Erilaiset liiketoimintaan liittyneet kyberriskit ovat lisääntyneet viime vuosien aikana yritysten ollessa samaan aikaan enenevässä määrin riippuvaisia erilaisista sähköisistä palveluista ja järjestelmistä. Kyberturvallisuus on samalla noussut yhä perustellummin hallitustason agendalle. Lisääntyneet kyberhyökkäykset meneillään olevan koronapandemian aikana sekä viimeaikaiset esimerkit ovat osoittaneet, ettei mikään liiketoiminta ole immuuni kyberriskeille vaan nämä voivat toteutua riippumatta yhtiön liiketoiminnasta. Esimerkiksi ransomware-hyökkäykset ovat aiheuttaneet vakavia häiriöitä erilaisten yritysten toiminnassa, toimitusketjuissa tai kriittisten tietojen saatavuudessa.
Psykoterapiakeskus Vastaamoon tai Yhdysvalloissa ohjelmistokehittäjä Solar Windsiin kohdistuneet tietomurrot ovat samoin osoittaneet, että kyberriskien realisoitumisella voi olla merkittävä vaikutus yhtiön liiketoimintaan, osakekurssiin tai pahimmillaan koko yhtiön tulevaisuudelle.
Tietoisuus kyberriskeistä on onneksi kasvamassa ja myös kyberriskit mielletään paremmin hallitustason asiaksi, jotka tulee huomioida samalla tavoin muiden liiketoiminnan riskien ohella.
Tietoisuus kyberriskeistä on onneksi kasvamassa ja myös kyberriskit mielletään paremmin hallitustason asiaksi, jotka tulee huomioida samalla tavoin muiden liiketoiminnan riskien ohella. Kyberriskit tiedostetaan yhä paremmin liiketoimintaan vaikuttaviksi olennaisiksi riskeiksi – samoin kuin riskit asiakassuhteissa tai toimitusketjuissa. Suomessa myös Liikenne- ja viestintävirasto Traficomin alainen Kyberturvallisuuskeskus on vuonna 2020 julkaissut oppaan hallituksen jäsenille kyberturvallisuuteen liittyen. Kyberriskeille ominaista on myös laajemmin informaatioteknologiaan liittyvä kehityksen nopeus. Yhtiön toimintaan liittyviä kyberriskejä on seurattava ja uusia riskejä arvioitava tasaisin väliajoin, jotta riskiarvioissa ja uhkakuvissa on mahdollista pysyä kehityksen tahdissa.
Osakeyhtiölain mukaan yhtiön hallitus vastaa yhtiön toiminnan asianmukaisesta järjestämisestä. Hallituksen tulee samoin lain periaatteiden mukaan huolellisesti edistää yhtiön etua. Hallitustyöskentelyä ohjaavat näin osakeyhtiölain huolellisuus- ja lojaliteettivelvoite. Yhtiön liiketoimintaa koskevat strategisen linjaukset kuuluvat myös hallitustyöskentelyn ytimeen. Toiminnan asianmukaiseen järjestämiseen kuuluu samoin yhtiön liiketoimintaa koskevien riskien tunnistaminen, näiden analysointi sekä huolehtiminen riittävistä varautumistoimenpiteistä.
Kyberturvallisuus voidaan mieltää yhtenä organisaation strategiaa tukevista palasista ja että yhtiön strategiset tavoitteet on suojattu myös kyberriskeiltä. Osa hallitustyöskentelyä on luoda yhtiölle tarpeellinen organisaatio ja varmistaa liiketoiminnan jatkuvuus muun muassa allokoimalla asianmukaiset resurssit myös kyberturvallisuudessa.
Hallituksen ensisijaisena tehtävänä on varmistaa ja valvoa, että riskienhallinta on toteutettu asianmukaisesti. Hallitustyöskentelyssä ensisijaiseksi voidaan katsoa riittävän ymmärryksen hankkiminen myös kyberriskeistä sekä kyky ohjata toimivaa johtoa ja tarvittaessa haastaa uhkakuvien tunnistamista ja näihin varautumista. Hallituksen edistäessään yhtiön etua tulisikin kysyä oikeat ja kriittiset kysymykset johdolta ja henkilöstöltä myös kyberturvallisuuden suhteen ja tarvittaessa ohjeistaa johtoa varautumisen täytäntöönpanossa.
Hallituksen ensisijaisena tehtävänä on varmistaa ja valvoa, että riskienhallinta on toteutettu asianmukaisesti. Hallitustyöskentelyssä ensisijaiseksi voidaan katsoa riittävän ymmärryksen hankkiminen myös kyberriskeistä.
Hallitustyöskentelyn kannalta olennaisia kysymyksiä voivat olla esimerkiksi, miten kyberriskit on tiedostettu liiketoiminnassa, millainen yhtiön yleinen kyberriskiprofiili on, onko yhtiön tietopääomat (data asset) tunnistettu ja suojattu asianmukaisesti. Entä miten hallitus on kyberriskeissä ohjeistanut toimitusjohtajaa ja onko yhtiöllä riittävät resurssit ja toimintasuunnitelmat kyberuhkiin liittyen. Lisäksi kyberriskeissä on tiedostettava se mahdollisuus, että riippumatta yhtiön toimenpiteistä, tietomurto voi tapahtua. Varautumiseen kuuluvat tässä mielessä myös toimintasuunnitelmat tietomurron varalta.
Kuten muussa hallitustyöskentelyssä, asioiden valmistelua voidaan tehostaa erillisissä valiokunnissa, jotka mahdollistavat asioiden valmistelun ja näihin syvemmän perehtymisen. Monessa listayhtiössä kyberriskien arviointi on esimerkiksi osoitettu tarkastusvaliokunnalle ja mahdollisesti tämän alaiselle erilliselle riskienhallintakomitealle. Valiokuntatyöskentely voi mahdollistaa myös hallituksen jäsenten paremman perehtymisen myös kyberriskeihin ja näiden vaikutuksesta yhtiön strategiaan ja liiketoimintaan.
Kyberriskejä kuvaa yleinen informaatioteknologian kehityksen nopeus ja erilaiset uhkakuvat voivat muuttua nopealla aikataululla. Hallitustyöskentelyn kannalta olennaista on, että yhtiön kyberriskejä koskeva seuranta on jatkuvaa, ja varmistaa riskien ja näihin varautumisesta raportointi hallitukselle säännönmukaisesti. Hyvän hallinnon mukaisesti yhtiöön ja sen liiketoimintaan kohdistuvat riskit tulee tunnistaa ja arvioida ja varautuminen niihin järjestää asianmukaisesti. Kyberriskeihin varautuminen ja kyberturvallisuus voikin toimia myös hyvänä indikaattorina yhtiön hyvästä hallinnoinnista ja johdon tasosta.