Kyberturvallisuus kaipaa johtajuutta
Lisää aiheesta
Kyberturvallisuuden professori Jarmo Limnéllin ja Aalto-yliopiston tutkimukset ovat osoittaneet, että osa suomalaista yrityksistä ei ymmärrä tietoturvan vakavuutta. Kyberturvallisuuden näkökulma on oltava koko ajan mukana yrityksen strategiassa.
Aalto-yliopiston kyberturvallisuuden professorin Jarmo Limnéllin mukaan turvallisuus on yksi ihmisen perustarpeista. Lähtökohtaisesti tietoturvan ylläpitäminen on positiivinen asia, eikä se ole pelkästään täynnä uhkakuvia.
Limnéllin mukaan tietoturva-aukkoja tulee aina olemaan digitaalisessa ympäristössä. Hänen mielestään täysin turvallista maailmaa ei olekaan ja meidän on mukauduttava siihen.
– Toisaalta, kun puhutaan liike-elämästä, siellä korostuu entistä enemmän tietoturvan johtaminen. On ymmärrettävä kyberturvallisuuden laaja kokonaisuus. Se on osa liiketoimintaa ja liittyy olennaisesti yrityksen jokapäiväiseen toimintaan. On oltava riittävän tietoinen tietoturvakentän kehityksestä, sen uhkista ja niihin varautumisesta.
Aalto-yliopisto on tutkinut viime vuosina paljon yrityskenttää ja sen varautumisastetta tietoturva-asioissa. Tutkimuksien tulokset näyttävät, että osa isoista yrityksistä ymmärtää kyberturvallisuuden tärkeyden ja on tehnyt mittavia panostuksia turvallisuuden edistämiseksi.
Myös toisenlaisia tuloksia on tullut esille.
Osa yrityksistä ymmärtää tietoturvan päälle, osa ei
– On olemassa isojakin yrityksiä, jotka eivät ole panostaneet kyberturvallisuuteen. Olen huomannut, että monesti yritysten johdon asenne on vääränlainen. Osa yritysten johdosta ei tiedosta tätä ilmiöitä eikä ymmärrä sen merkitystä omalle liiketoiminnalleen. Usein toimenpiteisiin ryhdytään vasta, kun jotain ikävää tapahtuu. Viime aikoina olen kuitenkin huomannut, että asenne kyberturvallisuutta kohtaan on parantunut.
Siihen on Limnéllin mukaan vaikuttanut kaksi asiaa – EU:n tietosuoja-asetus ja kybervakuuttaminen. Tietosuoja-asetus pakottaa yritykset huolehtimaan esimerkiksi henkilötietojen käsittelystä ja turvallisuudesta. Kybervakuuttamisen kautta pystytään rahallisesti osoittamaan yrityksille tietoturva-aukkojen ja järjestelmien kaatumisen taloudelliset vaikutukset liiketoiminnalle.
– Kybervakuuttaminen tulee osaksi yrityksien toimintaa tulevaisuudessa. Jatkossa poikkeustilanteiden nopea korjaaminen korostuu, Limnéll kiteyttää.
Professori on varma, että jollain aikajänteellä luovumme kyberturvallisuuden käsitteestä. Hän uskoo, että jatkossa puhumme pelkästään turvallisuudesta, johon digitaalinen maailma ilmiöineen liittyy erottamattomasti. Käytännössä fyysinen ja digitaalinen maailma nivoutuvat tulevaisuudessa yhteen.
– Jatkossa on vaikeampaa erottaa mikä on fyysistä tai digitaalista turvallisuutta. Tämä tulee edellyttämään entistä vahvempaa strategista näkemystä ja varautumiskykyä. Turvallisuutta täytyy miettiä suunnitteluvaiheesta alkaen. Jälkikäteen yrityksen strategiaan päälle liimattu turvallisuusnäkökulma tulee liian myöhään.
