IT-turvallisuus

Heikko tietoturva on huonoa liiketoimintaa

Hyvät uutiset: Pohjoismaat ovat maailman parhaita digitalisaation mahdollisuuksien hyödyntämisessä. Huonot uutiset: Olemme pahasti jäljessä sen riskien hallinnassa.

Termi information technology, ”IT”, kiteytettiin Harvard Business Review’n artikkelissa vuonna 1958. Otsikon ”Management in the 1980’s” alla tutkijakaksikko Harold J. Leavitt ja Thomas L. Whisler kertoivat kasvavasta teknologian alasta, joka tulisi heidän mielestään olemaan vallankumouksellinen.

Artikkelia on mielenkiintoista lukea nyt. Se on osaltaan hellyttävän naiivi (kirjoittajat ennustivat, että tulevaisuuden yritysjohtajat tekevät liiketoiminnan päätöksiä tietokonepelien avulla) mutta se myös ennustaa hämmästyttävän tarkkaan digitalisaation kulkua viime vuosikymmenten aikana.

Yli 60 vuotta vanhaa visiota tutkiessa huomaa myös jotakin huolestuttavaa. Yleinen käsitys IT:stä ei ole juurikaan muuttunut artikkelin kirjoittamisen jälkeen: keskitymme edelleen tekniikan välittömiin liiketoimintahyötyihin.

44%

kokee, että tietoturvaan investoidaan liian vähän

- Tutkimusyhtiö Radarin kysely.

Hyvä digitalisaatio – heikko kyberturvallisuus

Käsityksemme IT:n ja digitalisaation maailmaa muuttavista, lähes maagisista voimista on luonut niille valtavasti arvoa ja on auttanut viemään Pohjoismaat digitalisaation kärkeen.

Otetaan esimerkiksi Ruotsi. Portulans Instituten vuosittaisen Network Readiness Index mukaan maa on maailman paras digitaalisten mahdollisuuksien hyödyntäjä. Tutkimusyhtiö Radarin tietojen mukaan ruotsalaiset yritykset käyttivät IT:hen 207 miljardia kruunua (noin 20,8 miljardia euroa) viime vuonna. Sen tutkimukset myös osoittavat, että digitalisaatioon investoiminen on tällä hetkellä IT:n tärkein strateginen prioriteetti.

Erään toisen listauksen kärki paljastaa kuitenkin nopean kehityksen kääntöpuolen. Kansainvälisen Teleunionin Global Cyber Security Index listaa kyberturvallisuudessa kehittyneimmät maat. Tällä listalla Ruotsi on sijalla 26. Radarin kyselyjen mukaan 44 prosenttia ruotsalaisista IT-päättäjistä kokee, että turvallisuuteen investoidaan liian vähän.

Dennis Karlssonin muotokuva, Group CISO, Dustin

Kyberturvallisuutta ja digitaalista kehitystä pidetään toisiaan vastaan käyvinä tavoitteina.

Dennie Karlsson, Dustinin Group Ciso.

Huono tietoturva tulee kalliiksi

Samanlainen digitaalisen kehityksen ja jäljessä laahaavan kyberturvallisuuden välinen kuilu löytyy myös muualta Pohjolasta. Suomi on sijalla 6 mahdollisuuksien hyödyntäjänä mutta sijalla 22 kyberturvallisuudessa. Olemme toisin sanoen satsanneet hankkeisiin, joilla on lyhyen aikavälin digitaalisia voittoja – mutta ei kovinkaan paljon pitkän aikavälin digitaalista turvallisuutta.

Nyt kuilu uhkaa kääntää kehityksen negatiiviseksi.
– Eron myötä riskialttius hyökkäyksille kasvaa. Meidän on otettava huomioon digitalisaatioon liittyvä haavoittuvuus. Muuten kulut tulevat lopuksi olemaan hyötyjä suuremmat, huolimatta siitä kuinka fantastisia digitaalisia toiminnallisuuksia rakennetaan, kertoo Dennie Karlsson, Dustinin Group CISO (Chief Information Security Officer).

Hänen mielestään nykyinen ajattelutapa ohjaa kehittämään digitaalisia palveluita, jotka toimivat erinomaisesti aluksi. Mutta ajan mukaan, kun digitalisaation painoarvo kasvaa, yhteiskunnasta tulee yhä haavoittuvampi.

– Syy tähän tilanteen joutumiselle on, on että emme pidä kyberturvallisuutta ja digitaalista kehitystä yhtä oleellisina osina digitalisaatiota vaan toisiaan vastaan käyvinä tavoitteina. Tämän näkökulman on muututtava.

Muotokuva Freddie Rinderudista, tutkan vanhemmasta neuvonantajasta.

Mitä riippuvaisempaa yhteiskunnan toiminta on digitaalisista työkaluista, sitä isompi arvo on pelissä.

Freddie Rinderud, Radarin vanhempi neuvonantaja.

