Kyberturva ei yksin riitä - johdon agendalle kuuluu koko digitaalinen toimintavarmuus

”Kyberturvallisuus ei ole enää vain IT-osaston asia, vaan olennainen osa yrityksen toimintavarmuutta ja kilpailukykyä", korostaa Hämeen kauppakamarin Digivaliokunnan puheenjohtaja Piia Aaltonen. (Kuva: Päivi Pulkki)

Tuotannon pysähdys, toimittajan tietomurto tai etähallinnan kautta avautunut haavoittuvuus voi keskeyttää liiketoiminnan nopeasti – riippumatta siitä, kuinka hyvin oma tietojärjestelmä on suojattu. Yritysten digitaalinen toimintavarmuus ja kyberturvallisuus ovat nousseet yhä selvemmin osaksi liiketoiminnan jatkuvuutta, riskienhallintaa ja varautumista. Hämeen kauppakamarin Digivaliokunta kannustaa yrityksiä tarkastelemaan digitaalista toimintavarmuutta sekä kyberturvallisuutta ennakoivasti osana strategista johtamista ja jatkuvuudenhallintaa. ”On hyvä muistaa, että riskit eivät koske vain tietojärjestelmiä, vaan yhä useammin myös verkkoon liitettyjä laitteita, tuotantoympäristöjä ja ulkoisia digitaalisia sekä teknologisia riippuvuuksia”, toteaa Hämeen kauppakamarin Digivaliokunnan puheenjohtaja Piia Aaltonen.

Kyberturvallisuus on yksi digitaalisen toimintavarmuuden osa-alueista. Se on välttämätön perusta, mutta ei yksin riittävä. Digitaalinen toimintavarmuus on laajempi käsite, joka kuvaa organisaation kykyä jatkaa kriittistä toimintaansa kaikenlaisissa häiriöissä – riippumatta siitä, mikä häiriön aiheuttaa. Digitaalisen toimintavarmuuden näkökulma sisältää siten paitsi järjestelmät, myös toimittajat, laitteet, sopimukset, prosessit, fyysiset toimipaikat ja datan sijainnin.

Erityisen tärkeää on tunnistaa IoT-laitteisiin ja operatiiviseen teknologiaan eli OT-ympäristöihin liittyvät riskit. Suojaamaton laite, puutteellinen etähallinta tai heikosti hallittu tuotantoverkko voi johtaa tietoturvaloukkauksiin, tuotannon keskeytyksiin ja muihin liiketoimintaa häiritseviin tilanteisiin. ”Kyberturvallisuus ei ole enää vain IT-osaston asia, vaan olennainen osa yrityksen toimintavarmuutta ja kilpailukykyä. Mitä paremmin yritys tunnistaa digitaaliset riippuvuutensa ja suojaa kriittiset ympäristönsä, sitä paremmin se pystyy ehkäisemään häiriöitä ja turvaamaan toimintansa myös poikkeustilanteissa. Tämä on liiketoiminnan kannalta oleellinen näkökulma, ja juuri siksi aihe kuuluu johdon agendalle”, Aaltonen korostaa.

Sääntely ja teknologinen murros laajentavat riskikenttää

Myös EU-sääntely laajentaa yritysten velvoitteita. Toimitusketjujen kautta vaatimukset ulottuvat sellaisiinkin yrityksiin, joita ne eivät suoraan koskisi. Esimerkiksi NIS2-direktiivi velvoittaa keskeisten ja tärkeiden toimialojen yritykset ottamaan käyttöön kyberturvallisuuden hallintatoimenpiteitä, raportoimaan viranomaisille tiukoilla aikarajoilla ja hallitsemaan myös toimitusketjun kyberriskit. Käytännössä vaatimukset siirtyvät hankintaehtojen ja sopimuslausekkeiden kautta alihankkijoille ja kumppaneille. Vastuu on viime kädessä yrityksen johdolla ja rikkomuksista voi seurata merkittäviä sakkoja. Suomessa NIS2 on pantu täytäntöön kyberturvallisuuslailla.

Kvanttiteknologian kehitys tuo lähivuosina uuden ulottuvuuden yritysten digitaaliseen toimintavarmuuteen. Erityisesti kvanttilaskennan odotetaan muuttavan nykyisiä salausmenetelmiä, joihin suuri osa digitaalisesta liiketoiminnasta ja luottamuksellisesta viestinnästä perustuu. Vaikka laajamittainen vaikutus ei ole vielä ajankohtainen, yritysten on syytä tiedostaa kvanttiteknologiaan liittyvät riskit jo nyt ja varmistaa, että kriittinen data ja järjestelmät kestävät myös tulevaisuuden uhat. Ensimmäisenä tämä koskee erityisesti organisaatioita, joiden tiedon on säilyttävä luottamuksellisena pitkään sekä kriittisen infrastruktuurin, finanssi-, terveys-, energia-, tietoliikenne- ja julkisen sektorin palveluita ja niiden ohjelmisto-, laite- ja pilvipalvelutoimittajia. ”Kvanttivalmius tarkoittaa käytännössä sitä, että organisaatio tunnistaa, missä salaukseen ja tietoturvaan liittyvät riskit ovat, ja varmistaa, että siirtymä kvanttiturvallisiin ratkaisuihin on huomioitu tulevissa järjestelmä- ja hankintapäätöksissä. Tämä on osa ennakoivaa riskienhallintaa ja pitkän aikavälin toimintavarmuutta”, toteaa Aaltonen.

