunnista. Tämän vuoksi kaikkeen ei voi varautua edes teoriassa eikä varmuus voi koskaan olla 100 %. Silti hallitukset ovat perimmältään vastuussa siitä, että yrityksessä kyberturvallisuuskenttää johdetaan asianmukaisesti.
Mitä kysyttävä alkajaisiksi?
- Ymmärränkö kyberturvallisuustematiikkaa riittävästi ja missä asioissa minun pitää mahdollisesti vahvistaa omaa osaamistani, jotta kykenen vastaamaan hallitusjäsenyyden edellyttämiin vaatimuksiin?
- Mistä tiedämme, että hallitus on täyttänyt huolellisuusvelvollisuutensa kyberturvallisuus-asioissa?
- Onko hallituksella selvä, harjoiteltu toimintamalli erityyppisissä tilanteissa, jos sellainen tulee päälle?
