Mitä hallitusten jäsenten pitäisi ymmärtää kyberturvallisuudesta?

Mitä hallitusten jäsenten pitäisi ymmärtää kyberturvallisuudesta?

Boardman järjesti Työn ja johtamisen muutos –kehittämisfoorumin puitteissa tilaisuuden, jossa syvennyttiin tarkastelemaan kyberturvallisuutta F-Securen tietoturvallisuusjohtaja Erka Koivusen johdolla.

Erka Koivunen on F-Securen tietoturvallisuusjohtaja. Aiemmin urallaan hän on toiminut Suomen kansallisen tietoturvaloukkauksia käsittelevän CERT-FI-viranomaisen päällikkönä ja kyberturvallisuuskeskuksen apulaisjohtajana. Yritykset, hallitukset, ja useat muut järjestöt hyödyntävät kattavasti Erkan asiantuntijuutta tietoturvallisuuden ja riskien hallinnan, tietoturvaloukkausten käsittelyn ja yksityisyyden suojan alalla.

Tilaisuudessa syvennyttiin erityisesti tarkastelemaan hallitusammattilaisen velvollisuuksia ja vastuita – mitä asioita pitää osata kysyä hallituksen kokouksessa sekä hallitusammattilaisen henkilökohtaista operaatioturvallisuutta – mitä asioita pitää osata varoa, tarkastella ja ymmärtää omassa toiminnassaan.

Mitä asioita pitää osata kysyä hallituksen kokouksessa?

Koivunen kertoi, että kyberturvallisuutta koskevat kysymykset, jotka hallituksen tulisi osata esittää operatiiviselle johdolle voidaan kiteyttää viiteen kohtaan:

1. Mitkä ovat suurimpia uhkia ydinliiketoiminnallesi?

Millaisia kyberturvallisuuden vaihtoehtoisia uhkakuvia voidaan piirtää yrityksen liiketoiminnalle. Kohta sisältää käytännössä kaksi asiaa: liiketoiminnan kannalta keskeisten järjestelmien tunnistaminen ja niihin kohdistuvien uhkien ymmärtäminen. Tämä rajaus pakottaa toimivan johdon ilmaisemaan selkeästi sen, mihin suojauspanostus ensisijaisesti kohdistetaan ja millaista riskitasoa vasten. Selkeys tällaisissa perusasioissa mahdollistaa myös ”miksi”-kysymysten esittämisen: miksi ette pidä X:ää keskeisenä tai miksi uhkakartallanne ei ole Y? Tai: onko järjestelmä Z tulkittavissa uhrattavissa olevaksi, jos sitä ei ole tunnistettu keskeiseksi?

2. Miten suojaudut kyberturvallisuusuhilta?

Kun vaihtoehtoja suojaukselle on useita, niin miten nämä suojaukset on toteutettu. Ei riitä, että palomuuri on asennettu. Kyberturvallisuuden vaihtoehtoisille uhkakuville tulee asettaa kilpi, joka suojaa juuri yrityksen ydinliiketoimintaa kyberuhkilta. On tärkeää ottaa myös huomioon, että turvallisuuden havainnoinnin tulee olla jatkuvaa iterointia, joka ei tule koskaan valmis.

3. Kenen vastuulla on kyberturvallisuuden toteuttaminen?

Tietoturvavastaava ei ole se ylin riskien hyväksyjä. Yrityksessä on lähes mahdotonta saada riskeistä kuvaa vain yhdeltä henkilöltä. Koivunen korostikin, että yrityksissä tulee olla vastuumatriisi, jossa määritellään, kellä on valta ja vastuu tehdä päätökset kyberturvallisuuden saralla. Vastuumatriisi tulee jakaa toimivalle johdolle ja hallitukselle, jolloin myös kiitokset onnistumisista ja kehityskohteista saadaan suoraan päättävälle taholle.

4. Oletko määrittänyt hyväksyttävän riskitason?

Miten lähelle riskirajaa voidaan viedä päätöksiä ja kuinka paljon voidaan mennä jopa riskitason yli ilman vaurioita? Yritysten kannattaa kerätä listaa riskipäätöksistä, joka sisältää riskin potentiaaliset vaikutukset, sen aiheuttamat riskit sekä millaisilla toiminnoilla riskiä ja sen aiheuttamia vaikutuksia voidaan pienentää.

