Artikkeli

Digitalisaatio ja koronapandemia vauhdittavat finanssialan kyberturvallisuustarpeita

Minkälaisia kyberturvallisuussuunnitelmia finanssialan yrityksissä tänä päivänä on ja miten niitä hallinnoidaan? Minkälaisia valintoja niissä tehdään organisaatio- ja kulutusmallien, ulkoistamisen tai investointiprioriteettien suhteen? Tämä selviää Deloitten ja FS-ISAC:in finanssitoimialalle tekemästä selvityksestä. Raportissa kiinnitetään huomiota myös suurten finanssialan yritysten keskeisiin kyberriskien hallinnointitrendeihin ja tarkastellaan COVID-19-pandemian seurauksia.

Kyberuhat ja -hyökkäykset eivät ole enää ainoastaan teknologinen riski

Finanssialan yrityksissä on siirrytty jo lähes täysin digitaalisiin toimintoihin. Näin on pyritty lisäämään tehokkuutta ja vastaamaan asiakkaiden lisääntyneisiin odotuksiin. Viimeisen kolmen vuoden aikana kyberturvallisuuden asema on osittain myös tämän vuoksi korostunut, ja finanssialan yritykset ovat kasvattaneet siihen käytettäviä resurssejaan. Kyberturvallisuudessa on monessa yrityksessä ollut myös yritysjohto ja hallitus aiempaa tiiviimmin mukana. Muutostahti on vaihdellut riippuen yrityksen muutosvalmiudesta, ketteryydestä ja koosta.

Monet yritykset ovat viime kuukausina joutuneet tehostamaan digiponnistelujaan entisestään koronapandemian takia. Yhtäkkiset muutokset ovat aiheuttaneet haasteita tietoturvavastaaville ja yritysten digitaalisesta kestävyydestä vastaaville kyberturvallisuustiimeille: kyberrikolliset pyrkivät hyödyntämään laajenevaa teknologian jalanjälkeä ja ovat aktivoituneet etsimään hyökkäyksille alttiita rajapintoja. Jo huhtikuussa New Yorkin Rahoituspalveluosasto (Department of Financial Services) viittasi merkittävään COVID-19-pandemiaan liittyvään kyberrikollisuuden kasvuun.

Digitalisaatiotahdin kasvaessa, on yritysten jatkossakin investoitava kyberturvallisuuteen ja -kapasiteettiin. Monesti kyberturvallisuustoimet integroidaan yrityksen digitalisaatioprosessiin ja kyberturvallisuus sulautetaan osaksi muutoshankkeita.

 

