Mika Susi bloggaa: Onko turvallisuus tarpeeton kuluerä vai tuottoisa investointi?

16.11.2016

Olemme nähneet melkoisen aallon erilaisia yrityksiin kohdistuvia verkkorikoksia ja huijauksia. Verkkorikollisuudesta ja -uhkista on tullut kaiken kokoisten yritysten arkipäivää. On toimitusjohtajahuijauksia, identiteettivarkauksia, kiristyshaittaohjelmia ja palvelunestohyökkäyksiä. Välillä voi olla vaikea hahmottaa mikä yritystä aidosti uhkaa ja miten siltä voisi suojautua?

Olemme jo vuosikymmeniä tottuneet investoimaan perinteiseen työturvallisuuteen suojavälineiden, kattavan koulutuksen sekä riskien kartoituksen ja arvioinnin avulla. Panostukset ovat usein kannattaneet ja niiden vaikutukset ovat olleet laajoja ja koko yhteiskuntaan heijastuvia. Miksi emme siis osaisi tehdä vastaavaa nykyisessä digitaalisessa ympäristössä?

Kustannukset kasvussa

Kyberrikollisuuden yrityksille aiheuttamien kokonaiskustannusten on arvioitu nousevan moninkertaisiksi lähivuosien aikana. Ikävien tapahtumien keskimääräinen kustannus on kasvussa. Joissakin tapauksissa turvallisuuden (tai turvattomuuden) kustannukset ovat osoittautuneet huikeiksi: Yahoon taannoin ilmi tullut tietomurto johti tilanteeseen, jossa sen ostajaehdokas Verizon lähti asian tultua ilmi pudottamaan huomattavasti aiempaa ostotarjoustaan. Viime kädessä kyse oli siis yhtiön arvosta ja arvostuksesta. Valitettavasti näyttää siltä, että olemme tilanteessa, jossa artisti (eli uhri) maksaa viulut.

Pienten yritysten kannalta tilanne ei ole helppo, koska turvallisuuteen investoiminen ei välttämättä ole ollut huolista suurimpia. Aika ei riitä, kustannukset pelottavat ja mahtaako se lopulta edes kannattaa? Turvallisuuden ei välttämättä nähdä maksavan vaivaa. Samalla on muistettava, että verkkorikolliset ovat olleet viime aikoina erityisen kiinnostuneita pienistä yrityksistä. Pk-yrityksiin kohdistuvien erilaisten huijausyritysten ja tietomurtojen määrä on suorastaan räjähtänyt, koska rikolliset arvioivat niissä vallitsevan heikomman uhkatietoisuuden ja torjuntajärjestelmien puuttuvan. Esimerkiksi kiristyshaittaohjelmien tehtailusta kasvoi globaalisti miljardiluokan bisnes, jonka uhreina oli erityisesti pieniä yrityksiä ympäri maailmaa.

Suurimpia ja joidenkin kriittisten alojen yrityksiä piinaavat verkkorikollisten lisäksi valtiolliset hakkerit. Huolella räätälöidyn hyökkäyksen keskimääräinen havaitsemisaika on tällä hetkellä huomattavan pitkä. Suojautuminen tällaisia toimijoita vastaan on todella vaikeaa. Monissa tapauksissa voidaan jo sanoa, että kyse ei ole siitä joudutko kohteeksi, vaan siitä milloin se tapahtuu. Se taas tarkoittaa, että käsistämme karkaa jatkuvasti potentiaalisia tuottoja ja T&K-investoinneista ei saada hyötyjä irti. Kaikki tämä heijastuu merkittävästi myös kansantalouden tasolle: menetämme vuosittain melkoisen määrän työpaikkoja ja verotuloja.

Torju potentiaalisia tappioita kustannustehokkaasti

Investointien onnistumista ja tehokkuutta voidaan hahmottaa vaihtoehtokustannusten kautta. Yrityksen koko tuotantoprosessi pysähtyi useaksi päiväksi, salaiset tuotekehitystiedot anastettiin tai luottamuksellisia asiakastietoja valui julkisuuteen, jolloin mainetappio karkotti asiakkaita. Mitä nämä tapahtumat lopulta maksoivat? Kuinka paljon tilanteen korjaaminen maksoi? Miten asiakkaat reagoivat? Entä sopimussakot tai muut taloudelliset seuraamukset? Mitkä olisivat olleet keinot, jolla olisi voitu estää tapahtuma tai vähentää sen negatiivisia seurauksia?

Turvallisuuden kustannuksissa on siis pitkälti kyse investoinneista ja potentiaalisista tappiosta. Kuten tunnettua, investointi kannattaa, jos sen hyödyt ylittävät haitat. Ihanteellisen turvallisuusinvestointitason arvioimiseksi on siksi luotu erilaisia malleja, joiden avulla panostusten tasapainoa ja tehokkuutta voidaan hahmottaa. Alla on esimerkki tietoturvallisuusinvestointien panos-tuotos -mallista.

Yrityksiltä odotetaan aiempaa enemmän turvallisuutta ja vastuullisuutta

Valitettavan usein sivuutettu turvallisuuden ulottuvuus on maine. Rikoksen uhriksi joutuminen on yritykselle aina vaikea tilanne. Asiakkaiden, sidosryhmien ja jopa yksittäisten ihmisten odotukset yrityksien toimintaa kohtaan ovat kasvaneet huomattavasti. Yrityksiltä odotetaan nykyisin yhä enemmän turvallisuutta ja vastuullisuutta. Eikä trendi suinkaan ole laskusuunnassa.

Turvallisuudessa pelkällä tuurilla ei pärjää pitkälle. Oman elämäntyön tuhoutumista ei siksi kannata jättää yhden väärän klikkauksen varaan. On tärkeää tunnistaa yrityksen toiminnan kannalta elintärkeät prosessit ja korvaamattomat tiedot sekä muodostaa suojauspanostuksista kustannustehokas kokonaisuus.

Se, muodostuuko turvallisuudesta yritykselle turha kustannuserä vai tuottoisa investointi, on lopulta sen omissa käsissä. Turvallisuus ei ole yritykselle automaattinen tai kiveen hakattu itseisarvo. Siksi sitä ei kannata tehdä vain turvallisuuden vuoksi, vaan sitä pitää tehdä menestymisen varmistamiseksi.

Viikon kysymys: Mitä on kyberturvallisuus? (Wikipedian määritelmä)

Viikon graafi: (tästä voit katsoa animaation uudelleen…)