Käytännön elämässä harvoin osataan preskriptiivisesti ilmaista riskinottohalukkuuden suuruusluokkaa, mutta yksittäisiä riskipäätöksiä ajan myötä tarkkailemalla se alkaa hahmottua. Tämän pohjalta asiasta voidaan käydä järkevää keskustelua. Riskihän ei voi olla pelkästään haitallinen ja vältettävä ominaisuus – edes kyberturvallisuudessa. Riskin toinen kasvo on mahdollisuus, ja riskejä kavahtavalle tietoturvavastaavalle tekee hyvää pysähtyä aika ajoin pohtimaan, onko hän organisaation kasvun, uusiutumisen ja yleisen kilpailukykyisyyden esteenä. Hallitus viime kädessä hyväksyy tai hylkää eksistentiaalisen kokoluokan kyberriskien oton, kunhan turvallisuusvastaava vain tekee riskit nähtäväksi.

5. Miten valvot turvatoimien tehokkuutta?

Onko riskirajan hallinta ja vastatoimet aiheuttaneet toivottuja tuloksia? Onko kyberuhkien käsittelyssä vain osa todellisuudessa merkityksellisiä kyberuhkia? Koivunen kehottaa tarkastelemaan, että kyberturvallisuuden saralla harjoitetaan tervettä itsekritiikkiä ja toimintaa kehitetään eteenpäin jatkuvasti.

”Hallitus voi ihan yksinkertaisilla kysymyksillä saadaan aikaan paljon kuhinaa ja kahinaa yrityksessä.” Toisaalta Koivunen nosti esille, että jos hallituksen jäsenet eivät osaa haastaa johtoa kyberturvallisuuden saralta, niin hallituksen valvontatehtävää ei oteta vakavasti.

Lopuksi Koivunen korosti, että tietoturvajohtajan on hyvä muistuttaa aika ajoin itseään siitä, että tämän tehtävänä ei ole johtaa tietoturvallisuutta. Hänen tehtävänsä on varmistaa, että liiketoimintaa voidaan harjoittaa tietoturvallisesti.

Mitä asioita pitää osata varoa, tarkastella ja ymmärtää omassa toiminnassaan?

Koivunen puhui tilaisuudessa myös operaatioturvallisuudesta, jolla tarkoitetaan sitä miten omilla toimilla voi vähentää riskiä, joka kohdistuu edustamiini yhteisöihin. Koivunen korosti, että hallituksen jäsenillä on usein hyvinkin sensitiivistä tietoa yrityksestä, jonka valumisesta vääriin käsiin saattaa aiheutua suuriakin seurauksia.

Koinen korostaa, että henkilökohtainen kyberturvallisuus ei ole pelkällä tekniikalla saavutettava tila. Jos teknisiä laitteita ja sovellusalustoja käyttää, niiden turvallisuusominaisuuksiin kannattaa tutustua. Sen laitteen tai sovelluksen, jonka parhaiten tuntee, sen osaa myös varmimmin suojata.

Suojaukseen pätee karkeasti ottaen sama neuvo kuin kaikkien uusien laitteiden ja palvelujen käyttöönoton yhteydessä: tilin turvallisuus- ja yksityisyysasetukset tulee käydä kohta kohdalta läpi ja miettien asiaa siltä kantilta, että mikä olisi pahantahtoiselle hyökkääjälle epämieluisin asetus.

Koivunen korosti esimerkiksi pikaviestintäpalvelujen valitsemisessa hyödyntämään sellaisia ohjelmia, joissa tieturvallisuus on todella korkealla tasolla, kuten esimerkiksi Signalia.

Henkilökohtaista tietoturvallisuutta käsiteltiin Twitter-tilien esimerkkien avulla. Nopea Koivusen vinkkilista, kuinka varautua esimerkiksi Twitter-tilinhyökkäyksiin:

  • Kaksivaiheinen tunnistuus (MFA) päälle
  • Password Reset Protection päälle
  • Ilmoitukset päälle uusista kirjautumista ja tilitapahtumista (esim. yrityksistä muuttaa salasanaa)
  • Katselmoi säännöllisesti millä sovelluksilla ja alustoilla on oikeuksia Twitter-tiiliisi
  • Rajaa ihmisten mahdollisuutta löytää tiliisi liitetty sähköpostiosoite ja kännykkänumerosi
  • Jos salasana on yli vuoden vanha, kannattaa se vaihtaa samalla kun muutenkin suoritat syyssiivousta.

Suosittelemme tutustumaan myös Erkan aikaisemmin kirjoittamaan artikkeliin Questions that help CISOs and boards have each other’s back.