Voisiko se sattua meille? Markku Rajamäki kirjoittaa, mitä yritysjohdon pitää tietää tietoturvallisuudesta

Viime viikolla julkisuuteen noussut Vastaamon tapaus on varmasti herättänyt monissa yrityksissä kysymyksiä ja tarpeen varmistella oman tieto- tai kyberturvallisuutensa tasoa.

Kaikilla yrityksessä on rooli tietoturvallisuudessa, mutta johdon rooli on näistä keskeisin, koska sen tehtävä on luoda puitteet ja mahdollistaa tietoturvan toteutuminen käytännössä.

Jos olisin yritysjohtaja ja yritykseni tietoturvan taso valvottaisi minua öisin, keskittyisin tekemisissäni toisaalta lyhyen aikavälin tarkistustoimiin, toisaalta pidemmän aikavälin kehittämiseen.

Nyt heti

Täydellistä turvallisuutta ei ole, mutta lyhyellä aikavälillä olisi tärkeää varmistaa ainakin se, ettei oma yritys näyttäydy liian helppona kohteena. Niitä esimerkiksi verkkorikolliset etsivät. Sen vuoksi:

  1. Tunnistaisin tärkeimmät yrityksessä käsiteltävät tiedot ml. henkilötiedot ja keskittyisin ensisijaisesti niihin.
  2. Varmistaisin, että tärkeät tiedot ml. henkilötiedot ovat järjestelmissä ’useamman lukon takana’. Osana tätä varmistaisin myös, ettei järjestelmissä käytetä oletusarvoisia salasanoja, vaan että kaikki käytettävät salasanat ovat riittävän vahvoja ja että kaikilla asemasta riippumatta on pääsy vain siihen tietoon, mihin heillä on tehtävissään tarve. Helposti käy niin, että esim. tehtävänvaihdosten yhteydessä ei poisteta pääsyä siihen tietoon, mitä ei uudessa tehtävässä enää tarvitse.
  3. Pitäisin yrityksen järjestelmät päivitettyinä.
  4. Varmistaisin, että tärkeät tiedot on varmuuskopioitu ja että palautusprosessi myös toimii.
  5. Varmistaisin, että reaktiiviset prosessit ovat kunnossa ja kuvattu: miten toimisimme, jos tietoturvaloukkaus tai muu vakava poikkeama kuitenkin sattuisi meille. Siinä hetkessä toiminnan pitää alkaa oikeassa järjestyksessä ja nopeasti. Prosessikuvien piirtämiseen ei jää aikaa.

Ajan kanssa

Tietoturvan kehittäminen on enemmänkin pitkän matkan juoksua kuin satasen sileä. Pitkälle matkalle tarvitaan strategia, suunnitelma siitä, mihin halutaan päästä ja miten.

Ensimmäisenä kannattaa hylätä mahdolliset ajatukset siitä, ettei meillä ole kiinnostavaa tietoa tai ettei meille ole ennenkään sattunut mitään. Verkkorikollisuus ei tunne rajoja. Se, mikä tapahtuu ulkomailla, voi tapahtua täälläkin ja jos ei tunne, mikä on suojaamisen arvoista, sitä ei voi suojata.

Jotta voisi suunnitella, mitä pitäisi kehittää, pitää luonnollisesti ymmärtää nykytila suhteessa edellytettävään tasoon. On ymmärrettävä, mitkä ovat oman toimialan vaatimukset, ja siltä osin kuin ne eivät edellytä jotain, on ymmärrettävä yleiset vaatimukset, esim. mitä Euroopan yleinen tietosuoja-asetus (GDPR) edellyttää henkilötietojen käsittelyltä. Malleja nykytilan arviointiin on olemassa monia, mutta Kyberturvallisuuskeskus julkaisee näillä näkymin aivan lähipäivinä kybermittarin, jota voi käyttää tässä arvioinnissa.

Tietoturvallisuus on osa riskienhallintaa. Se on koko organisaation laajuinen ja myös strateginen asia, joka linkittyy riskienhallinnan kokonaisuuteen. Se ei ole ensisijaisesti tekninen asia tai ”vain ICT:n vastuulla”, vaan sen on katettava niin teknologiset kuin fyysisetkin ympäristöt ja prosessit. On myös ymmärrettävä, että tietoturvallisuudella on merkittävää vaikutusta yrityksen maineeseen ja juridisia seuraamuksia, mikäli asiat menevät pieleen.

Yrityksen kannattaa luoda systemaattinen tapa tarkastella riskejään, jonka osana myös tietoturvallisuusriskit arvioidaan. Sen taso kuitenkin voi vaihdella yrityksen toimialan ja koon sekä kompleksisuuden mukaan. Yksinkertaisin mahdollinen on yleensä myös toimivin.

Tietoturvallisuutta pitää rakentaa pitkäjänteisesti, kaiken aikaa. Se ei ole kertaprojekti. Johdon tehtävä on vaatia ja valvoa, mutta myös varmistaa onnistumisen edellytykset: toteuttamiseen tarvitaan sekä asiantuntemusta että rahaa. Koska aikaa ja rahaa ei ole rajattomasti, kehitystehtävät on pakko myös priorisoida. Jos organisaation oma asiantuntemus ei riitä, sitä pitää ostaa. Suomessa on saatavilla hyvää asiantuntemusta näihin tarpeisiin.

Tietoturvallisuus ei synny kaupanpäällisenä tai sivutuotteena, mutta jos se on kunnossa, myös laatu on yleensä parempi. Uusia tuotteita, palveluita ja prosesseja kehitettäessä tietoturvallisuusriskit pitääkin huomioida, kuten mitkä tahansa muutkin ominaisuudet, osana tuotetta, palvelua tai prosessia sekä keskeisinä laatuun vaikuttavina tekijöinä. Puhutaan käsitteistä privacy/security by design and default – sisäänrakennettu ja oletusarvoinen tietosuoja / turvallisuus.

Virheet ja poikkeamat on analysoitava, jotta kehityskohdat löydetään ja kyetään korjaamaan vastaisen varalle. Jokainen yritys tekee virheitä näissä asioissa ja mikään yritys ei ole täydellinen, mutta parhaiten pärjää tässäkin se, joka oppii omista ja muiden virheistä ja seuraa myös tietoturvamaailman tapahtumia ja signaaleja ja ottaa niistäkin opikseen.

Lopuksi mutta pidemmän päälle ehkä kaikkein tärkeimpänä asiana: Kaikilla toimilla rakennetaan myös riskienhallinta- ja turvallisuuskulttuuria. Henkilöstön jatkuva koulutus on tässä tärkeä elementti, koska aina tekniset kontrollitkaan eivät toimi, jos käyttäjät eivät niitä oman tehtävänsä kannalta riittävällä tavalla ymmärrä. Pitää siis huolehtia myös siitä, että henkilöstö on tietoturvallisuuden suhteen oman tehtävänsä vaatimusten tasolla.