Mitä yrityksen hallituksen ja johdon on tiedettävä kyberturvallisuudesta?

7.2.2018


Martti Lehto

Mitä yrityksen hallituksen ja johdon on tiedettävä kyberturvallisuudesta?

Me elämme muuttuvassa maailmassa, jossa digitalisaation vaikutukset koskevat laajasti sekä yksilöitä, organisaatioita, yrityksiä että yhteiskuntaa yhteisesti. Yritysten toiminta perustuu yhä laajemmin interaktiivisten älylaitteiden, tietoverkkojen ja digitaalisten palveluiden käyttöön. Arvonlisäyksestä yhä suurempi osa tuleekin digitalisaatiosta.

Samalla tämä tarkoittaa sitä, että myös rikollisuus on siirtynyt kyberaikaan. Tulevaisuutta leimaavat kiristyshaittaohjelmien ja ohjelmistohaavoittuvuuksien kasvu, laitteistoihin kohdistuvat uhkat, yrityksen sisäpiiri hyökkäyskanavana ja liiketoiminnan tuhoamiseen ja henkilötietojen varastamiseen tähtäävät hyökkäykset. Kyberhyökkäysten onnistumista edesauttavat yrityksen kyberturvallisuuden puutteet.
 

Kyberturvallisuuspolitiikan ja sen implementoinnin puute

Yrityksen johdon vastuulla on toimivan kyberturvallisuusstrategian/politiikan määrittäminen yritykseen ja sen tehokas jalkauttaminen ja kehittäminen.
 

Kybertilannekuvan puute

Tutkimusten mukaan 8 % yrityksistä kykenee erittäin nopeaan kyberhyökkäysten havainnointiin, 11 % yrityksistä kykenee nopeaan kyberhyökkäysten havainnointiin ja 21 prosentilla yrityksistä on yksi yhteinen näkymä datavarantoihin. RSA:n johtaja Amit Yoranin mukaan ”Yritykset eivät kokoa oikeita tietoja, eivät hyödynnä keräämiään tietoja ja käyttävät uhkien torjumiseen vanhanaikaisia tekniikoita.”
 

Kyberturvallisuuden ymmärryksen puute

Yrityksen toimivalla johdolla ja hallituksella on vastuu toimia esimerkkeinä kyberturvallisuuden toteuttamisesta. Tutkimusten mukaan C-tason henkilöt vievät mukanaan luottamuksellisia tiedostoja kaksi kertaa useammin kuin työntekijät. 58 % johtajista on vahingossa lähettänyt tärkeää dataa väärälle henkilölle (25 % työntekijöistä). 87 % johtajista lataa yrityksen luottamuksellisia tiedostoja säännöllisesti omille henkilökohtaisille sähköpostitileilleen tai pilvijärjestelmiin. 63 % johtajista pitää samat salasanat kaikissa käyttämissään järjestelmissä ja palveluissa.
 

Yrityksen johtamisprosessien puutteet

Aina yrityksen toiminta- ja johtamisprosessit eivät ota huomioon kehittyneitä kyberhyökkäyksiä. FBI:n mukaan toimitusjohtajapetoksissa rikolliset ovat ”ansainneet” yli 2,3 miljardia dollaria viime vuosina ja tammikuusta 2015 lähtien tapausten kasvu on ollut 270 %. Organisaation prosessien tunnistamisessa ja turvaamisessa organisaation johdolla on ratkaiseva rooli. Johdon on kyettävä näkemään organisaatio kokonaisuutena, jotta prosesseihin liittyvät osatekijät ja niiden riskit voidaan tunnistaa.
 

Kyberturvallisuusosaamisen puutteet

Kun yrityksessä on toimittu ohjeiden vastaisesti, kysymys on usein osaamisen puutteesta. Yrityksen johdon tuleekin esittää seuraava kysymys: Mitä jokaisen johtajan, IT-ammattilaisen, kyberturvallisuusosaajan ja jokaisen työntekijän tulee tietää kyberturvallisuudesta?

Yrityksen johto määrittää tavoitteet ja resurssit kyberturvallisuusosaamisen hallinnalle, jotta osaamisvaje ei aiheuta kyberturvallisuusriskejä.
 

Kyberturvallisuusinvestointien puute

Kovin usein kyberturvallisuus nähdään kustannuseränä eikä liiketoiminnan varmistajana. Tässä suhteessa yrityksen johdon tulee määritellä uhka- ja riskianalyysiin perustuvat kyberturvallisuuden tavoitteet ja resursoida ne riittävällä tasolla.

Yrityksen toimivan johdon ja hallituksen tulee säännöllisesti vastata seuraaviin kysymyksiin:

1. Onko yrityksen johto ja hallitus täysin sitoutunut kyberturvallisuuteen? 
2. Milloin viimeksi toimiva johto ja hallitus teki kyberturvallisuusriskien arvioinnin? 
3. Mikä tekee teistä kohteen hyökkäyksille? 
4. Mikä datasta on oltava yhtiön sisällä ja hallinnassa ja onko se turvassa? 
5. Oletteko tarjonnut yrityksen turvallisuusorganisaatiolle kaikki työkalut ja resurssit, joita se tarvitsee estämään tietomurron?
 

Martti Lehto
Kyberturvallisuuden professori Jyväskylän yliopisto
martti.lehto@jyu.fi