Mitä aiemmin aloitat, sitä paremmin saat kilpailuetua tietoturvasta
Paine kohdistuu aiempaa voimakkaampana jokaiseen organisaatioon: tietoturvauhkiin on varauduttava. Liiketoiminnan näkökulmasta vahvimmilla ovat nyt ne, jotka tekevät sen aiemmin ja paremmin kuin muut. Kyberturvan vahvistaminen ei ole vain ongelmien ehkäisyä tai ratkomista, vaan siitä voi tehdä aidon kilpailuedun.
Pysyykö sovelluksesi tietoturva muutosten matkassa?
Yksi suurimmista muutoksista kyberturvaympäristössä on tällä hetkellä muutos itse, tarkemmin sanottuna sen nopeus:
”Esimerkiksi pilvisiirtymissä vauhti voi olla niin kova, ettei huomata miettiä, miten aiemmat tietoturvakäytännöt ja -kontrollit korvataan uusilla ja viedään pilveen tehokkaasti”, sanoo Ari Rantala, joka toimii toimii Cinialla kyberturvallisuuden palvelutuotannon johtajana. ”Tekoäly on toinen esimerkki nopeista murroksista. ChatGPT:n kaltaiset työkalut mahdollistavat valtavasti uutta työpaikoilla, kouluissa ja aivan kaikkialla arjessa. Samalla ei aina muisteta kysyä, mitä tietoturvariskejä siihen liittyy.”
Kyberrikolliset hyödyntävät tekoälyä esimerkiksi tietojenkalasteluyrityksissä, jotka voivat olla entistä kohdennetumpia, keskustelevampia ja uskottavampia. Jokaiselta työntekijältä tarvitaan kykyä tunnistaa taidokkaat huijaukset.
”Samalla ohjelmistojen määrä lisääntyy”, jatkaa Moni Banerjee, Cinian ohjelmistoratkaisujen Tampereen yksikön liiketoimintajohtaja. “Syntyy teknistä velkaa. Valvontaan ja päivityksiin ei ehkä huomata panostaa. Vanhoista sovelluksista voi tulla houkuttelevia kohteita rikollisille, ellei satsata jatkuvaan kehittämiseen ja ylläpitoon. Se olisi aina hyvä muistaa uusien ominaisuuksien kehittämisen rinnalla.”
EU-lainsäädäntö herättää asiakkaatkin vaatimaan tietoturvaa
Vaiheittain voimaan astuva EU:n Cyber Resilience Act (CRA) -lainsäädäntö tiukentaa ohjelmistoihin ja yhteydessä oleviin laitteisiin kohdistuvia tietoturvavaatimuksia esimerkiksi oletuskonfiguraatioiden, haavoittuvuuksien ja hyökkäysrajapinnan suhteen. EU:n verkko- ja tietoturvadirektiivi NIS 2 puolestaan on tullut voimaan tänä vuonna.
Useimmille yrityksille ja organisaatioille lainsäädännön vaikutukset ovat GDPR:n kaltaisia, eli prosessien läpikäynti ja omat ilmoitukset riittävät. Osa tuotteista ja ohjelmistoista kuuluu kuitenkin CRA:n kategorioissa “kriittisiin” tai “erittäin kriittisiin”. Niihin kohdistuu laajempia vaatimuksia esimerkiksi ulkopuolisista auditoinneista.
Edelläkävijät aloittavat valmistautumisen jo nyt, vaikka lainsäädäntötyö on vielä kesken. On viisasta jakaa kustannuksia ja tietoturvan vahvistamiseen kuluvaa työaikaa useamman vuoden jaksolle. Banerjee vertaa tietoturvaa siihen, miten nopeasti vastuullisuus on noussut liiketoiminnan agendalle:
”Tämä tulee koskemaan kaikkia, aivan kuten vastuullisuuskysymykset tai GDPR-lainsäädäntö. Ja aivan kuten vastuullisuusasioiden kohdalla, asiakkaat tulevat yhä useammin kysymään, millä tolalla ohjelmiston tai sovelluksen tietoturva on. Juuri tässä kohtaa siitä voi muodostaa kilpailuedun. Kohta kaikki ovat jo samalla tasolla.”
Kuluerästä kilpailueduksi
Raha on usein perusteluna, kun vanhentuneen sovelluksen modernisointia päätetään lykätä vielä hieman. Kyberriskien torjumiseen tarvitaan erikoisosaamista, jota ei jokaisella organisaatiolla ole omasta takaa. Ari Rantala haastaa katsomaan kokonaisuutta riskien kautta:
”Jos teollisuuslaitos pysähtyy kyberhyökkäyksen vuoksi yhdeksi tunniksi, pelkkä suora kustannushaitta voi nousta satoihintuhansiin. Tuolla rahalla saisi jo todella paljon koulutusta, teknologiahankintoja tai ennakoivaa asiantuntijapalvelua.”
