Yritysjohdon, johtoryhmän jäsenten tai yksittäisen toimitusjohtajan ymmärrys tietoturvasta tulisi olla käyttäjän tasoa ylemmällä tasolla. Käyttäjä esimerkiksi ymmärtää olla avaamatta epäilyttävän näköisen sähköpostin, ehkä, mikäli sellainen sähköpostilaatikon Saapuneet-kansioon ilmestyy. Yritysjohdon tulee hallita erittäin monimutkaista kokonaisuutta nimeltä Yrityksen tietoturva. Jos ymmärrys tietoturvasta on käyttäjän tasolla, kuinka päättäjä osaa tehdä oikeat hankintapäätökset tarvittavista tietoturvatekniikoista tai muodostaa yrityksen säännöistä ja käytänteistä tietoturvapolitiikan, jota yritys noudattaa kaikessa tekemisessään?
Vastuu yrityksen tietoturvasta on aina yrityksen johdolla, hallituksella ja toimitusjohtajalla myös henkilökohtaisesti. Yrityksen oma IT-osasto tai IT-kumppani ei ole vastuussa tietosuojaloukkauksista tai tietomurroista. NIS2-direktiivin ja tulevan lain mukaan yrityksen johto vastaa kyberturvallisuuden riskienhallinnan valvonnan ja toteuttamisen järjestämisestä. Se myös hyväksyy riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Yrityksen johdolla tulee olla riittävä perehtyneisyys kyberturvallisuuden riskienhallintaan.
Harmillista onkin todeta, että kokemukseni mukaan suhtautuminen NIS2-direktiiviin on vieläkin suurella osalla yrityksiä varsin välinpitämätöntä. Kysyttäessä, miten asiaan on valmistauduttu, vastaus on hyvin usein:
”Tulkintamme mukaan, se ei koske meitä.”
Vastaus on jokseenkin hämmentävä, sillä eikö tietoturvan parantaminen aiheuta toimenpiteitä, ellei se koske kyseistä yritystä suoraan lainsäädännön puitteissa?
NIS2-direktiiviin kuuluvien yrityksien vastuu toimitusketjun tietoturvasta tulee huomioida. Marskidata on esimerkiksi saanut useita yhteydenottoja koskien asiakkaidemme kumppanien lähettämiä selvityspyyntöjä koskien asiakkaidemme tietoturvaa. Lähettäjien joukossa on esimerkiksi suuria vähittäiskauppaketjuja, kuntahankinta yhteenliittymiä tai suuria metsä- ja metallialan yrityksiä. Kyselyt pohjautuvat usein kansainväliseen tietoturvanhallintastandardiin ISO27001 (ISO/IEC 27000 Tietoturvallisuuden standardisarja) tai Yhdysvaltain standardisointi- ja teknologiainstituutin (NIST) standardeihin. On pääteltävissä, että kaikki kyseisten tahojen kumppanit saavat samaisen kyselyn täytettäväksi, sillä vastaanottajaorganisaatioiden koot voivat vaihdella muutamasta hengestä satoihin työntekijöihin.
Mitä tapahtuu, mikäli yritys ei täytä kyselyn mukaista ”tietoturvatasoa”?
Esimerkiksi yhdessä tapauksessa 25 kohdan kyselyssä viisi kohtaa oli asetettu pakolliseksi ehdoksi edetä tarjouskilpailuun ja näiden kohtien toteutuminen tulee pystyä näyttämään toteen. Tietoturva tai sen asianmukainen hallinta muodostavat näin ollen liiketoimintariskin yrityksen toiminnalle. Standardisoitu ja jatkuvan kehityksen prosessissa oleva yrityksen tietoturva toimii varmasti yrityksen kilpailuetuna.