Digitaalinen kehitys on tällä hetkellä nopeampaa kuin ihmiskunnan historiassa on aiemmin nähty. Tämä aiheuttaa osaltaan sen, että tulemme vääjäämättä kohtaamaan erilaisia häiriötilanteita, joissa dataa pääsee vääriin käsiin tai järjestelmät eivät toimi.
– Silloin korostuu entisestään jatkuvan sietokyvyn merkitys. Tällä tarkoitan sitä, että kun jotain ennalta-arvaamatonta tapahtuu, olemme valmiita reagoimaan siihen. Olemme miettineet esimerkiksi valmiiksi johtosuhteet ja toimintaprosessit. Tämä on erittäin olennainen asia, mistä johtuen teenkin juuri tutkimusta Valtioneuvoston kansliaan Suomen kyberturvallisuuden johtajuudesta, Limnéll sanoo ja jatkaa:
– Voidaan karkeasti arvioida, että asiat kehittyvät kahdella tavalla: joko johtajuuden tai kriisin kautta. Nimenomaan kyberturvallisuuteen kaivataan vahvempaa johtamista ja ammattitaitoa.
Tietoisuus lisää turvallisuutta
Limnéllin tekemästä kyberturvallisuustutkimuksesta käy ilmi, että kun ei ymmärretä, mistä kyberturvallisuudesta on kyse, se näyttäytyy epämääräisenä ja vaikeasti ymmärrettävänä.
– Turvallisuus, johon kyberturvallisuuskin olennaisesti kuuluu, on aina tiukasti sidoksissa kulttuuriin. Turvallisuus on käytännössä opittuja tapoja ja arvoja, jotka tulevat niin sanotusti selkärangasta.
Turvallisuuden tunne lisääntyy, kun tietoisuutemme kyberturvallisuudesta ilmiönä lisääntyy. Professorin mukaan on oltava myös rehellinen.
– Olemme vasta nyt luomassa tietoturvan ja kyberturvallisuuden saralle turvallisuuskulttuuria. Kulttuurin luominen ja sen kehittäminen vievät aikaa. Digitaalisen ympäristön turvallisuus on mielestäni ehdottomasti sellainen tekijä, jonka merkitys nousee tulevaisuudessa kilpailutekijänä niin yhteiskunnallisesti kuin yritystenkin kannalta. Tietoturvan pitäisi jatkossa olla osa kansalaistaitoja.
Tietoturva ei ole mörkö
Myös Opetushallitus on reagoinut kansalaisten tietoturvataitoihin. Tutkimuksien mukaan suurin pullonkaula on kuitenkin opettajien tietotaidon riittävyys.
– Jos ajattelemme, että opettajien pitäisi opettaa tietoturvaa tulevaisuuden digiosaajille, joiden osaaminen teknillisesti on jo hyvällä tasolla, on se lähestulkoon mahdotonta. Teknologisen kehityksen ansiosta tiedot ja ohjelmat muuttuvat yhä kiihtyvällä vauhdilla, ja tämä luo oman haasteensa opetukselle sekä sen tasolle. Me koemme täällä Aalto-yliopistolla välillä hyvin haasteelliseksi sen, kuinka pystymme opettamaan tietoa, joka ei heti vanhenisi.
Vaikka teknologinen kehitys ja kyberturvallisuus tulee mullistamaan yhteiskuntaamme ja toimintatapojamme, muistuttaa professori Limnéll, että tietoturvasta ei pidä tehdä isoa mörköä.
– Lopulta turvallisuudessa on kyse perusasioista. Oikealla asenteella pääsemme pitkälle. Elämme nyt ja tulevaisuudessa vieläkin voimakkaammin yhteiskunnassa, jossa digitaaliset taidot ovat perustaitoja. Niihin taitoihin kuuluu olennaisesti turvallisuus, joka mahdollistaa hyvän elämänlaadun.
Lue lisää yritysten kohtaamista yleisimmistä tietoturvariskeistä