Artikkeli
Kumppaniverkostojen aiheuttamat tietoturvariskit ovat nousussa
Yhä useampi yritys on ulkoistanut osan tietoturvatoiminnoistaan tai käyttää kumppaneita, jotta sen toimitusketju olisi tehokkaampi tai kilpailukykyisempi. Moni organisaatio käyttää kumppaneita myös tiedonkeruuseen tai sen säilytykseen – usein kumppaniverkostoon liittyvät riskit ja riippuvuudet kuitenkin tunnetaan puutteellisesti.
30.8.2021
Kaikki kumppaneilla oleva tieto ei ole arkaluontoista, mutta tietoja yhdistämällä voidaan yksilöstä muodostaa melko tarkka kokonaisuus. Henkilötiedot ovat lain nojalla suojeltuja ja yrityksellä on aina vastuu niiden asianmukaisesta säilyttämisestä – on heillä apunaan kumppani tai ei.
Organisaatiot monesti uskovat niihin kohdistuvien riskien olevan hallinnassa – todellisuudessa organisaatioihin kohdistuu merkittäviä riskejä erityisesti ulkoisista toimijoista, joita ei välttämättä ole tunnistettu tai arvioitu. Tämä on melko tyypillinen tilanne yrityksissä, joissa kumppaniverkoston riskienhallintaa ei olla arvioitu holistisesti. Erityisesti kyberriskien osalta toimintaympäristö muuttuu nopeasti.
Yleensä havaitsemme puutteita siinä, miten hyvin organisaatiot tuntevat kumppaniverkostonsa sekä niihin liittyvät riskit ja riippuvuudet.
Esimerkiksi kumppanin tietoturvan taso saattaa olla täysin pimennossa, vaikka kumppani on yrityksen toimitusketjun kannalta kriittinen. Yritys on vastuussa mahdollisista tietomurroista toimitusketjuissa, mutta se ei välttämättä ole tietoinen siellä vaanivista tietoturvariskeistä. Asiakasyrityksellä ei välttämättä ole tiedossa esimerkiksi sitä, millaisia järjestelmiä kumppanit käyttävät tai mitkä ovat kumppaneiden valmiudet kyberuhkien varalta. Tämä tekee kumppaniverkostoista helppoja kohteita kyberrikollisille, sillä niiden avulla voi olla helpompi päästä käsiksi kohdeyritykseen. Moni yritys on itse turvannut kriittiset toimintonsa kyberuhkien varalta ja kumppaniverkosto on monesti heikompi lenkki.
Kuluttajien odotukset ovat kasvaneet jo vuosikymmenen ajan muun muassa palvelunlaatua ja asiakaskokemusta kohtaan. Viimeisinä vuosina myös yritysten vastuullisuusasiat ovat nostaneet päätään. Nyt kuluttajat vaikuttavat valveutuneemmilta myös oman tietoturvansa suhteen. Kuluttajien luottamuksen ollessa tietoturvaan yhä vahvaa, tulee palveluntarjoajien ja toimijoiden pohtia tarkkaan, miten siihen voidaan vastata myös jatkossa. Jokaisen toimijan vastuulla on varmistaa ja ylläpitää käyttämiensä teknologioiden tietoturvallisuutta, myös alihankintaketjunsa osalta. Kumppaneiden virheet voivat tulla toimijalle kalliiksi.
Loppujen lopuksi yritys maksaa myös kumppaniverkostossaan ilmenevistä ongelmista, sillä vaikka toimija olisi ulkoistanut kumppanilleen esimerkiksi yrityksen asiakastietojen säilytyksen, vastuu niiden tietoturvasta on yrityksellä itsellään. Kun painetta ja odotuksia kasaantuu kuluttajien suunnalta, kannattaa yritysten kunnostautua kumppaniverkostonsa suhteen.
Selvityksemme mukaan nuorista aikuisista Suomessa jopa 24 % selvittää ennen palveluntarjoajan valintaa tai ostopäätöstään, kuinka toimija jakaa niillä yksilöistä hallussaan olevia tietojaan eteenpäin. Pyysimme vastaajia miettimään arkipäiväsiä valintojaan, kuten esimerkiksi käyttäessään ruokakaupan bonusjärjestelmää, vaatekaupan sovelluksia tai varatessaan aikaa parturi-kampaamoon.
Kyselytulos osoittaa, että yllättävän moni kuluttajista tarkistaa sen, miten yritys jakaa hallussaan olevaa tietoa omille kumppaneilleen tai muulle verkostolleen. Tähän varmasti osittain vaikuttaa mediassa käytävä keskustelu – tietomurrot ovat myös Suomessakin merkittävästi yleistyneet. Niiden kautta myös uhrien määrä on kasvussa ja yleinen tietous aiheeseen on parantunut. Lisäksi sosiaalinen media on ollut jo pitkään suurennuslasin alla, sillä osa yhtiöistä on suhteellisen avoimesti kertonut myyvänsä hallussaan olevaa dataa.