Kyberturvallisuus johtoryhmän ja hallituksen näkökulmasta
Arvoisat hallituksen jäsenet ja yritysjohdon edustajat,
IT- ja OT-turvallisuus kuuluvat tämän päivän suurimpiin haasteisiin sekä julkisella että yksityisellä sektorilla. Johtajina meillä on vastuu ymmärtää ja hallita näitä riskejä. Tämän kirjoituksen tarkoituksena on tarjota näkemyksiä siitä, kuinka voimme kohdata keskeisimmät haasteet ja välttää yleisimmät sudenkuopat. Meidän on luovuttava ”rasti ruutuun” -ajattelusta ja keskityttävä konkreettisiin toimenpiteisiin – mitä tehdään ja miten. Tämä on ennen kaikkea johtamisen kysymys.
Henkilökohtainen kokemukseni
Muutama vuosi sitten koin lähes paniikinomaisen oivalluksen siitä, kuinka alttiita olimme yrityksenä kyberuhille sekä siitä, millaisiin toimenpiteisiin tulisi ryhtyä tietoturvariskien pienentämiseksi. Hallituksen ja johdon näkökulmasta IT-turvallisuuden on katettava kolme keskeistä osa-aluetta:
- Liiketoiminnan jatkuvuuden turvaaminen
- Ajan ja kustannusten säästäminen
- Toiminnan kehittäminen ja vaatimustenmukaisuus
Koulutukseltani olen kauppatieteilijä, ja olen työskennellyt teknologia-alalla noin 25 vuoden ajan. Siirtyessäni ylimpiin johtotehtäviin olen vähitellen etääntynyt teknisistä yksityiskohdista, samalla kun teknologinen kehitys on kiihtynyt. Paniikinomainen tunteeni kumpusi siitä, että siirryimme tarjoamaan kriittisen infrastruktuurin hallintapalveluita asiakkaillemme. Pelkoni oli, ettemme menneet riittävän syvälle emmekä olleet tarpeeksi konkreettisia. Ulkoiset uhat voisivat vaurioittaa tai lamauttaa infrastruktuuriamme, jolloin myös toimituskykymme ja asiakkaamme kärsisivät.
Tietoturvasta ja vaatimustenmukaisuudesta puhutaan paljon, mutta usein keskustelut jäävät pinnallisiksi. Ymmärryksemme ei aina ole riittävä, ja päätöksiä tehdään liian hataralla pohjalla. ”Rasti ruutuun” -syndrooma on yleinen ongelma: todellisuus ja tavoitteet eivät kohtaa. Syvälle meneminen on haastavaa, mutta keskeisiä tekijöitä ovat tieto, resurssit, prioriteetit, naivius, organisaatiokulttuuri ja riskinottohalukkuus.
Tässä yhteydessä haluan keskittyä tietoon ja niihin osa-alueisiin, joita johdossa aliarvioidaan. Liian usein tyydymme otsikoihin ja iskulauseisiin. Seminaari- ja konferenssitason keskustelut eivät riitä – tarvitaan konkreettisia toimia.
Kunnianhimo ja konkretia
IT-turvallisuuteen liittyy paljon väärinkäsityksiä ja käsitteellistä epäselvyyttä. Tarkoituksena ei ole eksyä tähän viidakkoon, vaan nostaa esiin usein aliarvioituja alueita, joissa heikkoudet ovat suurimmat – jopa organisaatioissa, jotka panostavat turvallisuuteen ja ottavat aiheen vakavasti. Keskustelut harvoin johtavat oikeisiin lopputuloksiin, jos ne käydään mustavalkoisina. Kaikki ymmärtävät, että sävyeroja on, mutta joskus asioita on yksinkertaistettava, jotta saadaan aikaan keskustelua – ja tarvittaessa myös tervettä kitkaa.
Nostetaan IT-turvallisuuden tavoitetasoa. Asteikolla 0–10 arvosana 7 ei ole riittävän hyvä. Ajatus siitä, että tasolle 9 pääseminen olisi kohtuuttoman kallista, täytyy kyseenalaistaa – vaikka se onkin osittain totta, jos yritys kuvittelee pystyvänsä hallitsemaan koko kentän yksin ilman ulkopuolista tukea.
Kun tavoitetasosta on yhteisymmärrys, voidaan tunnistaa ne alueet, joissa heikkoudet korostuvat, kun perusasiat ja itsestäänselvyydet on jo hoidettu. Ilman erityistä järjestystä nämä ovat:
- 1. Omaisuus- ja laitehallinta
Tähän kuuluu kaikki infrastruktuuriin liitetty laitteisto ja ohjelmisto. Haasteena on säilyttää kattava yleiskuva, hallita versiot ja päivitykset, seurata käyttöä ja varmistaa oikeat konfiguraatiot. Jos oletus pitää paikkansa, että ketju on vain yhtä vahva kuin sen heikoin lenkki, niin hallinnan puute infrastruktuuriin liitetyistä laitteista muodostaa merkittävän riskin. Usein suurimmat riskit löytyvät reuna-alueilta.
