Näkökulmia

Kyberturvallisuus kuuluu jokaisen talousjohtajan agendalle

Blogi: Karthi Pillay

7.6.2018  – Yritykset joutuvat yhä ovelampien ja tehokkaampien kyberhyökkäysten, tietomurtojen sekä kiristyshaittaohjelmien kohteiksi. Tietoverkkoihin kytkettyjen laitteiden määrän ennustetaan kasvavan kymmeniin miljardeihin vuoteen 2020 mennessä, altistaen yritykset entistä vaarallisemmille kyberhyökkäyksille. Kyberturvallisuus kuuluu ehdottomasti jokaisen johtoryhmän ja talousjohtajan agendalle maailman digitalisoituessa.

Tässä blogissa avaan kyberturvallisuutta talousjohtajan (CFO) näkökulmasta ja mitä se tarkoittaa käytännössä. Kyberturvallisuus liittyy tosiasiassa kaikkeen CFO:n toimintaan. Ilman riittävää tietoturvaa liiketoiminnan jatkuvuus ja koko olemassaolo on uhattuna, sillä hakkerit, tietorikolliset ja valtiolliset toimijat toimivat yhä ammattimaisemmin. Yrityksistä varastetaan arvokasta dataa, ja taloudelliset menetykset voivat olla todella mittavia.

Yrityksiä on vain kahdenlaisia: niitä, joihin on jo tehty kyberhyökkäys sekä niitä joihin tullaan hyökkäämään. Kumpaan sinun yrityksesi kuuluu?  

Suuria tappioita ja mainehaittaa

Kerron tositarinan hyökkäyksen kohteeksi joutuneesta yrityksestä. Tarina on yksi monista. Globaalisti toimivassa yrityksessä havaitaan tietomurto. Ensimmäisenä päivänä ollaan siinä uskossa, että teknologiatoimittajalla on siihen ratkaisu. Seuraavana päivänä käy ilmi, että kyseessä on vakava tietomurto, johon ei löydy nopeaa ratkaisua. Neljäntenä päivänä ollaan tilanteessa, jolloin tietokoneet, palvelimet ja tietojärjestelmät eivät enää toimi. Mikään ei toimi!  

Viisi päivää murron alkamisesta käy ilmi, että yritys on menettänyt kymmeniä tuhansia tietokoneita ja tuhansia palvelimia. Laitteet ja niillä olevat tiedot ovat tuhoutuneet. Yrityksessä pohditaan jo sitä, voiko se enää palautua hyökkäyksestä. 8-12 päivää murron alkamisesta yrityksessä tehdään paljon toimenpiteitä järjestelmien palauttamiseksi, mutta tuloksia ei saada aikaan. Tunnelin päässä näkyy ensimmäisen kerran valoa vajaan kahden viikon päästä, kun tilausjärjestelmä saadaan pystyyn. Uuteen alkuun yrityksessä päästään vasta kuukausi tietomurron jälkeen.

Taloudelliset tappiot nousivat satoihin miljooniin euroihin, ja mainehaitat siihen päälle.

Mitä voisi tehdä paremmin?

Tietomurtoon vaikuttivat monet eri tekijät. IT:stä ja teknologiasta oli yksinkertaisesti säästetty liikaa. Tehokkaaseen käyttövaltuushallintaan ja toimitusketjujen tietoturvaan ei oltu kiinnitetty riittävästi huomiota. Jälkikäteen voi toki sanoa, että säästöjä oli tehty vääristä asioista, sillä tappiot ja haitat osoittautuivat lopulta niin valtaviksi.

Yrityksessä ei oltu varauduttu etukäteen kriisiin, eli organisaatiossa ei osattu toimia tehokkaasti ja rationaalisesti kriisin keskellä. Suunnitelmia ja ohjeistuksia ei oltu tehty. Yrityksessä ei tiedetty, miten ja missä järjestyksessä järjestelmät, prosessit ja viime kädessä liiketoiminnot piti palauttaa iskun jälkeen. Ei tiedetty kenen olisi pitänyt tehdä mitäkin, eikä sisäinen kommunikointi toiminut riittävän tehokkaasti. Tämä kaikki pitkitti kyberhyökkäystä ja sen tuomia haittoja,

Kuinka isoja riskejä olet valmis ottamaan?

Moni on pohtinut ratkaisuksi kybervakuutusta, joka tarjoaa turvaa kyberiskun sattuessa. Väitän, että vakuutukset eivät ole vielä riittävän kypsiä tarjoamaan suojaa hyökkäysten, murtojen ja lunnasohjelmien varalle. Yrityksissä ei välttämättä tiedetä, mitä ne tarkalleen ottaen vakuutuksilla ostavat. Myös uhat muuttuvat äärimmäisen nopeasti.

Tulevaisuuden uhista tiedämme vain sen, että ne ovat luultavasti haitallisempia ja älykkäämpiä kuin tänään. Uuden teknologian, kuten tekoälyn ja blockchainin, avulla yritykset voivat suojautua yhä tehokkaammin, mutta uudet teknologiat päätyvät myös kyberrikollisten työkalupakkeihin.  

Vastuu kyberturvallisuudesta on aina yrityksen toimivalla johdolla, ja kyberturvallisuus kuuluu myös jokaisen CFO:n agendalle. Oman valmiustason saa selville kartoituksella. Miten yritys voi suojautua tietomurroilta ja palautua niistä?

Minkä suuruisella investoinnilla satojen miljoonien eurojen tappiot olisi voitu estää?  

Blogi perustuu Karthin esitykseen Basware CFO Forum 2018:sta ja kirjoitus on alunperin julkaistu Baswaren sivuilla.

Karthi Pillay

Karthi Pillay,
Partner, riskienhallinta
Deloitte Finland

Oliko tieto hyödyllistä?