LAK:n asiantuntija Anssi Ennevaara on työskennellyt lukuisissa projekteissa, joissa edistetään yritysten kokonaisturvallisuutta ja turvallisuusstrategian läpivientiä. Tällä kertaa kysymyksemme kohdistuivat digitaaliseen turvallisuuteen.
Mikä on tämän hetken iso kuva digiturvallisuuden tai sen kääntöpuolen kyberuhkien näkökulmasta?
– Lähtökohtaisesti kaikkien toimialojen, joissa siirretään tietoa ja ollaan verkkoyhteydessä, tulisi olla varautunut sekä häirintään että eri tasoisiin kyberhyökkäyksiin. Kaikkein haavoittuvaisimpia ovat esim. terveydenhuolto, finanssipalvelut, teollisuus, julkinen hallinto, kuljetus ja energia. Näissä erilaiset kyberhyökkäykset, sähköpostihuijaukset, väärän informaation levittäminen sekä valeuutisointi ovat jo arkipäivää.
– Terveydenhuolto tulee olemaan eräs Suomen iso kipupiste lähivuosina, kun sekä sen rakenteita että IT-järjestelmiä uusitaan samaan aikaan. Näissä ongelma on esimerkiksi potilastiedon muuttumattomuus ja sen suojaus päätymisestä vääriin käsiin. Tässä avuksi on tulossa ns. vahva suojautuminen joka suojaa tiedon käsittelyä ja sisältöä.
Miten hyvin yritysten johto on perillä näistä riskeistä?
– Iso ongelma, joka tulee usein esiin, on se että johto ei joko tunnista ongelmia tai ei ole sitoutunut turvallisuuskulttuuriin. Silloin ei ole resursseja toimia etukäteen, eikä varautua kriiseihin. Tällöin toimitaan vasta kun ongelmat ovat jo päällä ja yhtiön maine ja jopa tulevaisuus on vaarassa.
– Monet yrityksistä ovat jo joutuneet hyökkäysten kohteeksi, mutta niistä pyritään pitämään matalaa profiilia. Useissa tapauksessa ei haluta myöntää, että valmistautuminen on ollut täysin puutteellista tai vielä pahempaa – digitaaliseen turvallisuuteen liittyviä ongelmia ei ole edes tunnistettu.
Mitkä ovat infrastruktuurin heikot lenkit?
– Yhteiskunnan ja yritysten rajapinnassa toimivat digitaaliset järjestelmät saattavat olla hyvin haavoittuvia. Liikenne- sähkö- ja televerkot ovat varsin kriittisiä toimintoja ja niiden digiturvallisuuden pettäminen saattaa halvaannuttaa koko maan infrastruktuurin toiminnan. Kaikissa näissä kannattaa kuitenkin aina muistaa, että aina uhka ei tule ulkoa päin!! Myös yksittäisten avainhenkilöiden kautta voidaan saada valtavaa vahinkoa aikaan. Tällöin kyseessä voi olla sellaisen avainhenkilön kiristäminen, jolla on pääsy yhtiön kannalta arvokkaisiin tietoihin.
Miten turvallisuusajattelun pitäisi näkyä yritysten strategiassa ja johtamisessa?
– Kokonaisturvallisuuden pitäisi sisältää strategian, joka ulottuu läpi organisaation. Näin taataan riittävät resurssit sekä johdon tuki muutokselle. Toimintamallin oikeellisuutta tulee tarkastella ja päivittää säännöllisesti esimerkiksi prosessien ja lainsäädännön muutosten näkökulmasta. Tässä erilaiset ISO-standardien mukaiset auditoinnit ovat jo arkipäivää. Tämä vaade tulee usein asiakkaiden puolelta, jossa edellytetään että kaikki toimintaketjun osat sekä niiden vastuullisuus ovat kunnossa.
Miten paljon tähän asiaan on kiinnitetty huomiota?
– Aivan liian vähän! Kokonaisturvallisuuden tulisi olla luonnollinen osa yrityskulttuuria ja jokapäiväistä toimintaa. Sen tulisi ulottua yrityksen johdosta, henkilöstöön, asiakkaisiin ja partnereihin. Näin se tarjoaa paremman mahdollisuuden toiminnan jalkauttamiseen yrityksen toiminta-alueiden läpi – aina partnereiden toimintamalleihin saakka. Näin siitä tulee luonnollinen osa yhtiön kulttuuria ja brändiä.
Miten lähes kaikkeen yritystoimintaan ulottunut digitalisoituminen on muuttanut turvallisuusajattelua?
– Yritysten toiminta- ja verkkoympäristössä syntyy nykyään valtava määrä digitaalista dataa raporttien, lukujen ja tiedotteiden muodossa, joita on tarkoitettu siirrettäväksi, ladattavaksi tai julkaistavaksi. Niin sisäisesti kuin ulkoisesti. Tämä jo itsessään aiheuttaa turvallisuusriskiä tiedon oikeellisuuden, tiedon muuttumattomuuden, tiedon oikea-aikaisuuden ja tiedon eheyden kannalta.
Mikä on hyvän riskienhallinen rooli näissä tilanteissa?
– Riskienhallinnan perusteiden tulee olla organisaation turvallisuusjohtamisen peruskivi! Jotta oikea turvallisuustaso ja riittävät toimet saavutetaan, tulee organisaation johdon olla sitoutunut kulttuuriin, joka tukee turvallisuusjohtamisen läpivientiä.
– Digitaalisen toimintaympäristön muuttumisessa ja uusien palveluiden käyttöönotossa tulee riskienhallinnan lähteä analyysissä siitä, että joka tapauksessa jotain sattuu. Viisasta ennakointia on silloin luoda riskienhallintaan oikeat työkalut jo valmiiksi. Organisaation tulee silloin saada tuki ja sellaiset toimintaedellytykset, joilla luodaan riittävän kattava sekä oikean turvallisuustason omaava järjestelmä.
Turvallisuuden tulee olla yrityskulttuuriin rakennettu ominaisuus, joka kattaa yrityksen eri osa-alueet ja toimii sateenvarjona sekä sisäisiä että ulkoisia uhkia vastaan.
Kiitos haastattelusta Anssi!
Anssi ja muut LAK-asiantuntijat löytyvät täältä!