Kyberrikollisuus on kasvava ongelma, joka vaatii jatkuvaa varautumista talous- ja maineriskien pienentämiseksi. Mitä yhtiön hallituksen sitten pitäisi tehdä organisaation suojaamiseksi?
Kun Facebookin toimitusjohtaja ja hallituksen puheenjohtaja Mark Zuckerberg astui lehdistön eteen hakkerien varastettua 50 miljoonan Facebook-käyttäjän tietoja viime syyskuussa, hän totesi: ”Meidän täytyy tehdä enemmän, jotta tämä ei toistuisi.”
Tämä tyypillinen vastaus kuvastaa hyvin toimitusjohtajien reaktiota, kun tietomurto on jo päässyt tapahtumaan. Zuckerberg sai pitää päivätyönsä, mutta yhtä hyvin ei käynyt Equifaxin toimitusjohtajalle, jonka johtamasta luottotietoyhtiöstä varastettiin 693 000 ihmisen henkilötietoja Isossa-Britanniassa vuonna 2017.Useimpien hallitusten ongelma kyberhyökkäyksen ja tietomurron jälkeen on se, että ne eivät pysty tekemään juurikaan muuta kuin pyytelemään anteeksi.
Facebook ja monet muut kyberhyökkäyksen kohteeksi vuonna 2018 joutuneet yhtiöt tuntevat vaikutukset edelleen nahoissaan: ne ovat menettäneet tuloja ja asiakkaita, saaneet sakkoja (Ison-Britannian dataviranomainen ICO määräsi Facebookille 500 000 punnan sakot) ja kärsineet maineen menetyksestä. Tietomurto aiheuttaa yritykselle keskimäärin 3,86 miljoonan dollarin kustannukset. Yhdellekään yritykselle – edes Facebookille – ei riitä se, että ”tehdään enemmän” ja odotetaan sen riittävän tulevien hyökkäysten estämiseksi.
Yritysjohdon päätöksenteossa tulisi tiedostaa kyberturvallisuusuhkien vakavuus ja tunnistaa, miten resursseja voidaan hallita tehokkaasti riskien torjumiseksi.
Jos vuosi 2018 todisti jotakin, niin sen, että kaikki ihmiset ja yritykset ovat kohteita, hakkerit ovat sinnikkäitä ja virheitä tapahtuu. Tämän vuoksi ennusteiden luvut jatkavat kasvuaan. Cybersecurity Ventures on ennustanut Official 2019 Annual Cybercrime Report -raportissaan, että kyberrikollisuuden aiheuttamat kustannukset nousevat vuoteen 2021 mennessä maailmanlaajuisesti 6 biljoonaan dollariin vuodessa, mikä on kaksi kertaa enemmän kuin vuonna 2015. Samanlaisia ennusteita on useita.
”100-prosenttista tietoturvaa ei ole olemassakaan”, sanoo Mark Camillo, AIG:n kyberturvallisuusjohtaja EMEA-alueella. Yritysjohdon päätöksenteossa tulisi tiedostaa kyberturvallisuusuhkien vakavuus ja tunnistaa, miten resursseja voidaan hallita tehokkaasti riskien torjumiseksi. Kulttuuri pitää luoda ylhäältä alaspäin: kun yritysjohto ottaa asian vakavasti ja toimii, myös muu organisaatio tekee niin. Tärkeintä on olla valmistautunut kaikkien uhkakuvien varalta.
Kyberturvallisuussuunnitelman pitää sisältää ratkaisujen lisäksi ennaltaehkäiseviä toimenpiteitä. Jos yrityksessä hyväksytään, että se jossain vaiheessa todennäköisesti joutuu tietomurron kohteeksi, painopisteen tulee olla yritystoiminnan jatkuvuudessa ja palauttamisessa ennalleen. Yhdenkään yhtiön hallitus ei halua nähdä kovan työnsä valuvan hukkaan muutamassa päivässä kyberiskun vuoksi.
Jokaisella yrityksellä tulisi olla kyberturvallisuussuunnitelma, jonka avulla varmistetaan, että koko organisaatio vetää yhtä köyttä iskujen ehkäisemisessä ja tietää myös, miten tietomurron jälkeen toimitaan. Kattava suunnitelma tietojen, verkkojen ja laitteiden suojaamiseksi ei jätä mitään sattuman varaan.
Kyberturvallisuussuunnitelman pitää kattaa neljä osa-aluetta: määräysten noudattaminen, infrastruktuurin suojaus, palauttaminen ennalleen ja työntekijät.
Suunnitelman laatiminen auttaa yhtiön hallitusta suuntaamaan ajatukset kyberturvallisuuteen. Kyberturvallisuus ei ole enää pelkästään asiantuntijoiden kenttää, joka koskettaisi vain IT-osastoa tai tietoturvajohtajaa. Tietomurto voi vaikuttaa koko organisaatioon ja ajaa sen jopa konkurssiin. Kyberturvallisuuskoulutus onkin välttämätöntä kaikille yrityksen työntekijöille, koska suurin uhkatekijä ovat inhimilliset virheet. Experianin laatiman Managing Insider Risk Through Training and Culture -raportin mukaan 66 prosenttia tietoturva- ja tietosuojakouluttajista sanoo, että yrityksen heikoin lenkki ovat sen työntekijät.
