Tietoturvaloukkauksilla on pitkäkestoisia seurauksia yrityksen taloudelle, maineelle ja asiakassuhteille. Tietoturva ei ole vain IT:n tai tietoturvapäällikön asia, vaan se on koko johdon vastuulla.
Kuvittele hetki, mitä ransomware- eli kiristyshaittaohjelmahyökkäys tarkoittaisi yrityksellesi. Yhtäkkiä tiedostot lukittuvat, ja vaihtoehtona on joko maksaa lunnaat tai menettää tärkeät tiedot. Tällaisella karulla esimerkillä tietoturvan merkitys on helppo hahmottaa.
Tekoäly on tehnyt kyberhyökkäyksistä entistä tehokkaampia ja vaikeammin torjuttavia. Ransomwaren ohella myös tietojenkalastelukampanjat, tietomurrot, toimitusketjuhyökkäykset ja sisäpiiririskit uhkaavat yritysten turvallisuutta.
Security Advisor Petri Heinonen herätteli yleisöä puheenvuorossaan Secure Cloud Conference -tapahtumassa huhtikuun alussa:
”Kyberhyökkäyksistä ja tietomurroista ei voi enää ajatella, etteivät ne koske meitä. Sen huomaa mediassa jatkuvasti näkyvistä otsikoista. Kuka tahansa millä tahansa toimialalla voi joutua hyökkäyksen kohteeksi. Tietoturva on enää harvoin kilpailuetu. Kyse on välttämättömyydestä.”
Mitä maksaa, jos tietoturva laiminlyödään?
Ransomware-hyökkäys voi maksaa yritykselle jopa miljoonia lunnaiden, palautustoimien, liiketoiminnan keskeytyksen ja mainehaittojen vuoksi. Vaatimustenmukaisuuden puutteista (esimerkiksi NIS2, GDPR, DORA ja CRA) voi joutua maksamaan merkittäviä sakkoja. Asiakkaiden tietojen vuotamisesta johtuvalle luottamuksen menetykselle on vaikea arvioida hintalappua.
IBM:n Cost of a Data Breach Report 2024 -tutkimuksen mukaan tietomurron keskimääräinen kustannus on maailmanlaajuisesti 4,88 miljoonaa dollaria. Pohjoismaissa vastaava summa on 2,08 miljoonaa (2023). Tällaisilla summilla tietoturvaa voisi hoitaa erittäin tehokkaasti. Isojen kyberhyökkäysten lisäksi kustannuksia aiheuttaa päivittäinen tehottomuus ja tuottavuuden menetykset.
”Kaikenlainen ”kybersähläys” on kallista. Jos ei ole selviä pelisääntöjä ja dokumentaatiota, kuka tekee, mitä tekee ja mitä vaaditaan kumppaneilta, seuraa jatkuvia pieniä häiriöitä. Kybersähläys aiheuttaa piilokustannuksia, joita on mahdotonta mitata”, Heinonen sanoi.
Tietoturva on johdon vastuulla
NIS2-direktiivin myötä juuri voimaan astuneessa kyberturvallisuuslaissa tietoturva on määritelty selkeästi johdon vastuulle. Laki velvoittaa huolehtimaan tietoturvasta, ja vastuu siitä on kulmahuoneessa.
“Tietoturva on riskienhallintaa, ja riskienhallinta on johdon tehtävä. Tietoturva on siis johdon vastuulla”, toimitusjohtajamme Antti Rajala totesi Secure Cloud Conferencessa.
Paljonko tietoturvaan kannattaa investoida?
Rajala esitteli yksinkertaiset askeleet tietoturvaan. Ensin on kartoitettava suojattava omaisuus ja tunnistettava riskit. Sitten on luotava tarvittavat politiikat, ja vasta sen jälkeen kuvaan astuvat tekniset kontrollit.
”Se mitä riskejä päätetään sietää, mitä hallita ja kuinka paljon riskien mitigointiin käytetään rahaa, on liiketoiminnan päätös.”
Tietoturvaan liittyvien riskien ja kustannusten arviointi ei ole helppoa, koska uhkakenttä muuttuu jatkuvasti ja emme voi tietää, mitä tulevaisuus tuo tullessaan. Nykytilanteen selvittämiseen löytyy paljon työkaluja, joiden avulla on helpompi muodostaa arvio yritykseen kohdistuvista riskeistä, Rajala neuvoi.
Järjestelmällisyys avuksi
Heinonen suosittelee hallinnoimaan tietoturvaa järjestelmällisesti esimerkiksi standardoituun viitekehykseen pohjautuen.
Hyvin hallittu tietoturva takaa tuottavan työn ajasta ja paikasta riippumatta. Se varmistaa hyvän asiakaskokemuksen sekä ulkoisten ja sisäisten sidosryhmien luottamuksen.
Toimiva hallintamalli auttaa priorisoimaan panostukset tietoturvaan oikein ja saavuttamaan alemman riskitason. Pohjimmiltaan kyse on siitä, että liiketoiminta voi jatkua keskeytyksettä ja häiriöttä.
Asiantuntija avuksi tietoturvapolulle
Jos kaipaatte tukea nykytilan arviointiin tai oikeiden panostusten valintaan tietoturvapolullanne, autamme mielellämme. Puhumme tietoturvasta johdon kielellä ja liiketoiminnan lähtökohdista. Teemme teknisistä asioista ymmärrettäviä ja autamme suunnittelemaan teille selkeän ja järjestelmällisen tietoturvan hallinnan. Ota yhteyttä!
