Johtaja – riittävä kyberturva on juuri sinusta kiinni

Johtaja – riittävä kyberturva on juuri sinusta kiinni

Blogin kirjoittaja Jukka Viitasaari

Blogin kirjoittaja Jukka Viitasaari on Cyberwatch Oy:n ja Fountain Park Oy:n hallituksen puheenjohtaja sekä Cine Aesthetics Oy:n toimitusjohtaja.

Menestyvän yrityksen geeneihin kuuluu kasvaa. Ellet tavoittele kasvua, käytännössä kuihdut, koska useimmat muut sitä tavoittelevat. Tarkoitus ei ole juosta kovempaa, vaan kulkea lyhyempi matka eli toimia älykkäästi. Älykäs organisaatio hyödyntää digitaalisen universumin mahdollisuuksia, mutta tekee sen huolehtien kyberturvasta.

Mitä älykäs toiminta tarkoittaa käytännössä? Ensinnäkin on löydettävä oikea tilannekuva, mihin ratkaisunsa perustaa; muutoin ei varmasti osaa rakentaa oikeanlaista toimintastrategiaa, mikä tulee synnyttää seuraavaksi. Kaikkein tärkeintä, hitainta ja vaikeinta on juurruttaa yhdessä kehitetty strategia pieniksi arkisiksi käytännöiksi läpi organisaation.

Kaikki tämä pätee kyberturvaan. Yrityksen tulee ymmärtää vallitseva kyberympäristö, johon perustuen sisällyttää kyberturva osaksi liiketoimintastrategiaa ja lopulta rakentaa yritykseen riittävä kyberturvakulttuuri. Tarkennuksena “riittävä” sen vuoksi, että täydellistä kyberturvaa ei ole olemassa.

Niin kauan, kuin yrityksen tietojärjestelmistä on yhteys ulkomaailmaan, kyberuhkia ei voi väistää, eikä yrityksen kannata käyttää rajallisia resursseja täydellisen suojauksen tavoitteluun. Siihen ei kenelläkään ole varaa, eikä se ole edes mahdollista.

Priorisoi panokset

Eräs suomalainen ministeriö teki äskettäin selvityksen itseensä kohdistuvista kyberuhkista ja löysi niitä lähes sata. Sen jälkeen ministeriö kääntyi kyberturvan asiantuntijaorganisaation puoleen ja halusi löytää ratkaisun näiden kaikkien taklaamiseksi.

Edes nykyhallituksen avokätinen rahanjako ei oikeasti riittäisi kaikkien uhkien torjuntaan, vaan ministeriön oli arvioitava kunkin uhan todennäköisyys ja sen toteutumisen seuraukset – mieluiten euroissa tai aiheutuneissa vahingoissa kansalaisille ja yhteiskunnalle. Sen jälkeen ministeriön oli valittava 10 todennäköisintä ja vahingollisinta kyberuhkaa ja keskitettävä käytettävissä olevat resurssit näiden torjuntaan.

Tämä esimerkki on todellinen ja pätee myös yrityksiin. Täydellistä kyberkilpeä ei voi rakentaa, eikä sitä kannata tavoitella. Sen sijaan on fokusoitava itsensä kannalta todennäköisimpiin ja haitallisimpiin uhkiin. Keinot uhkien minimoimiseksi on omaksuttava osaksi yrityksen arkista toimintaa.

Strategian – sen laadinnasta toimeenpanoon – on noudatettava niin sanottua security by design -ajattelua ja erityisesti sillä hetkellä, kun ollaan ottamassa käyttöön uusia digitaalisia ratkaisuja.

Suurin kyberuhka löytyy peilistä

Usein organisaatio tyytyy vain hankkimaan kaikki mahdolliset tekniset tietojärjestelmien suojauskeinot ymmärtämättä sitä, että yli 60 prosenttia toteutuneista kyberhavereista on henkilöstön itsensä aiheuttamia, yleensä huolimattomuuden ja osaamattomuuden seurauksena. Teknisten suojausten pettäminen on siis kybervahingoissa vähemmistössä.

Viisas yritys varautuu myös niin sanottuihin insider-riskeihin tekemällä huolellisesti uusien rekrytointien taustaselvitykset, huolehtimalla henkilöstön jatkuvasta koulutuksesta ja yrityksen ajantasaisesta kyberkulttuurista. Jos yrityksessä ei ole minkäänlaista kyberkulttuuria, syyllinen kyberhavereihin on yritysjohto. Jos ylin operatiivinen johto ja hallitus eivät ota kyberturvaa agendalleen ja vie sitä osaksi organisaatiokulttuuria, tietohallintoa, muusta henkilöstöstä puhumattakaan on turha syyttää.

On huolehdittava, ettei itse jää pahnan pohjimmaiseksi eli heikoimmaksi lenkiksi, koska niitä rikollisten automaattibotit etsivät. Tämä unohtuu usein erityisesti yritysten alihankintaverkostojen ja ekosysteemien kohdalla; ei riitä, että huolehtii parhaansa mukaan omista teknisistä suojauksistaan ja kyberkulttuuristaan, vaan etenkin ravintoketjun huipulla on kannettava vastuuta myös kumppanien kyberkyvyistä.

Kyberrikollisille kelpaa tunnetusti kaikki varastettavissa oleva data, kuten henkilöprofiilit ja sähköiset identiteetit, käyttäjätunnukset ja salasanat, henkilö-, pankki- ja maksutiedot, tki-suunnitelmat ja -tulokset välittömästi hyödynnettävistä rahakaappauksista puhumattakaan.

Synnintunnustuksia

Aiemmassa työtehtävässäni Teknologiateollisuuden digijohtajana ideoimme muun muassa Kasvuryhmän, jonka yksi keskeisistä havainnoista on kasvun tavoittelu. Jos edes tavoittelet kasvua, opit kasvamaan. Toinen käynnistämämme initiatiivi oli teollisen internetin foorumi, FIIF. Kummankin merkeissä kiersin maakuntia kannustamassa jäsenyrityksiä kasvamaan ja hyödyntämään digitalisaatiota maksimaalisesti.

En muista kertaakaan maininneeni, että ottaessaan käyttöön digitaalisia ratkaisuja yrityksen tulisi aina huolehtia niiden kyberturvallisuudesta. Kyberuhka on aina digitaalisen mahdollisuuden kolikon kääntöpuoli. Paikatakseni sokeaa digi-innostusta ideoimme sitten kyberturvayhdistyksen, Finnish Information Security Clusterin, johon kuuluu jo noin 80 kyberturvaorganisaatiota.

Ymmärrys kyberympäristöstä ja sen vaatima huolellisuus on meidän kaikkien vastuulla erityisesti tästä eteenpäin, kun olemme pandemian pakottamina ottaneet digiloikan ja siirtyneet uudenlaiseen etä- ja hybridityökulttuuriin. Pidetään itse kukin tahoillamme ja yrityksissämme huolta siitä, ettemme ole oman ekosysteemimme heikoin lenkki.

Blogin kirjoittajasta

Jukka Viitasaari on Cyberwatch Oy:n ja Fountain Park Oy:n hallituksen puheenjohtaja sekä Cine Aesthetics Oy:n toimitusjohtaja. Viitasaari on ollut useita vuosia Boardman Grow:n jäsen.