Yritysten kyberturvan johtamisessa voi nähdä kaksi hyvin erilaista kysymystä:
- Mitä yrityksen pitäisi tehdä (ja olla tekemättä) kyberturvaan liittyen?
- Mistä tiedämme, olemmeko (ja milloin olemme) tehneet tarpeeksi?
Yrityksen johdon ja hallituksen työnjaon kannalta sekä hieman yksinkertaistaen voi ajatella, että ensimmäinen kysymys on pääosin johdon tontilla, jota hallituksen velvoite on toki valvoa. Sitä vastoin toinen kysymys on hallituksen – ja nimenomaan hallituksen – vastuun ja roolin näkökulmasta aivan keskeinen.
Paljon yleistä julkisuutta saanut Vastaamon tapaus konkretisoi muun muassa sen, että:
- kyberuhkilla voi olla erittäin pitkät ”hännät” eli, että uhkariskien realisoitumisen ja juurisyiden välillä voi olla pahimmillaan jopa vuosien aikajänteet. Lisäksi kyky havaita tietomurtoja on edelleen puutteellista ja tapahtumien havaitsemiseenkin menee edelleen keskimäärin noin vuosi.
- yritysjärjestelytilanteet tuovat hallitusten vastuun kannalta kriittisiä lisänäkökulmia.
Yritysjärjestelytilanteessa tultaneen jatkossa näkemään oleellisesti enemmän ostajapuolelta kyberturvaan liittyvien vanhojen laiminlyöntien myöhempiin paljastumisiin liittyviä sopimuksellisia vaatimuksia, kuten mittavia vahingonkorvauksia tai jopa kaupan perumisoikeuksia – takautuvasti.
Jos yritysjärjestelyn toteuttamiseksi myyjä päätyy suostumaan tällaisiin vaatimuksiin ja tällaisia myöhempiä paljastumisia sitten ilmenee, palataan myyjäpuolen kaupantekohetken ja/tai sitä edeltävien hallitusten vastuisiin – oltiinko tehty tarpeeksi?
Jos taas kyseisiä takautuvia sopimuksellisia vaatimuksia ei kyseisessä yritysjärjestelyssä ole, ja ostaja silti haluaa järjestelyssä edetä, hallituksen vastuukysymykset siirtyvät ostajapuolelle. Tekikö ostajapuolen järjestelyhetken hallitus silloin tarpeeksi kyberturvariskeihin liittyvien takautuvien ehtojen vaatimisessa ja/tai due diligence -analyyseissä?
Käytännön realiteetti on, että kyberuhka-asioiden painoarvo ja relevanssi tulevat kasvamaan voimakkaasti 2020-luvulla, ja valitettavasti:
- problematiikkaan ei ole yhtä yksittäistä patenttilääkettä, vaan ratkaisuhakuisuus joudutaan pohjaamaan monen keinon valikoimaan.
- ehdottoman varma suojautuminen ei käytännössä ole mahdollista.
Kaiken perustana yrityksessä on kyberturva-asioihin liittyvä vastuiden ja roolien selkeys, johtamiskulttuurin paineensietokyky sekä erityisvastuullisten ammattitaito. Vakuutuksilla voidaan saada taloudellista riskiä hieman rajattua ulkoisen tahon ottaessa (käytännössä pienen) osan riskistä kontolleen. Tämä tuo kuitenkin ulkoiselle taholle – vakuutusyhtiölle – taloudellisen motiivin varmistaa yrityksen käytäntöjen asianmukaisuuden ja sitä kautta toimia eräänlaisena a certifier with its own skin in the game -toimijana.
Vakuutuksilla voidaan saada taloudellista riskiä hieman rajattua.
Ulkoisella asiantuntija-avulla puolestaan kyetään tukemaan yrityksen omaa organisaatiota ja tuomaan toimintaan hyviä käytäntöjä muualta. Jatkuvalla harjoitustoiminnalla, johon oleellisena osana sisältyy hallituksen ja sisäisen tarkastuksen mobilisoima ja valkohattukumppanien tuoma yllättävyys, kyetään taas mittaamaan aidosti organisaation suojautumis- ja reagointikykyä sekä paljastamaan tarvittavia kehityskohteita.
Yllä siis esimerkkejä vastuiden ja roolien selkeyden, vakuuttamisen, asiantuntija-avun, systemaattisen harjoittelun keinovalikoimasta, joilla huolehtia, ettei jälkipuheita tule.
Lue myös KPMG:n Mika Laaksosen 6.11.2020 julkaistu Kyberturvallisuus ja hallituksen vastuu -kumppaniblogi.