- 2. Uhkien jatkuva seuranta
Uhkatilanteiden ja poikkeamien seuranta sekä niiden pohjalta tehtävät toimenpiteet. Moderni uhkakenttä on monimutkainen, ja hyökkäykset voivat tulla tuntemattomilta toimijoilta. On naiivia kuvitella, että tällaista voi hallita yksin.
- 3. Operatiivinen teknologia (OT)
IT on yleensä turvallisuuskeskustelun keskiössä, mutta suurimmat haavoittuvuudet voivat löytyä perinteisesti IT:ksi luokittelemattomilta alueilta. OT-ympäristöt koostuvat usein laitteistoviidakosta, joka on osa digitaalista infrastruktuuria ja siten aliarvioitu haavoittuvuus. Viranomaiset pyrkivät sääntelemään tätä esimerkiksi NIS2-kehyksellä, mutta pelkkä sääntely ei ratkaise käytännön haasteita. OT-laitteet voivat olla kuin aikapommeja, jotka kytkeytyvät liiketoiminnan kriittiseen infrastruktuuriin – usein niin sanottujen takaovien kautta.
- 4. Pimeän verkon seuranta
Pimeässä verkossa tapahtuu laajamittaista toimintaa, jossa hyödynnetään kaupallisia mahdollisuuksia tavalla, joka on kaukana länsimaisten perusarvojen mukaisesta liiketoiminnasta. Tämä markkina ei ole maantieteellisesti rajattu. Näiden toimintojen aktiivinen seuranta voi vähentää riskejä merkittävästi.
- 5. Hälytysten hallinta
IT-osastot hukkuvat hälytysten valtavaan määrään. Ilman aktiivista systematisointia reagointi jää satunnaiseksi, ja kehittyneet uhat voivat livahtaa läpi. Se, kuinka nopeasti organisaatio saa kokonaiskuvan tilanteesta, voi olla kriittinen tekijä.
- 6. Pilviturvallisuus
Suurin osa yrityksistä hyödyntää kustannustehokkuuden, toimintakyvyn ja skaalautuvuuden vuoksi pilvipalveluiden ja omien infrastruktuurien yhdistelmää. Tämä hybridimalli tuo mukanaan lisäturvahaasteita ja uusia hyökkäyspintoja, jotka on helppo aliarvioida.
- 7. Vaatimustenmukaisuus
Riskiraportoinnin on oltava selkeässä muodossa, jotta se toimii tehokkaana johtamisen työkaluna. Tämä mahdollistaa sääntelyvaatimusten, dokumentaation, analyysien ja poikkeamatilanteiden hallinnan. Vaikka hallitus kantaa lopullisen vastuun, se harvoin pystyy valvomaan turvallisuutta suoraan.
Tieto ja tahtotila vievät eteenpäin
Onko alkuperäinen paniikkini laantunut? Kyllä. Kukaan ei voi antaa täydellisiä takuita, mutta varmistamalla arvoketjun kriittiset kohdat voidaan hallita riskejä sekä omalta että asiakkaidemme osalta. Saamme asiakkailtamme noin 1,5 miljoonaa tapahtumaa sekunnissa. Lähteet ovat moninaisia. Teknologian, ihmisten ja prosessien yhteispeli on ratkaisevaa turvallisuuden takaamiseksi ja kriittisen infrastruktuurin toimintavarmuuden säilyttämiseksi. Järjestelmällinen ja kokonaisvaltainen lähestymistapa on menestyksen edellytys.
Elämme monimutkaisessa maailmassa, jossa turvallisuusuhkat laajenevat jatkuvasti. Yksikään organisaatio ei voi tehdä kaikkea, mutta jokainen voi osaltaan parantaa kokonaisturvallisuutta.
Oli kyseessä sitten julkinen tai yksityinen organisaatio, tavoitteemme on liiketoiminnan kehittäminen, strategioiden toteuttaminen ja päämäärien saavuttaminen. Emme halua menettää mahdollisuuksia, ja IT-turvallisuus on merkittävä uhka tavoitteillemme. Tämän torjumiseksi tarvitsemme kattavan ja kestävän turvallisuusstrategian.
Onko teillä muutama sotilas, joukkue vai kokonainen puolustusvoima? Todelliset uhat piilevät yksityiskohdissa. ”Riittävän hyvä” on oltava tietoinen päätös, ja meidän ei pidä aliarvioida elementtejä, joita on perinteisesti pidetty vähäpätöisinä. Yksityiskohtien ymmärtäminen ja oikean fokuksen asettaminen ovat olleet tämän keskustelun keskiössä. Kaikki alkaa tavoitteista ja päättyy johtajuuteen.
Jarl Øverby
Konsernijohtaja, NetNordic GroupSisällysluettelo
Aihealueet
Sisältötyypit
Aiheeseen liittyvää sisältöä
Ota yhteyttä
Soita meille suoraan puhelinnumeroomme +358 020 743 8000, lähetä meille sähköpostia info.fi@netnordic.com tai täytä lomake, niin palaamme asiaan mahdollisimman pian! Kiitos!
