Kyberturvallisuus ei ole vain IT-osaston asia, vaan se on hivuttautunut yhä keskemmälle liiketoiminnan ytimeen viimeistään NIS-direktiivin myötä. Kyberturvallisuuden johtaminen vaatii selkeitä vastuita, jatkuvaa kehittämistä ja rohkeaa viestintää – myös silloin, kun kaikki ei mene suunnitelmien mukaan.
Kyberturvallisuus on noussut yhdeksi kuumimmista kahvipöydän puheenaiheista ja tiiviiksi osaksi organisaatioiden arkea – aina yksittäisen työntekijän toimista ylimmän johdon päätöksentekoon asti.
”Uhat ovat jatkuvassa muutoksessa. Haittaohjelmat, tekoälyavusteiset huijaukset ja valtiollinen kybervakoilu muodostavat yhä monimuotoisempia riskejä erityisesti suurille organisaatioille ja julkiselle sektorille”, kyberturvallisuuden dosentti ja kansanedustaja Jarno Limnéll tietää.
Valmius ei ole staattinen tila
Vaikka osa suomalaisorganisaatioista on jo pitkään kehittänyt tietoturvaa määrätietoisesti, organisaatioiden välillä on edelleen suurta vaihtelevuutta. Limnéll muistuttaa, että kyberturvallisuus ei ole kertaluonteinen hanke.
”Kyberturva on jatkuva prosessi. Ei riitä, että kerran rakennetaan aita ja luullaan sen kestävän vuosikymmenen. Ympäristömme muuttuu jatkuvasti ja kehityksessä on pysyttävä mukana.”
Tämä tarkoittaa 24/7-valmiutta – sekä teknisesti että viestinnällisesti. Organisaatioilla on oltava varasuunnitelmat eri tilanteisiin, mutta myös valmius viestiä avoimesti, nopeasti ja rehellisesti.
”Kun jotain poikkeavaa tapahtuu – esimerkiksi asiakasdata vuotaa vääriin käsiin tai digipalvelut kaatuvat – uskottavuus mitataan siinä, miten tilanteesta selvitään. Aito ja avoin viestintä pitää luottamusta yllä.”
Oppitunti tulee usein kriisin kautta
Limnéllin mukaan kyberturvallisuus ei kehity ilman selkeää johtajuutta.
”Asiat muuttuvat joko kriisin tai johtajuuden kautta. Yrityksissä on nimettävä henkilö tai henkilöitä, joilla on selkeä kyberturvavastuu. Mutta vastuu ei voi jäädä yksin kyberturvajohtajalle. Vastuu kuuluu yhtä lailla myös hallitukselle ja toimitusjohtajalle.”
Parhaimmillaan kyberturvallisuus on osa organisaation strategiaa. Limnéll suosittelee, että kyberturvallisuuteen liittyviä asioista käsitellään säännöllisesti myös hallituksen kokouksissa: miten eri tilanteisiin on varauduttu, millaisia riskejä on tunnistettu ja mitä on odotettavissa tulevaisuudessa?
Kyberturvakulttuuri rakentuu arjessa – työntekijä on tärkein lenkki
Vaikka kyberturvallisuuden asioita kuuluu käsitellä johtoryhmässä asti, ei yksittäistä työntekijää sovi unohtaa. Kyberturvan perusta luodaan organisaation arjessa. Tutkimusten mukaan työntekijöiden osaamisen puute on suurin este kyberturvan onnistumiselle. Silti viestintä painottuu usein kieltoihin.
”Kyberturvallisuudesta pitää viestiä kannustavasti, ei vain vaaranpaikoista pelotellen. Toimiva käytäntö olisi, että kun joku ilmoittaa huijausviestistä IT-osastolle, hän saisi vaikka ilmaisen lounaan – tai papukaijamerkin”, Limnéll ehdottaa.
Virheiden tekeminen on inhimillistä. On tärkeää, että organisaatiossa on selkeä toimintamalli myös silloin, kun työntekijällä on tapahtunut vahinko.
”Koko organisaation kyberturvalle on vahingollista, jos syntyy kulttuuri, jossa virheitä peitellään. Virheistä pitää voida kertoa avoimesti ilman sanktioita. Näin virheistä päästään oppimaan yhdessä eivätkä ongelmat laajene piilottelun takia.”
Yhteistyötä organisaation ulko- ja sisäpuolella
Yhteistyö on kyberturvallisuuden kulmakivi. Organisaation sisäinen yhteistyö viestinnän, IT:n ja johdon välillä on aivan yhtä tärkeää kuin yhteistyö ulkopuolisten kumppaneiden ja viranomaisten kanssa. Myös julkisen ja yksityisen sektorin yhteistyön merkitys on korostunut.
”Kyberturvallisuus on joukkuepeliä. Se lähtee yksittäisestä käyttäjästä tai organisaatiosta, joka ilmoittaa huijauksesta, päätyen Kyberturvallisuuskeskukseen ja mediaan asti. Tiedonvaihto on elintärkeää.”
Tulevaisuudessa yhteistyön merkitys kasvaa entisestään. Tekoäly tuo tullessaan sekä uusia mahdollisuuksia mutta samalla myös entistä kehittyneempiä uhkia. Se muovaa huijauksista entistä vaarallisempia tekemällä niistä yksilöllisempiä ja uskottavampia. Perinteisten massahuijausten rinnalle on noussut tarkasti kohdennettuja viestejä, joissa hyödynnetään uhrin persoonallisuutta ja elämäntilannetta. Kvanttiteknologia tulee muuttamaan pelikirjan kokonaisuudessaan.
Limnéll antaa tärkeän vinkin johdolle
Nykypäivänä kyberturvallisuus ei ole vain teknistä tai operatiivista tekemistä. Aivan yhtä tärkeää on psykologinen varautuminen, hyvät viestintävalmiudet ja oikeat verkostot. Verkostojen yhteistyössä korostuu vahva keskinäinen luottamus.
Jos Limnéll saisi antaa yhden neuvon organisaatioiden johdolle kyberturvallisuuden saralla, se kuuluisi näin:
”Korvatkaa sana kyberturvallisuus sanalla luottamus. Kun johdossa mietitään, miten kyberturvaa kehitetään, miettikää sen sijaan: miten ylläpidämme asiakkaiden, kumppaneiden ja yhteiskunnan luottamusta?”
Miten suuret organisaatiot voivat varautua kyberuhkiin, rakentaa turvallisen verkkoinfrastruktuurin ja turvata liiketoimintansa jatkuvuuden? Kokosimme muhkean tietopaketin oppaan muotoon: lataa Tietoturvaopas suurille organisaatioille: Tee tietoturvasta strateginen kilpailuetu!
