Kyberrikollisuus on PWC:n tuoreen tutkimuksen mukaan yleisin yrityksiin kohdistuvista taloudellisista väärinkäytöksistä Pohjoismaissa. 37 % pohjoismaisista yrityksistä kertoi tutkimuksessa joutuneensa kyberhyökkäyksen uhriksi. “Tietoturvan pitää olla yrityksessä jokapäiväinen asia ja jokaisen vastuulla”, sanoo kyberturvallisuuden asiantuntija Anne Hintzell PWC:ltä.
“Kun tehdään tietoturvan kehittämiseen liittyviä päätöksiä, pitää näkökulman olla liiketoiminnan näkökulma. Mielenrauhaa ei kannata hakea yksittäisten teknisten ratkaisujen avulla. Ei nimittäin ole erikseen liiketoiminnan riskejä ja tietoturvariskejä. Jos yrityksen digitaalisissa palveluissa tai IT-järjestelmissä on käyttökatkoja, se on liiketoiminnan ongelma“, sanoo Anne Hintzell. Hän työskentelee kyberturvallisuuden asiantuntijana PwC:n riskienhallinnan yksikössä.
Yritysjohdon on ratkaistava, ovatko keinot suojautua kyberhyökkäyksiltä oikeassa suhteessa yrityksen arvioimaan uhkaan ja suojattavien kohteiden arvoon. Tietoturva-asiantuntijoiden vastuulla on kertoa johdolle kyberhyökkäysten vaikutuksista liiketoimintaan. Johdon taas tulee päättää hyväksyttävä riskitaso. Kuinka pitkä käyttökatko liiketoimintakriittisessä järjestelmässä voidaan hyväksyä? Entä jos yritys ei vaikka pysty lähettämään laskuja kahteen päivään?
Yritysjohto ei kuitenkaan välttämättä tiedä, mihin kaikkeen kyberhyökkäys voi vaikuttaa.
“Kokemukseni perusteella liiketoimintajohto ei välttämättä tiedä organisaation kyberturvan tilaa ja riskejä, tai sisäisiä ja ulkoisia uhkia. Puhumattakaan siitä, että tunnistettuja uhkia vastaan olisi varauduttu suunnitelmallisesti”, sanoo Hintzell.
“Monille yrityksille on edelleen vaikeaa kehittää tietoturvaa pitkäjänteisesti sekä arvioida ja tunnistaa riskejä jatkuvasti kertaluonteisen harjoituksen sijaan. Myös tietoturvan mittaaminen ja siihen laitettujen investointien vaikuttavuuden arviointi on haastavaa.”
Pitäisikö jokaisessa organisaatiossa sitten olla tietoturvajohtaja?
“Ei ole niin, että tietyn kokoisessa yrityksessä pitäisi olla tietoturvajohtaja, mutta tietoturvan on oltava ylimmän johdon asialistalla. Tietoturvasta vastaavan johtajan rooli on tärkeä siksi, että johto saa riittävästi ajantasaista tietoa tietoturvasta. Tietoturva-ammattilaisen profiili on muuttunut niin, että tehtävässä vaaditaan entistä enemmän myös kykyä viestintään – yhtään väheksymättä teknistä tietoturvaosaamista.”
Oleellista Hintzellin mukaan on, että yritysjohto saa tietoturvaan liittyvää riskitilannetietoa ymmärrettävässä muodossa. Kun kaikkia riskejä ei voida torjua, on tehtävä tietoinen päätös niistä riskeistä, jotka voidaan hyväksyä. On ratkaistava, minkä tasoisen riskin yritys on valmis ottamaan, jotta se pystyy toimimaan ja varmistamaan perusliiketoimintansa.
“Luotettavuus ja tietoturvasta huolehtiminen kannattaa nähdä myös liiketoimintaetuna ja lisäarvona palveluiden tuotannossa.”
Kaikki lähtee kuitenkin ihmisistä, yrityksen työntekijöistä. Tietoturvaosaamista voi vahvistaa kannustavan ja aktiivisen yrityskulttuurin avulla. “Tietoturvan pitää olla yrityksessä jokapäiväinen asia ja jokaisen vastuulla,” sanoo Anne Hintzell.
“Asioihin pitää myös puuttua. Jos työkaveri jättää neuvotteluhuoneeseen läppärinsä aukinaisena tai käytävällä näkyy ihmisiä, joilla ei ole kulkulupia, pitäisi kaikilla työntekijöillä olla vastuuntuntoa ja valmius huomauttaa asiasta”, sanoo Hintzell.
Tietoturvan huomioimisesta voi myös palkita antamalla positiivista huomiota teoille, jotka ovat tietoturvan kannalta hyviä. Henkilöstöä kannattaa kannustaa ilmoittamaan matalalla kynnyksellä kaikista kyberturvallisuuteen ja väärinkäytöksiin liittyvistä epäilyttävistä havainnoista.
“Uusista teknologioista haetaan joskus pistemäistä ratkaisua johonkin tietoturvaan liittyvään haasteeseen. Valitettavasti tästä ei ole apua, kun työntekijä haksahtaa vaikka tietojenkalasteluviestiin. Vaikka tekniset ratkaisut olisivat kuinka edistyneitä, ne eivät auta, jos yrityksen tietoturvan perusta ei ole kunnossa”, korostaa Anne Hintzell.
Lue myös:
Suomalaisten pk-yritysten on valmistauduttava kyberuhkiin