Toimintavarmuuden ja jatkuvuuden vahvistaminen alkaa riskikartoituksesta. Yrityksen on tiedettävä, mitä laitteita, järjestelmiä ja yhteyksiä sen verkossa on, mitkä niistä ovat kriittisiä ja kuka niitä hallitsee. Arviointi kannattaa kohdistaa erityisesti tärkeimpiin toimintoihin ja kriittisimpiin järjestelmiin – ja huomioida myös toimitusketjujen, palveluntarjoajien ja kumppaniverkostojen kautta syntyvät riskit. Kartoituksen tarkoitus ei ole poistaa kaikkia riskejä, vaan tehdä niiden olemassaolosta tietoinen päätös: hyväksyä, siirtää, pienentää tai välttää. Samalla on hyvä huomata, että IT:n ja OT:n tietoturvalla on eri kontekstit ja ratkaisuarkkitehtuurit, joiden painopisteet poikkeavat toisistaan.

Digitaalisen toimintavarmuuden ja kyberturvan kehittämiseen tarvitaan jatkossa lisää resursseja, sillä investoinnit eivät yleisellä tasolla ole pysyneet teknologian kehityksen ja geopoliittisen tilanteen tahdissa. ”Digitaalinen toimintavarmuus, kyberturva ja erityisesti OT-tietoturva eivät ole vielä riittävästi mukana liiketoiminnan tason riskiarvioissa. Olennaista on, että työ etenee edes pienin askelin kartoituksesta kohti tietoista päätöksentekoa. Juuri siksi aihe kuuluu johdon agendalle jo ennen kuin häiriö on tapahtunut, ei vasta sen jälkeen”, Aaltonen korostaa.

Lisätietoja:

Hämeen kauppakamarin Digivaliokunnan puheenjohtaja Piia Aaltonen, p. 044 5400 200
Hämeen kauppakamarin Digivaliokunnan varapuheenjohtaja Joni Kukkamäki, p. 046 923 4540

Yritysten tukena on useita kansallisia toimijoita. Hämeen kauppakamarin Digivaliokunnan tavoitteena on digitaalisen osaamisen ja huoltovarmuuden edistäminen (osaava työvoima) sekä yhteistyön lisääminen yritysten, muiden toimijoiden ja valiokuntien kanssa. Lisäksi valiokunnan tavoitteena on tiedottaa hyvistä käytänteistä sekä herättää keskustelua ajankohtaisista teemoista digitalisaatioon liittyen. Hämeen kauppakamarissa toimii myös Varautumistoimikunta, joka edistää kauppakamarin jäsenten varautumista sekä yhteistoimintaa huoltovarmuusorganisaation ja turvallisuusviranomaisten kanssa.

Traficomin Kyberturvallisuuskeskus tarjoaa ajankohtaista tilannekuvaa, ohjeita ja tietoa esimerkiksi NIS2-sääntelystä. Huoltovarmuuskeskus ja Digipooli puolestaan tukevat yrityksiä varautumisessa, toimintavarmuuden kehittämisessä ja digitaalisen turvallisuuden vahvistamisessa.

Traficomin Kyberturvallisuuskeskuksen tilannekuvatuotteet

Tärkeää tietoa Euroopan unionin kyberturvallisuusdirektiivistä (NIS2)

Traficomin Kyberturvallisuuskeskuksen ohjeet ja oppaat organisaatioille ja yrityksille

Huoltovarmuusorganisaation Digipooli: OT-ympäristöjen kyberuhkiin varautumisen kehittäminen – Esiselvitys ja suositukset

Hämeen kauppakamarin tehtävänä on edistää yritysten toimintaedellytyksiä ja vaikuttaa yhteiskunnalliseen päätöksentekoon yritysten kilpailukyvyn turvaamiseksi. Lisäksi Hämeen kauppakamari edistää alueensa yritysten verkostoitumista ja yhteistyötä sekä tarjoaa jäsenilleen tietoa, palveluja ja kontakteja. Hämeen kauppakamarin toiminta-alueeseen kuuluvat Päijät-Hämeen maakunta, Kuhmoinen sekä Kanta-Hämeen maakunnasta Hämeenlinnan ja Forssan seutukunnat.