Yritysten on nykyään suojauduttava kyberhyökkäysten aiheuttamilta riskeiltä aiempaakin tehokkaammin niin fyysisesti, virtuaalisesti kuin taloudellisestikin. Siirtämällä riskin vakuuttajalle yhtiön hallitus voi rakentaa vankan riskistrategian.
Usein on vaikea tietää, mistä aloittaa, mutta riskejä on mahdollista mitata. Vakuutusyhtiö tai -välittäjä voi mallintaa yrityksen riskit ja arvioida vakuutusmaksun suuruuden nykyisen riskitason valossa. Lisäksi yritys saa suosituksia riskiluokituksensa parantamiseen.
”Mallinnamme riskit ja tutkimme hyökkäyksen todennäköisyyden, vakuutustiedot, sisäiset tarkastukset ja vastaavat. Näin muodostamme kuvan yrityksen riskeistä”, sanoo AIG:n Camillo ja lisää, että näiden tietojen pohjalta voidaan muodostaa myös vertailukohta vertikaalisia sektoreita varten. ”Tämä auttaa myös mallintamaan riskikustannuksia ja antamaan yrityksille selkeämmän käsityksen siitä, mitä niiden täytyy tehdä riskien ja vakuutusmaksujen pienentämiseksi.”
Vaikka vakuuttaminen on yksi yritysten suurimpia turvaverkkoja, sitä yllättävää kyllä käytetään vain vähän kyberturvallisuusriskien varalta. Digitaalinen tutkimusyritys Ovum teki viime vuoden elokuussa kyselyn, jonka mukaan vain 38 prosentilla yrityksistä oli kaikenkattava kybervakuutus. Kysely paljasti lisäksi, että yrityksissä ei ole riittävää ymmärrystä kyberhyökkäysten vaikutuksista organisaatioon.
Riskiarviointi auttaa kouluttamaan sekä yhtiön hallitusta että johtoa, jolloin yrityksen tietoisuus tietoturvan merkityksestä kasvaa.
Riskiarviointi auttaa kouluttamaan sekä yhtiön hallitusta että johtoa, jolloin yrityksen tietoisuus tietoturvan merkityksestä kasvaa. ”Riskiarviointi on välttämätön työkalu, joka antaa yrityksille läpinäkyvyyttä ja tärkeää tietoa. Se toimii lähtökohtana kattavammalle suojaukselle, johon voi sisältyä myös tietoturvaloukkauksiin reagoiminen, niiden tutkinta sekä lainopillinen ja PR-tuki kriisinhallinnan ammattilaisilta”, AIG:n Camillo sanoo.
PwC:n hiljattain julkaiseman raportin mukaan tämä on tulevaisuutta, ja organisaatiot ovat jo heräämässä kasvavaan uhkaan ja etsimässä siihen ratkaisuja. PwC arvioi, että vuosittain maksettavien kybervakuutusmaksujen määrä nousee tämänhetkisestä 2,5 miljardista dollarista 7,5 miljardiin dollariin vuosikymmenen loppuun mennessä. ”Eri sektorien yritykset alkavat ymmärtää kybervakuutuksen tärkeyden nykypäivän monimutkaistuvassa ja riskialttiissa digimaailmassa”, raportissa todetaan.
Ongelmana on kuitenkin se, miten yhtiön hallitus pystyy tunnistamaan oikeasti toimivat kybervakuutukset, jotka eivät ole vain kalliita päälle liimattuja ratkaisuja. Ovumin tutkimuksen mukaan 62 prosenttia yhdysvaltalaisyrityksistä epäili, ettei kybervakuutuksen tarjoaja ollut määritellyt vakuutusmaksua paikkansa pitävän riskianalyysin perusteella. Sekä vakuuttajilla että vakuutuksenottajilla on tästä opittavaa, ja jatkossa riskimallinnusta täytyy laajentaa.
Kuten muillakaan asiantuntijavakuutussektoreilla, myöskään kybervakuutuksissa ei voi odottaa yleisvakuutuksen kattavan yritysten erilaisia tarpeita. Vakuutusturva pitää räätälöidä niin, että se kattaa välittömät tarpeet tietomurron tapahduttua. Apua täytyy olla saatavilla 24/7 ja vakuutuksen täytyy kattaa tutkinnasta ja sakoista aiheutuvia kuluja, suojata yritystä tietojen palauttamisen aiheuttamilta valtavilta kuluilta ja auttaa lieventämään mainehaittojen lisäksi myös tulonmenetyksiä.
Asiakkaiden ja alihankkijoiden luottamus on elintärkeää yrityksen menestymiselle. Harvalla jos yhdelläkään yrityksellä on varaa vaarantaa tätä luottamusta. Tietomurroissa yksi suurimmista ellei suurin uhka tälle luottamukselle on arkaluontoisten tietojen mahdollinen vuotaminen. Tämä korostaa korjaavien toimenpiteiden, vakuuttamisen ja usein aliarvostetun mielenrauhan merkitystä.
Tämä artikkeli on julkaistu alun perin Board Agenda -lehdessä.