Kyberala (FISC) ry:n toimitusjohtaja Peter Sund ehdottaa, että kyberturvallisuutta käytännöllisempi termi yrityksille on digitaalinen turvallisuus. Digitaalisella turvallisuudella tarkoitetaan digitaalisen ja verkottuneen yhteiskunnan turvallisuutta ja sen vaikutusta yhteiskunnan (ihmiset, yhteisöt/yritykset, instituutiot ja infrastruktuuri) toimintoihin. Kyse on tavoitetilasta, jossa digitaalisesta toimintaympäristöstä riippuvaisiin toimintoihin kohdistuvat riskit ovat hallinnassa, myös häiriötilanteissa. Sund korostaa, että juuri tämä on yhä keskeisempi osa yritysturvallisuuden kokonaisuutta. Se käsittää siis riskienhallinnan, jatkuvuuden hallinnan ja varautumisen, tietoturvallisuuden ja -suojan.

Tietoturvassa on tietojärjestelmien, ohjelmistojen, laitteiden ja verkkojen suojaamisen lisäksi kyse myös liiketoimintaprosesseista sekä ihmisten käyttäytymisestä ja asenteista.

Digitaalisen omaisuuden eli datan turvaaminen on myös tärkeä osa yrityksen toimintakykyä. Kyse ei ole siis pelkästään tiedon luottamuksellisuudesta, vaan myös sen eheydestä ja sen saavutettavuudesta. Olennaista on lisäksi hallita datan säilytystä, siirtämistä ja pääsyoikeuksia, jotta työtehtävien kannalta oikeilla henkilöillä on asianmukainen pääsy tietoon ja oikeudet myös päivittyvät työsuhteen elinkaaren mukaan.

Kyberuhat ovat hyvin moninaisia

Kyberuhat ovat haitallisia tapahtumia, jotka voivat vaikuttaa organisaation toimintaan, taloudelliseen asemaan, tietopääomaan ja pahimmillaan jopa liiketoiminnan jatkuvuuteen. Tyypillisiä uhkia ovat muun muassa tietojenkalastelu, jonka tavoitteena on saada rikollisten haltuun käyttäjätunnus- ja salasanapareja tai muita käyttäjälle tai organisaatiolle arvokkaita tietoja. Haittaohjelmat ovat tietokoneohjelmia, jotka aiheuttavat ei-toivottuja tapahtumia tietojärjestelmässä tai sen osissa. Kiristyshaittaohjelmat lukitsevat tiedostoja, tallennusjärjestelmiä tai jopa koko laitteen (esim. läppäri, palvelin tai varmuuskopiotiedosto) vaatien lunnaita näiden avaamiseksi ilman takeita tietojen palauttamisesta tai luottamuksellisuuden säilymisestä. Palveluestohyökkäyksessä verkkoa kuormitetaan ylimääräisellä tietoliikenteellä. Tavoitteena on lamaannuttaa jokin verkossa avoimesti oleva palvelu, kuten yrityksen verkkosivut, joissa voi olla myös esim. verkkokauppamoduuli.

Digitaalinen turvallisuus on kilpailuetu

Digitalisaatio avaa mahdollisuuksia, joiden avulla yritykset voivat tehostaa toimintaansa ja säästää kustannuksissa. Samaan aikaan on huolehdittava datan turvallisuudesta. Datan turvallisuus on kriittinen menestystekijä kasvulle, kehittämiselle ja uusien liiketoimintamallien toteuttamiselle.

Hyvin järjestetty, laatujärjestelmään kiinnitetty digitaalinen turvallisuus on selkeä kilpailuetu, sillä liikekumppanit ja asiakkaat arvostavat ja edellyttävät yritykselle luovutettujen tietojen pysymistä turvassa. Sama lopputulos tulee varmistaa myös alihankkijoiden ja toimittajien osalta.

Kyberturvallisuus vaikuttaa myös yrityksen operatiivisiin, juridisiin ja taloudellisiin riskeihin. Yrityksen on yhä useammin osoitettava turvallisuusasioidensa ja -kulttuurinsa asianmukainen hallinta myös viranomaisille. Peter Sund korostaa, että digitaalinen turvallisuus edellyttää johtamista ja on erottamaton osa liiketoiminnan kokonaisriskien hallintaa sekä yrityksen strategiaa – tietoa tarvitaan liiketoiminnan johtamiseen, päätöksentekoon sekä asiakaslupausten täyttämiseen.

Käytännön toimia turvallisuuden edistämiseksi

Sund neuvoo, että digitaalisen turvallisuuden kehittäminen lähtee liikkeelle riskien hallinnan suunnittelusta: millainen digitaalinen tietojenkäsittely-ympäristö yrityksellä on (mm. laitteet, verkot, palvelut) ja mitä tärkeää tietoa yrityksellä on. Tärkeää tietoa ovat mm. liikesalaisuudet (sopimukset, immateriaalioikeuksien alaiset tiedot jne.), yrityksen operatiivisen toiminnan ylläpitämiseen liittyvät sekä lain nojalla salassa pidettävät tiedot.

Tiedot tulisi myös luokitella. Tämän jälkeen voidaan arvioida digitaalisen turvallisuuden nykytila, tunnistaa puutteet, päättää riskienhallintakeinoista sekä valita partnerit.

Yrityksen koko vaikuttaa yleensä olennaisesti yrityksen sisäisiin kykyihin digitaalisen turvallisuuden alueella. Mitä vähemmän yrityksellä on omaa osaamista, sitä tärkeämpää on tukeutua kyberturvallisuusalan asiantuntijayrityksiin (luotettavia partnereita voi tarkastella esim. www.fisc.fi).

On olemassa merkittävä riski, että digitaalista turvallisuutta käsitellään liian kapeasti, mikäli huomio keskittyy vain perinteisiin tekniseen tietoturvaan ja vanhentuneisiin käytänteisiin sekä ratkaisuihin. Myöskään pelkän säännösten vähimmäistason täyttäminen (esim. GDPR) ei ole riittävä tason yrityksen kilpailukyvyn, kannattavuuden ja jatkuvuuden varmistamiseksi.

Inhimilliset virheet ovat isossa osassa päivittäisissä, lähes kaikkiin toimijoihin kohdistuvissa kyberrikoksissa, ja henkilöstö siten tahattomasti teknisen turvallisuuden heikoin lenkki. Selkeät ja yhdessä määritellyt tietoturvakäytänteet nostavat riskienhallinnan vaikuttavuutta merkittävästi, mutta teknisten suojausten on tuettava käyttäjiä. Yllä mainittu kokonaisuus voidaan kuvata yrityksen tietoturvapolitiikassa täydennettynä digitaalisten riskien hallinnan tavoitteilla, organisoinnilla ja vastuilla.

Lähde: Finnish Information Security Cluster (FISC) – Kyberala ry. Yhdistys on Teknologiateollisuus ry:n toimialajärjestö ja edustaa Suomessa toimivaa kyber- ja tietoturvallisuusalaa.