Kyberturvallisuus ja vastuukysymykset
30.01.2017
BLOGI: Timo Tiihonen, Boardman -partner
Savupiipputeollisuudessa riskienhallinta koski lähinnä fyysisiä asioita kuten palojen ja muiden onnettomuuksien ennaltaehkäisyä sekä vakuutuksia näiden vahinkojen korvaamiseksi. Lähes kaikki toimialat ovat kuitenkin nykyisin täysin riippuvaisia luotettavasta tietojenkäsittelystä tietovarastoineen ja nopeine mobiiliyhteyksineen. Robotit ja muut tuotantokoneet ohjataan pilvipalveluista tulevilla ohjelmistoilla. Koneet keskustelevat ja tekoäly tekee päätöksiä puolestamme. Kaivostyömiehen korvaa joystickillä toiselta puolelta maapalloa ohjattava robotti.
Viimevuosina on jo monessa yhtiössä koettu katastrofaalisia tilanteita kun asiakastiedot on kaapattu, robottiohjelmistot tukkineet yhtiön tilausjärjestelmän tai kilpailijan asiakaspalautteeseen robotti lähettää jatkuvasti kielteistä palautetta. Samoin tuotantokoneita alkaakin ohjata ulkopuolinen taho tuhoten koko yhtiön tuotantokoneiston. Kymmenien miljoonien menetyksiä on koettu suomalaisissakin yhtiöissä. Yleensä menetyksistä ei edes kerrota. Useimmiten tietomurto tapahtuu työntekijän oman, mobiili päätelaitteen ja sähköpostin liitteen kautta. Henkilökohtaisiin ja ongelmiin joudutaan usein identiteetin varkauden kautta, nyt myös Suomessa on yhtiöiden identiteettivarkauksia sattunut. Rikollinen voi saada paljon taloudellista ja muuta tuhoa aikaan esiintymällä sinuna, kaikkine valtuuksineen verkkopalveluissa.
Kun yhtiö on polvillaan ja aletaan hakea syyllisiä tapahtuneeseen, löydetään syyllinen usein organisaation alimmalta tasolta tai ict-yksiköstä. Toimitusjohtaja sanoo, että minä luulin ja hallitus sanoo, että eihän me voida noita asioita ymmärtää. Tietomurtojen ja muiden digitaalisten rikosten tekijöitä ei yleensä saada vastuuseen vaan riskit on yhtiön itse kannettava.
Osaava omistaja tuntee kyberturvallisuuden tärkeyden omistaja-arvon kannalta, niinpä hän huolehtii hallituksen kokoonpanoa suunnitellessaan tämänkin osaamisalueen.
Hallituksen vastuulla on tietenkin riskien hallinta yleensäkin ja erityisesti kyberturvallisuus. Digitaalinen turvallisuus on ennen kaikkea strateginen asia. Jos hallituksella ei ole riittävästi omaa osaamista, tulee ehdottomasti hyödyntää ulkopuolisia asiantuntijoita ja teettää turvallisuus auditointi yhtiössä. Hallituksen huolellisuusvelvoite on ehdoton, muita on turha syyttää vahingon tapahtuessa. Monessa yhtiössä hallituksen vuosikellossa on kyberturvallisuus jo mukana! Yhdysvalloissa yhtiöt hakevat jo kilvan kyberturvallisuuden osaajia hallituksiin ja yritysten ylimpään johtoon. Yrityksen johdon on pidettävä tietoturva-asiat vakioagendalla ja yhtiöllä oltava selkeät digitaalisen turvallisuuden ohjeet ja niiden noudattamista on valvottava.
Kyberturvallisuus tulee olla jatkossa oleellinen osa myös hallitusten ja johdon valmennusohjelmia, sillä näitä asioita ei 80-luvulla opetettu.
Julkaistu 30.1.2017