Yritysten kyberturvallisuudessa parannettavaa
Kyberturvallisuuskasvattaa rooliaan yritysten riskienhallinnassa. Digipoolin Antti Nyqvist kannustaa ottamaan digitaalisen turvallisuuden huomioon jo yrityksen strategiassa.
Koronapandemian seurauksena yritykset ovat entistä kiinnostuneempia huoltovarmuudesta ja jatkuvuuden hallinnasta. Ne ovat saaneet käytännön esimerkkejä ennakoinnin ja kriisitilanteisiin varautumisen tärkeydestä, tehneet varautumissuunnitelmia sekä päivittäneet vanhoja.
Silti erityisesti digitalisaatioon liittyviin riskeihin varautumisessa on huoltovarmuusorganisaation Digipoolin sihteerin, valmiuspäällikkö Antti Nyqvistin mukaan yhä petrattavaa.
Huoltovarmuusorganisaatio muodostuu noin 20 poolista, jotka valmentavat toimialojensa yritysten jatkuvuudenhallintaa ja varautumista. Digipooli varmistaa erityisesti ICT-alan yrityskentän toimintaa ja huoltovarmuutta. Digitalisaatioon liittyvät turvallisuusaiheet ja varautuminen koskettavat kuitenkin kaikkia yrityksiä.
– Harvassa ovat yritykset, jotka toimivat täysin internetin ulkopuolella tai ilman digitaalisia työkaluja. Jos yrityksen digiä ei ole turvattu, jatkuvuus ja liiketoiminta voivat olla uhattuna, Nyqvist sanoo.
Kyberturvallisuus tukee liiketoimintaa
Digitaalisen maailman muutosvauhti on niin nopea, ettei yhteiskunnallinen sääntely pysy sen perässä. Yritysten täytyy olla siksi askel edellä digitalisaation riskien hallinnassa.
Digipooli teetti vuonna 2020 suomalaisille yrityksille kyberturvallisuuden kypsyysselvityksen, jolla haettiin tilannekatsaus siihen, mikä on kotimaisen yrityskentän kyberkypsyys.
Jos yrityksen digiä ei ole turvattu, jatkuvuus ja liiketoiminta voivat olla uhattuna, sanoo Digipoolin Antti Nyqvist.
Selvityksen mukaan finanssiala on kyberturvallisuudessa pisimmällä, mutta kaikilla toimialoilla on vielä kehitettävää. Vaikka valtaosa yrityksistä huomioi strategiassaan digitalisaation, siihen liittyvien turvallisuusaiheiden käsittely ei ole toivotulla tasolla.
Finanssiala on kyberturvallisuudessa pisimmällä, mutta kaikilla toimialoilla on vielä kehitettävää.
– Tyypillisesti strategia tarttuu digitalisaation mahdollisuuksiin. Jos digitalisaatiota haluaa oikeasti hyödyntää, tulisi huolehtia myös turvallisuudesta. Kyberturvallisuus kannattaa nähdä kilpailuetuna, jolla voi erottua muista.
Kyberkypsyysselvityksen keskeisin havainto oli, että kyberhyökkäyksiin ovat parhaiten varautuneita yritykset, joiden johto sitoutuu ja ohjaa kyberstrategiaa osana yrityksen kokonaisstrategiaa ja riskienhallintaa. Tällöin kyberturvallisuutta kehitetään systemaattisesti eikä se jää riippuvaiseksi yksittäisten asiantuntijoiden osaamisesta.
Digipoolin tilannekuva osoitti, ettei yritysten sisällä ole välttämättä yhtenäistä ymmärrystä yrityksen digiaiheista, eikä tarvittavan tilannetiedon kokonaisuutta yrityksen eri osissa ole useinkaan mietitty. Strategisen tason lisäksi monessa yrityksessä olisi Nyqvistin mielestä sisäisen keskustelun ja kouluttamisen paikka.
– Strategiselta tasolta kyberturvallisuutta täytyy viedä toteutukseen. Arjessa tulisi käydä läpi riskejä ja uhkia, jotka liittyvät strategian osoittamiin liiketoimintahaasteisiin, uhkiin ja mahdollisuuksiin, Nyqvist tiivistää.
Kyberturvallisuusarkkitehtuuri auttaa hallitsemaan kokonaisuutta
Riskienhallinnan näkökulmasta yritysten haaste on usein se, ettei niillä ole kunnollista kyberturvallisuusarkkitehtuuria.
– Arkkitehtuuri määrittää esimerkiksi sen, miten jokin uusi järjestelmä liittyy yrityksen muihin järjestelmiin, miten tieto kulkee yrityksen sisällä ja miten tieto on suojattu. Tätä kaikkea on vaikea hallita ilman selkeää arkkitehtuuria, Nyqvist sanoo.
Jos yritys ei tunnista kyberturvallisuutta strategiassaan tai ei määrittele kyberarkkitehtuuria, ovat myös yrityksen jäljitettävyystiedot usein heikkoja. Tekninen jäljitettävyys on olennaista esimerkiksi silloin, kun poliisi selvittää yrityksiin kohdistuneita tietovuotoja tai muita kyberrikoksia.
Yhä useampi yritys joutuu tulevaisuudessa tietovuodon tai muun kyberrikoksen kohteeksi.
Nyqvistin mukaan yhä useampi yritys joutuu tulevaisuudessa tietovuodon tai muun kyberrikoksen kohteeksi. Yritysten täytyy viimeistään nyt kiinnittää kyberturvallisuuteen huomiota, jotta ne selviävät tulevista häiriöistä tai jopa kriiseistä.
– Maailma muuttuu yhä nopeammin, mikä korostaa ennakoinnin merkitystä entisestään. Kansallinen huoltovarmuus muodostuu pitkälti yritysten tekemästä jatkuvuuden hallinnasta ja varautumissuunnittelusta, Nyqvist uskoo.
Lue myös: Asiantuntija: Riskienhallinnan pitää olla osa yritystä palaverikäytäntöjä myöten