CGI Suomen blogi
Jens Säynäjärvi

Tietoturvalla ei vielä hallita kyberriskejä

Olen viime aikoina aloittanut osuuteni luennoilla ja seminaareissa pitämällä käsiäänestyksen ”nosta kätesi jos uskot tietäväsi, mitä on kyberturvallisuus”. Tilaisuuden luonteesta riippuen, tulos on ollut hyvin vaihteleva. Tulos on jopa ollut päinvastainen, kuin olisin kuulijakunnan profiilin perusteella odottanut.

Pekka Blomberg kirjoitti Kauppalehden debatissa 12.1.2015 yritysten tuuliajolla olevasta kyberturvallisuudesta. Olen samaa mieltä Blombergin kanssa siitä, että asenne tuntuu olevan kunnossa, tai ainakin paranemaan päin, mutta havaintojeni mukaan epätietoisuus on valtaisaa. ”Tarttis tehdä jotain”, mutta mitä se jotain olisi, on hämärän peitossa.

Kyberriskien realisoituminen on yhä todennäköisempää. CGI:n havaintojen mukaan kyberhyökkäysten määrä on kasvanut ja tulevat kasvamaan voimakkaasti. McAfee Labsin mukaan motivaatio jakautuu kahtaalle: systemaattiseen tiedon urkkimiseen tai rahan anastamiseen. Verizonin raportin mukaan tekijä on lähes yhdeksässä tapauksessa kymmenestä valtiolähtöinen, joka kymmenes rikollinen ja vain joka viideskymmenes on kilpailija tai entinen työntekijä.

Yritysten kyberturvallisuudessa todella on kyse laajemmasta ulottuvuudesta kuin vain verkon turvallisuudesta ja hyökkäyksistä. Erityisesti tuotantoautomaatioon, mutta myös esimerkiksi kiinteistöautomatiikkaan liittyvissä riskeissä on syytä huomioida fyysisen turvallisuuden kytkeytyminen kyberturvallisuuteen. Jaan Blombergin ajatuksen siitä, että omien verkkojen oma aktiivinen valvonta on askel kohti kyberturvallisuutta. Alleviivaan: oma valvonta. Se ei ole Kyberturvallisuuskeskuksen tai minkään muunkaan viranomaisen tehtävä. Yksittäiset toimijat eivät voi siirtää vastuuta toiselle.

Kulunut veisu siitä, että ihminen on kyberturvallisuuden heikoin lenkki pitää edelleen paikkansa. Tuoreeltaan siihen viitataan ruotsalaisessa tietoturvallisuutrendiraportissa (Informationssäkerhet – trender 2015; Myndigheten för samhällsskydd och beredskap, MSB). Ihminen on varsin helppo kohde haittaohjelman lataamiseksi tai salaisen tiedon paljastamiseksi. Siitä on minullekin kertynyt urallani Supossa ja CGI:ssä runsaasti esimerkkejä.

Blomberg kirjoitti kaipaavansa yrityksiin kyberturvallisuuteen liittyvää strategiaa, jossa arvioidaan laajasti liiketoimintaa ja tietopääomaa uhkaavia riskejä. Mielestäni sanomalla näin kohdistuu katse turhan suppeasti vain tietoturvaan. Voi näet sanoa, että lähes kaikilla yrityksillä on tietoriskien hallinta kunnossa – sitä on tehty jo vuosikausia. Sen sijaan pitäisi uudelleen arvioida missä määrin yrityksen riskiportfolio kattaa kyberriskit, vai kattaako?

Riskien arviointi tulee tehdä uusien uhkien osalta ja reflektoida tuloksia omaan bisnekseen. Voiko, ja jos, niin kuinka massiivisesti yrityksen on järkevää turvata toimintaansa kyberuhkilta.

Kirjoitus on julkaistu ensimmäisen kerran Kauppalehdessä 26.1.2015

Kuka äänessä?

Blog moderation guidelines and term of use