Viimeisen kymmenen vuoden aikana moni yritys on pohtinut vaikutustaan ympäristöön ja omaa vastuullisuuttaan. Tämä on johtanut valtaisaan aaltoon standardoida yrityksen toiminta ympäristöjohtamisen standardin ISO 14001 täyttäväksi (ISO 14000 Ympäristöjohtamisen standardisarja). Tämä on johtunut osittain julkisesta sekä sisäisestä paineesta vihreän siirtymän aikakaudella. Vastaavaa ei ole tapahtunut yrityksissä tietoturvan puolella, vaikka kuukausittain saamme lukea mediasta hakkeroiduista yrityksistä tai yhteisöistä. Kansalaisia kehotetaan varovuuteen tiettyjen tahojen viestejä avatessa, koska hakkereiden on kerrottu ottaneen yrityksen viestinnän haltuun. Tapauksia on jatkuvasti enemmän, ne ovat yhä suurempia ja kohdistuvat yhä lähemmäksi suomalaisia yrityksiä ja yhteisöjä.
Mikäli päättäjien päässä ajatus on edelleen tasolla, ”olemme pärjänneet näillä ratkaisuilla kymmenen vuotta” tai ”miksi kukaan nyt meidät haluaisi hakkeroida”, on vain ajan kysymys koska näin tapahtuu omalle kohdalle.
Ottaen huomioon NIS2-direktiivissä mainitut vastuut, Account Managerina olen kohdannut viimeisen kymmenen vuoden aikana vain kourallisen päättäjiä, jotka ovat osoittaneet mielenkiintoa oman yrityksensä tietoturvaan. Keskisuurissa ja suurissa yrityksissä päättäjät yleisesti kertovat yrityksen tietoturvan olevan IT-osaston vastuulla. IT-osaston koko on yleisesti 1–2 asiantuntijaa 100 työntekijää kohden, pienemmissä yrityksissä IT on lähes aina ulkoistettu kumppanille ja toimiston ”osaavin kaveri” hoitaa IT-osastoa oman työn ohella. Tietoturvauhat koskevat myös pieniä yrityksiä. Vaikka suuret yritykset ovat usein enemmän uutisotsikoissa tietomurtojen ja tietoturvaloukkausten yhteydessä, pienet yritykset eivät ole immuuneja tietoturvauhille. Päinvastoin pienet yritykset voivat olla houkuttelevia kohteita hyökkääjille todennäköisesti helpompana kohteena tai reittinä ison kumppanin järjestelmiin. Yksinkertaisena ohjeena päättäjän tulisi kysyä omalta IT-osastolta tai kumppanilta:
”Onko meillä tietoa tai näkymää siitä, mitä meidän verkossamme tapahtuu tai on tapahtunut?”
Mikäli vastaus on ei tai osittain, yritys ei voi NIS2-direktiivin mukaisesti ilmoittaa tietoturvapoikkeamasta, se ei tällöin myöskään täytä direktiivin vaatimuksia ja tärkeimpänä, yritys ei voi tehdä korjausliikkeitä ehkäistäkseen saman asian toistumista uudestaan. Miten asia voidaan korjata, mikäli ei tiedä mikä on rikki?
Vielä ei ole myöhäistä pistää asioita kuntoon, mutta se on ensin aloitettava omasta asenteesta ja asennoitumisesta yrityksen tietoturvaa kohtaa.
Vastuu on sinulla, Päättäjä! Marskidata auttaa.
Marskidata IT-kumppanina auttaa sinua, jotta voit olla varma yrityksesi asianmukaisesta tietoturvan tasosta. Lue lisää NIS2-direktiivistä sivultamme OLETKO VALMIS NIS2-direktiiviin? Tutustu palveluihimme Tietoturva ja IT-palvelut yrityksille. Seuraavassa blogin osassa Tietoturva päättäjän näkökulmasta, osa 2 pohdin sitä, ovatko yrityksen tietoturvaresurssit riittävät. Käymme läpi johdon vastuuta liiketoimintariskin ja hallinnollisen tietoturvan näkökulmasta.