Tutkimuksen päähavainnot:
  • Kyselyyn vastanneet ilmoittivat kyberturvallisuusmenojen kasvaneen. Menoista yli 50 % suuntautui identiteetin- ja pääsynhallintaan, kyberseurantaan ja -toimintaan sekä päätelaite- ja verkkoturvallisuuteen. Vastaajat käyttivät keskimäärin noin 10,9 % IT-budjetistaan kyberturvallisuuteen, joka oli keskimäärin vain noin 0,48 % yrityksen tuloista/liikevaihdosta. Menojen kasvusta huolimatta budjettimäärärahat ovat pysyneet pääosin vakaina kolmen tutkimusvuoden aikana.
  • Yritysten hallitukset ovat yhä kiinnostuneempia ymmärtämään kyberturvallisuuden teknisiä näkökohtia. Vastaajilla, jotka arvioivat yrityksensä kybervalmiutensa olevan kehittyneempää, oli myös yrityksen hallitus ja johtoryhmä kiinnostuneempia kyberturvallisuudesta verrattuna niihin yrityksiin, joissa kyberriskien hallintamallit olivat vähemmän kehittyneitä. Tämä korostaa hallituksen sitoutumisen merkitystä yrityksen kyberturvavalmiuteen.
  • Vastaajien mukaan suurimpia kyberturvallisuuteen liittyviä haasteita ovat olleet IT-alan nopeat muutokset ja sen lisääntyvä monimutkaisuus. Voidakseen tehokkaasti hallita kyberriskejä yritysten tulisi harkita kybertoiminnon digitaalista mahdollistamista laajemmin jo IT-palveluiden kehittämisprosessissa. Sisään rakennetun turvallisuuden periaatteiden noudattaminen teknologian kehittämisen aikana voisi myös edesauttaa turvallisempien tuotteiden kehittämistä finanssialan yrityksissä.
  • Enemmistö suurten finanssialan yritysten vastanneista oli sitä mieltä, että kyberturvallisuus on usein osa IT-toimintoja: tyypillisesti tietoturvajohtaja (CISO) raportoi tietohallinto- (CIO) tai teknologiajohtajalle (CTO). Tutkimukseen osallistuneista suurten finanssialan yritysten tietoturvajohtajista 62 % raportoi joko tietohallinto- tai teknologiajohtajalle. Se oli merkittävästi useammin kuin edellisenä vuonna (38 %). Vaikka kyberturvallisuus olisikin osa informaatioteknologiaa, sillä ei ole välttämättä tarvittavaa näkyvyyttä tai yhteyttä liiketoiminnan osa-alueisiin. Vaikka tietoturvajohtajat raportoivat tietohallintojohtajille, suhteet muihin sidosryhmiin saattavat olla merkittävämmässä asemassa, kun etsitään tasapainoa liiketoiminnan riskien ja painopisteiden välillä. Yritykset saattavat haluta säilyttää tietyn riippumattomuuden kyberturvallisuusasioissa, millä voidaan paremmin varmistaa se, että IT-rajoitteet eivät heikennä riskinhallintapäätösten asemaa.
  • Vastaajien mukaan uudet teknologiat kuten pilvipalvelut, data-analyysi ja robottiautomaatio ovat kyberturvallisuusinvestointien tärkeimpiä kohteita. Suurten finanssialan yritysten vastaajat kertoivat, että viimeisten kolmen vuoden aikana he halusivat investoida uusista teknologioista eniten pilviteknologiaan. Monien suurten yritysten IT-infrastruktuurista merkittävä osa on jo pilvessä, seuraavaksi sinne ollaan siirtämässä ydinliiketoiminnan sovelluksia. Monet myös kehittävät digimaailman uusia sovelluksia suoraan pilveen. On kuitenkin syytä muistaa, että samalla kun entistä enemmän dataa ja sovelluksia siirtyy perinteisen turvallisuusympäristön ulkopuolelle, kyberhyökkäysten riski kasvaa. Yritykset pyrkivät usein ensimmäisinä markkinoille uusien teknologioiden tai palveluidensa kanssa, jolloin innovaatioiden on oltava nopeita ja joustavia menestyäkseen. Yritysten tulisi kuitenkin toimia huolellisesti suunnitellessaan, kehittäessään ja käyttäessään uusia innovaatioita, sillä kyberturvallisuusuhkia voi tulla esiin missä vaiheessa tahansa.
  • Digitalisaation ja etätyön lisääntyessä, myös rajat työntekijöiden, asiakkaiden, alihankkijoiden ja kumppaneiden/myyjien välillä hämärtyvät. Käyttäjiä, dataa, verkostoja ja laitteita on kaikkialla. ”Zero trust” -konseptia on alettu käyttää sovellettaessa pienimmän valtuuden periaatetta (least privilege) uudenaikaisissa yrityksissä, jotka kamppailevat näiden kaikkialla läsnä olevien verkkoalueiden kanssa. Etätyötä tehdään selvästi enemmän kuin ennen, minkä seurauksena videokonferenssi- ja yhteistyösovellusten käyttö on lisääntynyt räjähdysmäisesti. Nämä muutokset saattavat jäädä pysyviksi, kun yritysten toiminta elpyy: Deloitten raportti osoitti, että monet alan yritykset harkitsevat etätyön teettämistä jatkossakin. Alan markkinajohtajien kanssa käytyjen keskusteluiden perusteella yritykset saattavat pitää ainakin 30 % työntekijöistä jatkossakin etätöissä.



Koronapandemian jälkeen kulujen leikkaamisesta tulee entistä tärkeämpää ja monilla yrityksillä on paineita vähentää menojaan. Tämä saattaa johtaa esimerkiksi työvoiman uudelleenjärjestelyyn, toimistotilojen supistamiseen lisääntyneen etätyön takia, sekä automaation tai pilvikapasiteetin laajempaan käyttöön. Operatiivisten toimien kustannusten leikkaamiseen tähtäävien toimien vaikutusta kyberturvallisuuteen on kuitenkin arvioitava tarkkaan.


Tutkimuksesta:
Kolmena peräkkäisenä vuonna Deloitten Cyber & Strategic Risk Services -liiketoiminta-alueet sekä Financial Services Information Sharing and Analysis Center (FS-ISAC) haastattelivat FS-ISAC:in jäseniä heidän valmiuksistaan käsitellä kyberhaasteita. Joka vuosi keräämme ja esittelemme tutkimustulokset niiden julkaisuvuoden mukaan - 2020, 2019 ja 2018.
 

Oliko tieto hyödyllistä?