Suorien haittojen lisäksi tietoturvaloukkauksilla on välillisiä kustannuksia. Mikä on brändihaitan hintalappu, jos rikolliset pääsevät tunkeutumaan esimerkiksi kuluttajien kotiin myytäviin valvontakameroihin tai kodinkoneisiin? Miten uutiset tietoturvaloukkauksista vaikuttavat pörssiyhtiön sijoittajiin?
Kyberrikoksilta ei voi suojautua sataprosenttisesti. Ongelmia voi kuitenkin 1) ehkäistä tehokkaasti ennalta, ja 2) poikkeustilanteisiin sekä niistä toipumiseen voi varautua. Ennaltaehkäisy, varautuminen ja näistä molemmista puolista viestiminen ovat keinoja tehdä tietoturvasta kilpailuetu, Banerjee ja Rantala painottavat.
Luottamus tuo euroissa mitattavaa arvoa liiketoiminnalle
Omaa varautumissuunnitelmaa tuskin kannattaa kertoa yksityiskohtaisesti julkisuuteen, mutta kahdenvälisissä asiakassuhteissa avoimuus kannattaa. Kun ohjelmiston tarjoaja kertoo asiakkailleen pienistäkin tietoturvapoikkeamista ja siitä, miten havaintoihin on reagoitu, asiakas voi luottaa siihen, että ennakointi ja toimintaprosessit ovat kunnossa.
Banerjee vertaa tilannetta siihen, miten Cinia toimii omien asiakkaidensa kanssa kehittäessään räätälöityjä ohjelmistoja ammattilaiskäyttöön:
”Onnistunut liiketoiminta perustuu luottamukseen. Luottamus taas syntyy erityisen hyvin pitkäjänteisissä kumppanuuksissa, joissa tehdään jatkuvaa kehittämistä ja ylläpitoa, ja tullaan samalla tutuiksi puolin ja toisin. Kerromme siitä, miten ennaltaehkäisemme kyberhyökkäyksiä sekä ohjelmistojen että ympäristöjen osalta. Ja jos havaitsemme pienenkin poikkeaman, emme lakaise ongelmaa maton alle, vaan meillä on yhteisesti tiedossa olevat suunnitelmat tilanteen hoitamiseen.”
Vakavien hyökkäysten onnistunut torjunta voi jopa vahvistaa brändiä, huomauttaa Rantala:
”Maailmalla on esimerkkejä tilanteista, joissa yritys on hoitanut kyberhyökkäyksen jälkipyykin erinomaisesti. Tekniset ongelmat on selvitetty nopeasti ja palattu normaalitilaan, mutta ennen kaikkea kriisiviestintä on ollut onnistunutta. Osakkeen arvo on saattanut ensin painua alas, mutta tehokkaan kriisiviestinnän ansiosta se onkin pian noussut entistä ylemmäs. Tällainen poikkeamatilanteiden käsittely ei voi koskaan olla ad hoc -toimintaa. Se vaatii aina harjoittelua.”
Miten aloittaa kilpailukyvyn vahvistaminen?
Tietoturva on monimutkainen kokonaisuus, jossa jo riskiympäristön kartoittaminen voi tuntua haastavalta. Jos et tiedä, mistä lähteä liikkeelle, aloita näistä kysymyksistä:
- Löytyykö organisaatiostasi ajantasaista osaamista muuttuvien kyberuhkien seuraamiseen? Jos ei, hanki asiantuntijapalvelua ulkopuolelta. Voit aloittaa tiiviistä tietoturvakartoituksesta.
- Tiedätkö, kuka on vastuussa ohjelmistosi tietoturvasta? Jos kyse on organisaatiosi omistamasta ohjelmistoratkaisusta, jota ei tällä hetkellä kehitä oikeastaan kukaan, siirrä sen ylläpito osaaviin käsiin.
- Laske tietoturvaan investoimisen hinta ja suhteuta se liiketoimintaasi. Millaisia tulonmenetyksiä pystyt ehkäisemään? Millaista uutta arvoa saat vahvempien asiakassuhteiden kautta?
Jotta voit saavuttaa kilpailuetua digitaalisilla markkinoilla, ohjelmistojen kehittämistä ja ylläpitoa on tärkeää ajatella pitkäjänteisesti, Banerjee ja Rantala summaavat. He ovat nähneet sen monissa onnistuneissa kumppanuuksissa: “Ei vain tehdä ja unohdeta vaan satsataan ratkaisun ylläpitoon, jatkokehittämiseen ja tietoturvaan.”
