Vinkkejä kyberriskien hallintaan

Kyberrikollisuus on kasvava ongelma, joka vaatii jatkuvaa varautumista talous- ja maineriskien pienentämiseksi. Mitä yhtiön hallituksen sitten pitäisi tehdä organisaation suojaamiseksi?

Kun Facebookin toimitusjohtaja ja hallituksen puheenjohtaja Mark Zuckerberg astui lehdistön eteen hakkerien varastettua 50 miljoonan Facebook-käyttäjän tietoja viime syyskuussa, hän totesi: ”Meidän täytyy tehdä enemmän, jotta tämä ei toistuisi.”

Tämä tyypillinen vastaus kuvastaa hyvin toimitusjohtajien reaktiota, kun tietomurto on jo päässyt tapahtumaan. Zuckerberg sai pitää päivätyönsä, mutta yhtä hyvin ei käynyt Equifaxin toimitusjohtajalle, jonka johtamasta luottotietoyhtiöstä varastettiin 693 000 ihmisen henkilötietoja Isossa-Britanniassa vuonna 2017.Useimpien hallitusten ongelma kyberhyökkäyksen ja tietomurron jälkeen on se, että ne eivät pysty tekemään juurikaan muuta kuin pyytelemään anteeksi.

Facebook ja monet muut kyberhyökkäyksen kohteeksi vuonna 2018 joutuneet yhtiöt tuntevat vaikutukset edelleen nahoissaan: ne ovat menettäneet tuloja ja asiakkaita, saaneet sakkoja (Ison-Britannian dataviranomainen ICO määräsi Facebookille 500 000 punnan sakot) ja kärsineet maineen menetyksestä. Tietomurto aiheuttaa yritykselle keskimäärin 3,86 miljoonan dollarin kustannukset. Yhdellekään yritykselle – edes Facebookille – ei riitä se, että ”tehdään enemmän” ja odotetaan sen riittävän tulevien hyökkäysten estämiseksi.

Yritysjohdon päätöksenteossa tulisi tiedostaa kyberturvallisuusuhkien vakavuus ja tunnistaa, miten resursseja voidaan hallita tehokkaasti riskien torjumiseksi.

Jos vuosi 2018 todisti jotakin, niin sen, että kaikki ihmiset ja yritykset ovat kohteita, hakkerit ovat sinnikkäitä ja virheitä tapahtuu. Tämän vuoksi ennusteiden luvut jatkavat kasvuaan. Cybersecurity Ventures on ennustanut Official 2019 Annual Cybercrime Report -raportissaan, että kyberrikollisuuden aiheuttamat kustannukset nousevat vuoteen 2021 mennessä maailmanlaajuisesti 6 biljoonaan dollariin vuodessa, mikä on kaksi kertaa enemmän kuin vuonna 2015. Samanlaisia ennusteita on useita.

”100-prosenttista tietoturvaa ei ole olemassakaan”, sanoo Mark Camillo, AIG:n kyberturvallisuusjohtaja EMEA-alueella. Yritysjohdon päätöksenteossa tulisi tiedostaa kyberturvallisuusuhkien vakavuus ja tunnistaa, miten resursseja voidaan hallita tehokkaasti riskien torjumiseksi. Kulttuuri pitää luoda ylhäältä alaspäin: kun yritysjohto ottaa asian vakavasti ja toimii, myös muu organisaatio tekee niin. Tärkeintä on olla valmistautunut kaikkien uhkakuvien varalta.

Laadi suunnitelma

Kyberturvallisuussuunnitelman pitää sisältää ratkaisujen lisäksi ennaltaehkäiseviä toimenpiteitä. Jos yrityksessä hyväksytään, että se jossain vaiheessa todennäköisesti joutuu tietomurron kohteeksi, painopisteen tulee olla yritystoiminnan jatkuvuudessa ja palauttamisessa ennalleen. Yhdenkään yhtiön hallitus ei halua nähdä kovan työnsä valuvan hukkaan muutamassa päivässä kyberiskun vuoksi.

Jokaisella yrityksellä tulisi olla kyberturvallisuussuunnitelma, jonka avulla varmistetaan, että koko organisaatio vetää yhtä köyttä iskujen ehkäisemisessä ja tietää myös, miten tietomurron jälkeen toimitaan. Kattava suunnitelma tietojen, verkkojen ja laitteiden suojaamiseksi ei jätä mitään sattuman varaan.

