2 minute read
Kyberturvallisuus
from Bisnes 2018
by Digimag
Kyberturvallisuus kuuluu jokaiselle
Kyberturvallisuus on asioiden turvaamista sähköisessä ja automatisoidussa maailmassa. Toukokuussa voimaan tullut tietosuoja-asetus on yksi kyberturvallisuuden osa-alueista. Kyberuhkat saattavat kuulostaa heprealta, jolloin parhaan avun löytää alan asiantuntijoilta.
Advertisement
Yritykset ovat aiempaa riippuvaisempia teknologiaratkaisuista ja digitaalisesta tiedosta. Kilpailuetua haetaan uusista teknologioista sekä prosessiautomaatiosta. KPMG:n kyberturvallisuusyksikön johtajan Mika Laaksosen ja KPMG:n Itä-Suomen tietoturvapalveluista vastaavan Pasi Vänttisen mukaan tämä on keskeinen syy sille, miksi kyberturvallisuus on keskeisestä yritysten hallitusten ja johdon agendalle.
Laaksonen ja Vänttinen mainitsevat, että kyberturvallisuudella on monta määritelmää. Keskusteluissa esiintyvät usein myös tietoturvallisuus sekä tietosuoja. Tietosuoja liittyy luonnollisten henkilöiden tietojen suojaamiseen. EU:n tietosuoja-asetus (EU GDPR) liittyy nimenomaan tähän yksityisyyden suojan toteuttamiseen.
– Kuopiossa yritykset ovat pääsääntöisesti tehneet hyvin työtä tietosuoja-asetuksen vaatimuksien eteen, vaikka monet yritykset heräsivät aiheeseen vasta tämän vuoden keväällä, kertoo Vänttinen. Hän työskentelee IT-arkkitehtinä ja tietoturva-asiantuntijana KPMG:n kyberturvallisuusyksikön Kuopion toimistolla ja toimii KPMG:n tietoturva- ja IT-neuvontapalvelujen yhteyshenkilönä Itä-Suomen alueella.
Kyberturvallisuusyksikön johtaja Mika Laaksonen luennoi aiheesta kansainvälisellä tasolla.
KYBERTURVALLISUUS-TERMIÄ KÄYTETÄÄN usein synonyyminä tietoturvallisuudelle. Oikeammin kyberturvallisuus on kuitenkin asioiden turvaamista sähköisessä ja automatisoidussa sekä verkottuneessa maailmassa. Tietoturvallisuus on tietojen luottamuksellisuuden, eheyden ja saatavuuden turvaamista siitä riippumatta onko tieto sähköisessä muodossa vai ei. Tietoturvallisuus on keskeinen keino toteuttaa kahta edellistä, eli tietosuojaa ja kyberturvallisuutta.
Taloudellisesti tarkasteltuna kyberrikollisuus aiheutti vuonna 2017 globaalisti ennätyskulut, arviolta jopa triljoona dollaria. World Economic Forum 2018 nosti kyberhyökkäykset ja tietomurrot todennäköisimmistä globaaleista riskeistä viiden suurimman joukkoon.
– Kuopion seudulla ja Pohjois-Savossa toimivien yritysten on muistettava, että internet ei tunne rajoja ja alueen yritykset ovat uhattuina siinä missä muutkin, mainitsee Vänttinen.
Laaksosen mukaan viimeaikaiset esimerkit osoittavat, että yritykset saattavat joutua sivullisina kärsimään merkittäviäkin taloudellisia vahinkoja ilman, että ovat olleet varsinaisen hyökkäyksen kohteena.
NotPetya ja WannaCry näyttivät, kuinka laajaa vahinkoa haittaohjelmat voivat aiheuttaa yrityksille. NotPetya aiheutti globaalisti lähes 300 miljoonan dollarin vahingot, näiden joukossa oli myös Itä-Suomessa toimivia yrityksiä. Oppina tästä yritysten on kehitettävä havainnointi- ja toipumiskykyään kyberhyökkäyksistä. Ongelmat on huomattavasti miellyttävämpi havaita itse kuin esimerkiksi median kautta.
