Kyberturvallisuus osana hallitustyöskentelyä

Kyberturvallisuus osana hallitustyöskentelyä

Kyberturvallisuus osana hallitustyöskentelyä

”Kyberturvallisuutta hallituksille ja johdolle”-alumnitilaisuudessa Kalle Luukkainen, Juha Kolehmainen, Antti Pirinen, Jani Arnell ja Miikka Salonen kertoivat nykypäivän kyberturvallisuusuhista sekä antoivat konkreettisia vinkkejä ja kysymyksiä, joilla hallitus voi haastaa teknisiä asiantuntijoita yhtiön turvallisuuden varmistamiseksi.

Uudenlaista verkkorikollisuutta

Yritykset ovat entistä riippuvaisempia digitaalisista palveluista ja järjestelmistä. Kyberturvallisuuskeskuksen ylijohtajan Kalle Luukkaisen mukaan digitalisaatio tuo mukanaan paljon myös uudenlaisia negatiivisia ilmiöitä, kuten kyberriskejä. Rikolliset skannaavat verkkoa jatkuvasti haavoittuvien palveluiden löytämiseksi. Havaitessaan tietoturva-aukon, kyse on joskus jopa alle muutamista tunneista, että havaittu tietoturva-aukko hyväksikäytetään rikollisten toimesta. Kyberturvallisuus koetaan yhtiöissä kompleksisena aiheena, vaikka se on nykyjään kriittinen asia yhtiön liiketoiminnan turvallisuudelle ja elinvoimaisuudelle.

Uusi verkkorikollisuusilmiö nimeltä big game hunting eli suurriistan metsästys tarkoittaa sitä, että kyberrikolliset etsivät kohteikseen isoja yhtiöitä tai julkishallinnon organisaatioita, joiden toimintaa haittaamalla ne voivat yrittää kiristää huomattavia summia rahaa. Joskus yritykselle aiheutuvissa tappioissa kyse on jopa miljoonista. Luukkainen korostaakin, että viime kädessä kyse on digitalisaatiossa olevasta yritysten riskienhallinnasta. Hallituksen tulee ymmärtää, mitkä ovat niitä arvokkaimpia kohteita yrityksen liiketoimintaa ajatellen, joita tulee suojella.

”Useimmiten ei tiedetä, mitä on tärkeintä suojata”

Myös IBM:n kyberturvallisuusyksikön johtaja Juha Kolehmainen korostaa, että hallituksella on olennainen rooli kyberturvallisuuden varmistamisessa. Hallituksen tulee ymmärtää, mitkä ovat niitä uhkia, jotka uhkaavat yrityksen liiketoimintaa ja mikä tieto saattaisi olla arvokasta ulkopuolisille tahoille. Kun edellä mainittuihin kysymyksiin saadaan vastaukset, voi lähteä tehokkaasti suojaamaan yrityksen liiketoimintaa.

Lisäksi johdolle tulee antaa välineitä ja resursseja suojata yhtiön tietojärjestelmiä. Kyberturvallisuuden suojaamiseen tarkoitetun budjetin on oltava riittävä ja toiminnalle olisi hyvä nimetä vastuuhenkilö.

Olennaista on myös varautumissuunnitelman laatiminen tietomurtojen ja kiristyshaittaohjelmien sattuessa. Säännöllisesti päivitettävään varautumissuunnitelmaan tulee sisällyttää konkreettiset toimintaohjeet kyberhyökkäysten varalle. Myös toimintaohjeita tulee harjoitella henkilöstön kanssa säännöllisin väliajoin.

Kyberturvallisuus on myös kilpailuetu

Teknologian kehitys tuo mukanaan ilmiön, jossa tulevaisuudessa kaikki meitä ympäröivä on osa digitalisaatiota. Tämä näkyy myös merkittävästi tuote- ja palveluturvallisuuden sekä niiden elinkaaren hallinnan merkityksen kasvuna, joka linkittyy vahvasti liiketoimintaan. Kyberturvallisuus siirtyy ICT:n perukoilta kohti etulinjaa. Työtä on kyettävä tekemään yhdessä.

PwC:n kyberturvallisuus & tietosuojapalveluista vastaavan johtajan Jani Arnellín mukaan monesti hallitukselle jää epäselväksi, mikä on tosiasiallinen kyberturvallisuuden tilanne ja miten esim. havaitut ongelmat kytkeytyvät yhtiön strategisiin tavoitteisiin ja riskeihin. Hallituksen olisi edellytettävä raportoinnilta mittareihin perustuvaa näkökulmaa, jotta ymmärrettävyyttä, systemaattisuutta ja kytköstä yrityksen kannalta keskeisiin seikkoihin voidaan kasvattaa. Eli toisin sanoen yhtiön kyberturvallisuudesta vastaavan henkilön on pystyttävä viestimään hallitukselle kyberturvallisuudesta sellaisella kielellä, että hallitus ymmärtää mistä on aidosti kyse ja millaiset vaikutukset kyberturvallisuuden varmistamistoimilla aidosti on myös taloudellisesta näkökulmasta. Muutoin hallituksen on hyvin hankala toteuttaa lakisääteistä riskienhallintaan liittyvää huolehtimisvelvoitettaan, jonka erottamaton osa myös tietoriskienhallinta on.