Kyberturvallisuussuunnitelman pitää kattaa neljä osa-aluetta: määräysten noudattaminen, infrastruktuurin suojaus, palauttaminen ennalleen ja työntekijät.

• Määräysten noudattaminen: Yksityiskohtaiset ohjeet siitä, miten tietoja käsitellään yrityksessä ja miten EU:n tietosuoja-asetusta tai Yhdysvaltojen HIPAA-säännöstöä noudatetaan.
• Infrastruktuurin suojaaminen: Millä toimenpiteillä tietoja suojataan ja kuka vastaa suojaamisesta? Suojaussuunnitelman pitää olla johdonmukainen monitasoisesta ohjelmistosuojauksesta (virustorjunta, palomuurit, haittaohjelmien torjunta ja hyökkäyssuojaus) kattavaan vakuutusturvaan. Kuka tästä vastaa, miten ohjelmisto- ja tietoturvapäivitykset hoidetaan ja miten tiedot varmuuskopioidaan?
• Palauttaminen ennalleen: Kuka tekee mitäkin tietomurron sattuessa? Minkälainen on toimintasuunnitelma tietomurron eristämiseksi ja liiketoiminnan palauttamiseksi takaisin normaaliksi mahdollisimman pian? Kuka vastaa viestinnästä viranomaisten, asiakkaiden, kumppanien ja alihankkijoiden suuntaan ja hoitaa vakuutuskorvausten hakemisen?
• Kouluttaminen: Yritys tarvitsee selkeän viestintästrategian koko henkilöstölle internetin ja sähköpostin käytöstä ja parhaista käytännöistä. Yrityksellä pitää olla selkeät ohjeet hyväksyttävästä käytöstä, huijausten tunnistamisesta, yritysverkon etäkäytöstä, sosiaalisen median säännöistä, salasanojen hallintaohjelmista ja tietoturvaloukkauksista tehtävistä ilmoituksista.

Suunnitelman laatiminen auttaa yhtiön hallitusta suuntaamaan ajatukset kyberturvallisuuteen. Kyberturvallisuus ei ole enää pelkästään asiantuntijoiden kenttää, joka koskettaisi vain IT-osastoa tai tietoturvajohtajaa. Tietomurto voi vaikuttaa koko organisaatioon ja ajaa sen jopa konkurssiin. Kyberturvallisuuskoulutus onkin välttämätöntä kaikille yrityksen työntekijöille, koska suurin uhkatekijä ovat inhimilliset virheet. Experianin laatiman Managing Insider Risk Through Training and Culture -raportin mukaan 66 prosenttia tietoturva- ja tietosuojakouluttajista sanoo, että yrityksen heikoin lenkki ovat sen työntekijät.

Vakuuttaminen luo turvaverkon

Yritysten on nykyään suojauduttava kyberhyökkäysten aiheuttamilta riskeiltä aiempaakin tehokkaammin niin fyysisesti, virtuaalisesti kuin taloudellisestikin. Siirtämällä riskin vakuuttajalle yhtiön hallitus voi rakentaa vankan riskistrategian.

Usein on vaikea tietää, mistä aloittaa, mutta riskejä on mahdollista mitata. Vakuutusyhtiö tai -välittäjä voi mallintaa yrityksen riskit ja arvioida vakuutusmaksun suuruuden nykyisen riskitason valossa. Lisäksi yritys saa suosituksia riskiluokituksensa parantamiseen.

”Mallinnamme riskit ja tutkimme hyökkäyksen todennäköisyyden, vakuutustiedot, sisäiset tarkastukset ja vastaavat. Näin muodostamme kuvan yrityksen riskeistä”, sanoo AIG:n Camillo ja lisää, että näiden tietojen pohjalta voidaan muodostaa myös vertailukohta vertikaalisia sektoreita varten. ”Tämä auttaa myös mallintamaan riskikustannuksia ja antamaan yrityksille selkeämmän käsityksen siitä, mitä niiden täytyy tehdä riskien ja vakuutusmaksujen pienentämiseksi.”

Vaikka vakuuttaminen on yksi yritysten suurimpia turvaverkkoja, sitä yllättävää kyllä käytetään vain vähän kyberturvallisuusriskien varalta. Digitaalinen tutkimusyritys Ovum teki viime vuoden elokuussa kyselyn, jonka mukaan vain 38 prosentilla yrityksistä oli kaikenkattava kybervakuutus. Kysely paljasti lisäksi, että yrityksissä ei ole riittävää ymmärrystä kyberhyökkäysten vaikutuksista organisaatioon.