IT-arkkitehti ja tietoturva-asiantuntija Pasi Vänttinen palvelee Itä-Suomen yrityksiä KPMG:n Kuopion toimipisteessä.
KUINKA YRITYSTEN tulisi reagoida näihin kyberuhkiin?
– Tietoturvallisessa yrityksessä tietoturvaan liittyvät asiat on vastuutettu ja yhteistyö eri vastuualueiden välillä on aktiivista ja toimivaa. Relevantteja vastuutahoja ovat muun muassa hallitus, toimiva johto, tietosuoja- ja tietoturvapäälliköt, tietohallinto, riskienhallinta, prosessien omistajat sekä eri sidosryhmät, kertoo Laaksonen. Laaksosella on noin 20 vuoden kokemus erilaisista tietoturvaan, tietohallinnon kehittämiseen ja jatkuvuussuunnitteluun liittyvistä tehtävistä.
Tietoturvallisessa yrityksessä eri tasoilla ymmärretään oleellisimmat kyberturvallisuuteen liittyvät riskit, riskejä seurataan ja hallitaan osana organisaation muuta riskienhallintaa, johon ITja tietoturvariskien hallinta on integroitu. Vaikka pyrkimyksenä onkin hyvä ja oman yrityksen kannalta riittävä turvallisuuden taso, sataprosenttista turvallisuutta ei ole olemassa. Erilaisiin ongelmatilanteisiin tulee olla varautunut etukäteen ja ongelmat havaitaan mieluiten itse. Hyvällä viestinnällä ja reagoinnilla voidaan pelastaa paljon, salailulla saadaan aikaiseksi vain haittaa.
YRITYKSEN TULEE viestiä avoimesti ja totuudenmukaisesti tietosuojaan ja -turvaan liittyvistä asioista. Erityisesti siitä, miksi mitäkin tietoja kerätään, mihin tietoja käytetään ja miten näitä tietoja suojataan. Yrityksen hallitus omalta osaltaan ohjaa ja valvoo toimintaa sekä näyttää esimerkkiä hyvän turvallisuuskulttuurin luomisessa. Hallitukselle raportoidaan oikeita asioita ja mittarit ovat sellaisia, että niiden perusteella oikeasti on mahdollista ohjata toimintaa oikeaan suuntaan.
KYBERTURVALLISUUS ON MYÖS ASENNE
KYBERTURVALLISUUDEN POHJAN LUOVAT ihmiset. Mika Laaksosen ja Pasi Vänttisen mukaan yritysten kannattaa muistaa seuraavat kyberturvallisuuteen liittyvät seikat:
Sataprosenttista turvallisuutta ei ole. Pitää varautua siihen, että tietomurto tapahtuu. Oleellista on, miten hyvin tähän reagoidaan ja kuinka murrosta viestitään.
Tietoturvallisuus ei ole pelkästään tekniikkaa. Jos yrityksessä on vallalla käsitys, että kaikki kyberongelmat voidaan ratkaista teknologialla, tulisi hälytyskellojen soida.
Usein ajatellaan, että omien työkalujen pitää olla parempia kuin hyökkääjien. Omien suojausten ja menetelmien pitää toki olla hyviä, mutta omia toimia tulee ohjata yrityksen tarpeet, strategia ja riskienhallinta, ei ulkoisten tahojen työvälineet.
Yrityksissä saatetaan uskoa, että yrityksellä pitää olla parhaat asiantuntijat. Tulee muistaa, että kyberturvallisuus ei ole osasto tai ihmisryhmä, vaan asenne. Monesti on järkevämpää käyttää ulkoisia asiantuntijoita tiettyihin tehtäviin sen sijaan, että pyrkisi rakentamaan kaiken osaamisen omassa organisaatiossa.