Turvallisuudelle on vaikeaa asettaa hintaa

Myös kustannukset ovat johtaneet tähän tilanteeseen. Kehitykselle on ollut liian vaikeaa asettaa hintaa.

– Viime vuosina on tehty kyberhyökkäyksiä esimerkiksi Maerskia, Synsamia ja Coopia vastaan. Ruotsin lentokentät joutuivat pysäyttämään lentoliikenteen, kun järjestelmä ”ei toiminut”. Kaikesta tästä huolimatta emme ymmärrä tilanteen vakavuutta. Emme kykene katsomaan sisäänpäin ja tarkastelemaan, millaisia digitaalisia liiketoimintariskejä toimintamme sisältää.

– Yhteiskunnassa vallitsee laaja kyvyttömyys ymmärtää, mitä tämän hetken kumulatiiviset digitaaliset riskit tarkoittavat, ja tarttua näihin vakavissaan, sanoo Freddie Rinderud, analyysiyhtiö Radarin vanhempi neuvonantaja.

Hänen mukaansa tilanne muuttuu hankalammaksi vuosi vuodelta.
– Hyökkääjistä tulee etevämpiä ja meistä heikompia puolustautumaan. Mitä riippuvaisempaa yhteiskunnan toiminta on digitaalisista työkaluista, sitä isompi arvo on pelissä. Tätä emme ole yhteiskuntana ymmärtäneet kunnolla.

Tietoturva ja liiketoiminta ovat yhtä

Myös muut asiantuntijat jakavat Radarin näkemykset. Kyberturvallisuuden heikkoa tasoa selittää väärinymmärrys siitä, mitä IT on. Monissa yrityksissä ajatellaan edelleen vanhanaikaisesti, että IT on muusta yrityksestä erillinen toiminto.

– Kaikki inhimillinen toiminta edellyttää IT:n tukea tavalla tai toisella. Sen seurauksena digitaalinen riski on yhtä todellinen kuin kaikki muutkin riskit.

– Kaikki yritykset ymmärtävät kuinka taloudelliset riskit lasketaan ja käyttävät laskelmia liiketoimintastrategisten päätösten pohjana. Monet eivät kuitenkaan edelleenkään ymmärrä, kuinka alttiita olemme digitaalisille riskeille – ja kuinka nämä puolestaan vaikuttavat liiketoimintaan, sanoo Mats Hultrgen, joka johtaa tietoturvayhtiö Truesecin Cybersecurity Incident Response Teamia.
– Täytyy siis varmistaa, että tietoturva ja liiketoiminta ovat käytännössä sama asia.

Yritys ja IT-osasto puhuvat eri kieltä

Investointien perusteleminen voi olla vaikeaa. Riskit pitäisi pystyä kirkastamaan niin, että ne ymmärretään myös liiketoimintajohdossa. Tähän pureudutaan Radarin tuoreessa ”Kyberturvallisuudesta digitaaliseksi liiketoimintariskiksi”-raportissa.

Muotokuva Mats Hultgrenista, Head of Cybersecurity Incident Response Team, Truesec.

Monet eivät edelleenkään ymmärrä, kuinka alttiita olemme digitaalisille riskeille – ja kuinka nämä puolestaan vaikuttavat liiketoimintaan.

Mats Hultgren, Head of Cybersecurity Incident Response Team, Truesec.

Johdossa koetaan, että on vaikea ymmärtää mitä IT-osasto yrittää kertoa.
– Tästä seuraa, että IT on historiallisesti toiminut omana yksikkönään. Yrityksen johdossa IT on nähty ainutlaatuisena ja erityisenä osastona, jolla on omat pelisäännöt. Tämä tilanne on pitkään ollut IT-osaston mieleen, koska on tietenkin mukavaa pelata omilla säännöillä. Tästä ajattelutavasta ei ole vieläkään päästy eroon, Rinderud kertoo ja jatkaa:

– IT:ssä hyödynnetään IT-spesifejä kehikkoja, joita ei ikinä käytetä muissa konteksteissa. IT:tä pidetään erillisenä muusta yrityksestä, vaikka se ei sitä ole. Jotta voimme pitää johtoasemamme – ja saamme vahvistettua digitaalista puolustusta – tarvitaan uudenlaista ajattelutapaa.

– Nykypäivän johdossa nähdään usein digitalisaation mahdolliset voitot. Samalla tavalla pitäisi nähdä myös turvallisuuden tuomat hyödyt. Meidän täytyy luoda työkaluja, jotka auttavat näyttämään millaisia hyötyjä kyberturvallisuusinvestoinneilla on. Hyvin harva CIO tai CISO pystyy kirkastamaan tämän tyydyttävällä tavalla.

Lähikuva matkapuhelimesta toisella puolella ja miehestä hupparissa, jossa et näe kasvoja, toisessa.

Meidän täytyy luoda työkaluja, jotka auttavat näyttämään millaisia hyötyjä kyberturvallisuusinvestoinneilla on.

Freddie Rinderud, Radarin vanhempi neuvonantaja.

