Kyberturvallisuus on myös yrityksen hallituksen asia

Väitetään, että digitalisaation myötä tulevaisuudessa kaikki yritykset ovat softa-yrityksiä. Kuvaan kuuluu, että jatkossa yritysten suurin riski on kyberturvallisuus. Usein kysymys on yrityksen tärkeiden tietojen joutumisesta vääriin käsiin, mutta vaarassa voi olla myös yrityksen perusliiketoiminnan jatkuminen, jos yrityksen käyttämä teknologia pettää hyökkäyksen vuoksi.

Kyberturvallisuuteen ei panosteta riittävästi, pohtii Leena Linnainmaa.
Jatkossa kyberturvallisuus on yritysten suurin riski, pohtii Leena Linnainmaa.

On selvää, että digitalisaation vaikutuksista niin yritysten toimintaan kuin arkielämäänkin on nähty vasta jäävuoren huippu. Kauppakamarien alkuvuonna toteuttama PK-hallitusbarometri osoitti, ettei hallituskokoonpanoissa digitalisaatio-osaaminen paljon paina, kun enemmistö vastaajista ei pitänyt uuden teknologian osaamista erittäin tärkeänä tai tärkeänä hallituksen jäsenen osaamisalueena.

Julkisuudessa esillä olleista tietomurtotapauksista on pääteltävissä, että kyberturvallisuuteen ei panosteta riittävästi, vaikka perusasiat olisi saatavissa kuntoon yksinkertaisin toimin. Toinen ääripää on se, että yritys hankkii niin järeän suojauksen, että se kustannustaakan lisäksi rasittaa työtehoa.

Yritysten hallitusten agendalle soisi nousevan digitalisuuden suomat mahdollisuudet samoin kuin kyberturvallisuuden. Käsittely voi olla osa riskienhallintaa tai oma kokonaisuutensa. Ehkäpä ensimmäisellä kerralla asiaa käsiteltäessä asian painoarvon merkitys korostuisi, jos kyberturvallisuus olisi asialistalla omana kohtanaan.

Kyberturvallisuutta käsiteltäessä hallituksen pitäisi saada toimivalta johdolta tiedot yrityksen asiaan liittyvistä riskeistä ja miten näitä riskejä hallitaan. Myös se tulee selvittää, onko yrityksellä kyberturvallisuuden hoitamisesta oma suunnitelma ja kuuluuko siihen kriisinjohtamissuunnitelma. Hallituksen pitäisi pyytää toimivalta johdolta selvitystä siitä, onko ongelmia jo esiintynyt ja kuinka vakavista tilanteista on ollut kysymys.

Ratkaistaviin asioihin kuuluu myös se, mitkä yhtiön tiedot ovat kruununjalokiviä eli mitä tietoja kannattaa ja tulee suojata kaikkein järeimmin keinoin. Tämä päätös ei kuulu yksinomaan it-henkilöiden ratkaistavaksi, vaan yrityksen johdolle kuuluu linjanveto siitä, minkä tietojen suojaaminen on kriittisintä yrityksen toiminnan jatkuvuuden ja maineriskien hallinnan kannalta. Ylipäätään vastuu kyberturvallisuudesta lienee usein liiaksi ulkoistettu it-yksiköille, jolloin liikkeenjohdollinen kokonaisnäkemys voi olla puutteellinen.

Ei pidä unohtaa, että riskit tulevat usein yrityksen sisältä esimerkiksi leväperäisen salasanakäytännön vuoksi sekä alihankintaketjusta. Esimerkiksi yhdysvaltalaisen Target-kauppaketjun 40 miljoonan asiakkaan luottokorttitietojen päätyminen hakkereiden käsiin vuonna 2013 sai alkunsa konsernin alihankkijana käyttämän ilmastointifirman työntekijän koneen hakkeroinnista.

Hallituksen huolelliseen kyberturvallisuustoimintaan kuuluu myös selvittää sitä, kouluttaako yritys henkilökuntaansa näiden riskien torjuntaan sekä ohjeistetaanko ja valvotaanko henkilökuntaa riittävästi asianmukaisten suojauskäytäntöjen omaksumisen suhteen.

Kättä pitempää tarjoaa yrityksille Kansainvälisen kauppakamarin (ICC) käytännönläheinen kyberturvallisuusohje. Toteuttamalla puoletkin oppaan neuvoista yritykset välttäisivät suuren osan tietoturvaongelmistaan.

Kirjoitus on alunperin julkaistu lyhennettynä Kauppalehden Debatti-palstalla 13.8.2015.