Kyberuhkia mahdotonta paeta – niitä on hallittava ja se on johdon vastuulla

Lähes päivittäin saamme lukea pienemmistä kyberhyökkäyksistä ja entistä useammin myös suuremmista, jotka aiheuttavat ongelmia yrityksen, yhteisön tai julkisen toimijan toiminnan jatkuvuudelle tai maineelle.

Olemme todellakin tulleet tilanteeseen, jossa kyberhyökkäys voi kohdata kenet tahansa, milloin tahansa, eikä kukaan ole immuuni hyökkäyksille. Kysymys on lähinnä siitä, miten hyvin hyökkäystä voidaan hallita ja siitä toipua.

Edellä mainitusta syystä yritykset ovat käynnistäneet kyberturvallisuuteen liittyviä kehityshankkeita ja laatineet kehityssuunnitelmia. Liian moni yritys kuitenkin keskittyy edelleen ainoastaan perinteisten, ns. stabiilien suojausten kuntoon laittamiseen, eikä kehitä kyberturvallisuuden kyvykkyyttään laaja-alaisemmin. Perinteisten suojausten kuntoon laittaminen on toki välttämätöntä – sen ovat osoittaneet kipeällä tavalla esimerkiksi ”Ransomware” tapaukset, kuten WannaCry. On kuitenkin muistettava, että entistä kehittyneempiä kyberhyökkäyksiä vastaan tulee kehittää myös ennakoivaa kyvykkyyttä: sekä kykyä rajata että toipua mahdollisesta hyökkäyksestä.

Useampien yritysten resurssit ja kyvyt investoida ovat rajalliset. Siksi kehitystoimenpiteet tulee kohdistaa oikein ja sellaisiin kohteisiin, joissa kyberturvallisuuden hallinnan taso on heikoin suhteessa riskiin.

Ensimmäinen ja tärkeä asia on ymmärtää keskitymmekö niihin asioihin, jotka merkitsevät eniten: mitkä ovat liiketoiminnan kannalta merkittävimmät turvattavat kohteet ja niihin kohdistuvat kyberturvallisuusriskit.

Ylimmän johdon on hyvä ottaa huomioon, että kyberturvallisuus ei ole ainoastaan tekninen asia vaan mitä suurimmissa määrin koko organisaation asia ja siksi johdon vastuulla. Johdon täytyykin kysyä itseltään ”mitä toimenpiteitä me teemme, kun uhat toteutuvat?”.

Kyberriskienhallinta ei tarkoita ainoastaan sitä, että allokoidaan resursseja IT-osastolle, joka ostaa uuden palomuurin tai jonkun muun puhtaasti teknisen ratkaisun. Se vaatii: 1. riskien selkeää kommunikointia kaikille asianosaisille yrityksessä 2. liiketoiminnan kannalta merkittävän tieto-omaisuuden kartoittamista ja lisäksi 3. toimivien ajantasaisten jatkuvuussuunnitelmien olemassa oloa.

Merkittävä osa organisaation tieto-omaisuuden suojaamista on niinkin yksinkertainen asia kuin selkeä linjaus siitä, kenellä on oikeus päästä käsiksi johonkin tiettyyn tietoon yrityksessä ja kenellä ei.

Mikä on sinun yrityksesi arvokkain omaisuus? Turvaa se!

On tärkeää tunnistaa ja suojata yrityksen arvokkain omaisuus. Omaisuus, johon kyberrikolliset haluavat päästä käsiksi, ja joka voi aiheuttaa yritykselle suurimman vahingon, oli se sitten maineeseen tai talouteen kohdistuva.

Arvokkain omaisuus on kullekin yritykselle yksilöllistä. Ei ole kenellekään yllätys, että asiakkaiden laskutustiedot ovat tärkeitä verkkolaskutusta tarjoavalle yritykselle. Toisaalta lääkealan yrityksen arvokkain omaisuus ei ehkä olekaan jonkin tietyn lääkkeen kemiallinen kaava, vaan tuotteita valmistavien laitteiden luotettava ja häiriötön toiminta. Varastetusta patentista voi käydä oikeutta, mutta ”mato”, joka sabotoi tuotantoa, voi aiheuttaa huomattavasti laajempaa ja vakavampaa haittaa. Muilla toimialoilla voi esiintyä samantyyppistä teollisuussabotaasia tai jopa poliittista sabotaasia.

Maailma ympärillämme muuttuu nopeammin kuin koskaan, teknologinen kehitys on nopeaa, uusia uhkia ilmestyy näköpiiriimme ja niiden hallitseminen on vaikeampaa kuin aiemmin. Yritysten ylimmän johdon on turvattava yrityksen menestyminen nyt ja tulevaisuudessa. Hyvin hoidettu ja hallittu kyberturvallisuus ei ole kehityksen jarru, vaan mitä suurimmissa määrin mahdollistaja ja yksi tärkeimmistä asioista yrityksen kilpailukyvyn, uusien innovaatioiden ja palveluiden kannalta.

Yritysten ylimmän johdon kannattaa keskittyä kolmeen tärkeään kysymykseen kyberturvallisuutta arvioidessaan: 1. Priorisoimmeko turvallisuusinvestointejamme oikein? 2. Keskitymmekö suojaamaan riittävästi kaikkein tärkeintä omaisuuttamme? 3. Kuinka kyvykkäitä olemme hallitsemaan ja vastamaan kyberhyökkäyksiin?

Suosittelen myös seuraamaan periaatetta: “Mitä parempi kysymys, sen parempi vastaus ja sitä paremmin homma toimii.” Uskon, että tämä on hyödyllistä myös kyberturvallisuuden kohdalla.

Antti Herrala

Kirjoitus on julkaistu EY:n verkkosivuilla