Työkalu digitaalisen liiketoimintariskin laskemiseen

Radar esittelee raportissaan mallin, joka tarjoaa uudenlaisen tavan arvioida digitaalisten liiketoimintariskien kustannukset. Siinä yhdistyvät perinteiset investointilaskelmat sekä teknisempi kuvaus IT:n riskeistä.

– On löydettävä yhteisymmärrys, jotta turvallisuus ja liiketoiminta voivat kulkea yhdessä. Muuten emme koskaan saavuta korkeampaa digitaalista kypsyyttä. Turvallisuuden täytyy olla mukana uudella tavalla, kun johdossa tehdään strategisia päätöksiä. Se ei voi olla vain kontrollifunktio, vaan sen on oltava jotakin mikä vie liiketoimintaa eteenpäin, sanoo Karlsson.

Radarilla toivotaan, että malli toimii yhteisenä kielenä, joka auttaa IT:tä ja johtoa kommunikoimaan aidosti. Vasta kuin digitalisoinnin riskit on ymmärretty, voidaan puhua mahdollisuuksien hyödyntämisestä.

– Nykyään kun CISO tai CIO (Chief Information Officer) pyydetään johtoryhmään kertomaan riskeistä, johtoryhmä saa IT-kehikkoon pohjautuvan kuvauksen, jota on vaikea ymmärtää. Sen sijaan hallituksessa ymmärretään taloudellisiin riskeihin liittyviä viitekehyksiä. Mallimme näyttää, kuinka voimme hyödyntää perinteistä kehikkoa mutta kehittää sitä niin, että myös digitaaliset liiketoimintariskit otetaan huomioon, Rinderud kertoo.

CISOn on ajateltava liiketoimintaa

Vastuu kuilun kuromisesta umpeen ei ole vain yritysjohdolla. Yhtä paljon vastuuta on IT-osastolla, jossa pitää opetella kirkastamaan riskejä paremmin.

– Harva pitää liiketoimintaa ja turvallisuutta kahtena yhteensopivana palapelin palana. Monille ne ovat kaksi ”virtaa”, joista voi panostaa vain toiseen. On löydettävä tasapaino, jossa kehitetään digitaalista puolustusta samalla kun kasvatetaan markkinaosuutta. Nämä kaksi asiaa kuuluvat yhteen.

On löydettävä tasapaino, jossa kehitetään digitaalista puolustusta samalla kun kasvatetaan markkinaosuutta. Nämä kaksi asiaa kuuluvat yhteen.

Dennie Karlsson, Dustinin Group CISO.

– CISO:n täytyy nähdä liiketoiminta isommassa mittakaavassa, ja yrityksen täytyy ymmärtää, että digitaalisiin hankkeisiin panostaminen maksaa todellisuudessa enemmän kuin ensin uskottiin, kertoo Dustinin Karlsson.

Kyberhyökkäyksen kustannukset yritykselle ovat asiantuntijoiden arvioiden mukaan keskimäärin 2–4 miljoonaa euroa. Iskun loppulasku riippuu yrityksestä ja sen toimialasta.

– Viiden hengen rakennusyrityksellä tuskin on kahden miljoonan euron digitaalisia riskejä. Mutta suuremmalla yrityksellä taas ei ole riskejä, joiden kustannukset olisivat vain kaksi miljoonaa, Rinderud pohtii.

Kotitoimisto tietokoneella ja näytöllä.

Digitaalisten riskien tulee perustua oikeisiin analyyseihin

Uusia työkaluja ei tarvita yksinomaan kalliiksi tulevien hyökkäysten välttämiseksi. Ne ovat tärkeitä myös siksi, että niiden avulla opimme hyväksymään olemassa olevat riskit. Se taas johtaa tehokkaampaan liiketoimintaan.

– Tällä hetkellä monet yritykset pitävät tietoturvaa digitaalisten investointien jarruttajana. Mutta kun päätöksenteon perusteet ovat kunnossa, voimme laskea digitaalisten liiketoimintariskien hinnan ja päättää, ovatko riskit ottamisen arvoisia. Näin toimitaan jo muunlaisten riskien kohdalla, joten on korkea aika suhtautua samalla tavalla myös digitaalisiin liiketoimintariskeihin. Kasautuva liiketoimintariski tulee lopulta puraisemaan meitä persauksista, sanoo Rinderud.

Näin toimitaan jo muunlaisten riskien kohdalla, joten on korkea aika suhtautua samalla tavalla myös digitaalisiin liiketoimintariskeihin.

Freddie Rinderud, Radarin vanhempi neuvonantaja.

– Meidän täytyy jatkaa nopeaa digitalisointia. Hankkeet ovat hyviä, mutta emme voi toteuttaa niitä hallitsemattomasti. On uskallettava ottaa digitaalisia liiketoimintariskejä, mutta niiden ottamisen täytyy perustua kunnollisiin analyyseihin.

30 joulukuuta 2021

Aihealue