Hallituksen on puolestaan kyettävä haastamaan yrityksen johtoa toteuttamaan kyberturvallisuutta tarkoituksenmukaisesti ja osana riskienhallinnan sekä sisäisen valvonnan toteuttamista. Tarvitaan siis yhtäältä mittareita, toimintaedellytyksiä ja seurantaa sekä toisaalta hallintajärjestelmää, kyvykkyyksiä sekä ennen kaikkea aktiivisia toimia. Kyberturvallisuuden hallinnassa olisi myös muistettava kokonaisturvallisuuden näkökulma: tehokas kyberturvallisuuden hallintajärjestelmä huomioi myös liiketoiminnan jatkuvuuden, tietosuojan ja fyysisen turvallisuuden.

Yrityksen johdon tulisi myös pohtia, onko yhtiöissä erillinen vai liiketoimintastrategiaan sisällytetty kyberturvallisuusstrategia. Arnell suosittelee, että kyberturvallisuusstrategia sekä siitä johdettava kyberturvallisuusohjelma rakennetaan huolella, koska sillä voi olla valtava merkitys esimerkiksi palveluiden tuottamisessa ja asiakassuhteiden hallinnassa, joissa asiakkaalle on kyettävä yhä useammin osoittamaan kyberturvallisuuden asianmukaista toteumaa erilaisin varmennuksin tai sertifikaatein. Tällä on merkittävä vaikutus liiketoimintamahdollisuuksiin sekä kilpailukykyyn.

Rakentamalla yhtiön kyberturvallisuutta tunnistettujen standardien ja viitekehysten varaan on helpompi myös suunnata kohti globaaleja markkinoita, koska yhtiö pystyy todistamaan olevansa luotettava ja turvallinen kumppani kielellä, joka on kansainvälisesti tunnettu. Tämä on erittäin tärkeää luottamuksen rakentamisessa.

Pilvipalvelut luovat etuja niin yhtiöille kuin rikollisillekin

Pilvipalvelut luovat tehokkuutta sekä etuja, mutta samalla myös rikollisille mahdollisuuksia hyödyntää niiden puutteita. Tilaisuuden lopuksi Kyberturvallisuuskeskuksen erityisasiantuntija Miikka Salonen nosti esille, että kyberuhka saattaa saada alkunsa jo Office 365 -sisäänkirjautumissivulta.

Kyberrikolliset toteuttavat alkuperäisiä kirjautumissivustoja muistuttavia kirjautumissivuja, jotka eroavat toisistaan vain verkko-osoitetta katsottaessa. Sisäänkirjautumisen kautta rikolliset saavat käsiinsä tunnuksia ja pääsevät käsiksi vain sisäpiirille tarkoitettuun tietoon. Useimmiten verkkorikollisten tavoitteena on identifioida erityisesti laskutusliikenteeseen liittyvää informaatiota tai seurata sisäistä sähköpostiliikennettä.

Big game huntingin ansiosta on muodostunut kansainvälinen ja automatisoitu täysin opportunistinen rikollisekosysteemi, jossa esimerkiksi yksi rikollisryhmittymä murtautuu yhtiöiden verkkopalveluihin. Tämä ryhmittymä myy käsiinsä saadun tiedon eteenpäin toisille rikollisille, joilla on enemmän työkaluja hyödyntää saatua tietoa ja saada aikaan tuhoa organisaatiossa.

Tunkeutumiset saattavat johtaa esimerkiksi kiristyshaittahyökkäyksiin, jossa yhtäaikaisesti yhtiön palvelimia ja tietokoneita salataan haittaohjelmilla. Salausavaimen saamiseksi yrityksen tulee maksaa lunnaita. Korkeat lunnasvaateet ovat pahimmissa tapauksissa johtaneet siihen, että yhtiöiden on ollut pakko lakkauttaa liiketoimintansa, sillä lunnasvaatimukset ovat olleet liian korkeita ja uusin järjestelmien luominen olisi tullut liian kalliiksi.

Kyberturvallisuus ja yrityksen hallitusten vastuu -opas

Edellä mainittujen kyberturvallisuusriskien valossa, kyberturvallisuutta ei tule jättää huomioimatta. Liikenne- ja viestintäviraston Kyberturvallisuuskeskus on julkaissut yritysten hallituksille suunnatun kyberturvallisuutta käsittelevän oppaan. Kyberturvallisuus ja yrityksen hallituksen vastuu -opas antaa työkaluja ja tukea organisaation kyberturvallisuuden parantamiseen.

Tutustu oppaaseen ilmaiseksi täältä