Riskiarviointi auttaa kouluttamaan sekä yhtiön hallitusta että johtoa, jolloin yrityksen tietoisuus tietoturvan merkityksestä kasvaa.

Riskiarviointi auttaa kouluttamaan sekä yhtiön hallitusta että johtoa, jolloin yrityksen tietoisuus tietoturvan merkityksestä kasvaa. ”Riskiarviointi on välttämätön työkalu, joka antaa yrityksille läpinäkyvyyttä ja tärkeää tietoa. Se toimii lähtökohtana kattavammalle suojaukselle, johon voi sisältyä myös tietoturvaloukkauksiin reagoiminen, niiden tutkinta sekä lainopillinen ja PR-tuki kriisinhallinnan ammattilaisilta”, AIG:n Camillo sanoo.

PwC:n hiljattain julkaiseman raportin mukaan tämä on tulevaisuutta, ja organisaatiot ovat jo heräämässä kasvavaan uhkaan ja etsimässä siihen ratkaisuja. PwC arvioi, että vuosittain maksettavien kybervakuutusmaksujen määrä nousee tämänhetkisestä 2,5 miljardista dollarista 7,5 miljardiin dollariin vuosikymmenen loppuun mennessä. ”Eri sektorien yritykset alkavat ymmärtää kybervakuutuksen tärkeyden nykypäivän monimutkaistuvassa ja riskialttiissa digimaailmassa”, raportissa todetaan.

Ongelmana on kuitenkin se, miten yhtiön hallitus pystyy tunnistamaan oikeasti toimivat kybervakuutukset, jotka eivät ole vain kalliita päälle liimattuja ratkaisuja. Ovumin tutkimuksen mukaan 62 prosenttia yhdysvaltalaisyrityksistä epäili, ettei kybervakuutuksen tarjoaja ollut määritellyt vakuutusmaksua paikkansa pitävän riskianalyysin perusteella. Sekä vakuuttajilla että vakuutuksenottajilla on tästä opittavaa, ja jatkossa riskimallinnusta täytyy laajentaa.

Kuten muillakaan asiantuntijavakuutussektoreilla, myöskään kybervakuutuksissa ei voi odottaa yleisvakuutuksen kattavan yritysten erilaisia tarpeita. Vakuutusturva pitää räätälöidä niin, että se kattaa välittömät tarpeet tietomurron tapahduttua. Apua täytyy olla saatavilla 24/7 ja vakuutuksen täytyy kattaa tutkinnasta ja sakoista aiheutuvia kuluja, suojata yritystä tietojen palauttamisen aiheuttamilta valtavilta kuluilta ja auttaa lieventämään mainehaittojen lisäksi myös tulonmenetyksiä.

Asiakkaiden ja alihankkijoiden luottamus on elintärkeää yrityksen menestymiselle. Harvalla jos yhdelläkään yrityksellä on varaa vaarantaa tätä luottamusta. Tietomurroissa yksi suurimmista ellei suurin uhka tälle luottamukselle on arkaluontoisten tietojen mahdollinen vuotaminen. Tämä korostaa korjaavien toimenpiteiden, vakuuttamisen ja usein aliarvostetun mielenrauhan merkitystä. 

5 suositusta kyberriskien hallintaan

• Johtajien pitää tiedostaa, että kyberturvallisuus on koko yritystä koskettava riskienhallintakysymys, eikä pelkästään IT-hallinnon vastuulla.
• Johtajien pitää ymmärtää, mitä lainsäädännöllisiä seurauksia kyberriskeillä voi olla yrityksen toiminnan näkökulmasta.
• Yhtiön hallituksella pitää olla riittävästi kyberturvallisuusosaamista käytettävissään ja kyberriskien hallinnalle pitää varata säännöllisesti aikaa hallituksen kokouksissa.
• Yhtiön hallituksen pitää edellyttää, että johto laatii koko yrityksen kattavan kyberriskien hallintaohjelman, jolle varataan riittävästi henkilökuntaa ja rahoitusta.
• Hallituksen ja johdon väliseen keskusteluun kyberriskeistä tulee sisällyttää esimerkiksi se, mitä riskejä halutaan välttää ja mitkä voidaan hyväksyä, mitä riskejä voidaan siirtää vakuutuksen piiriin ja mitä suunnitelmia kuhunkin lähestymistapaan liittyy.

Tämä artikkeli on julkaistu alun perin Board Agenda -lehdessä.