Kyberturvallisuus mielletään useimmiten tekniseksi ongelmaksi tai internetin käyttöön liittyväksi haasteeksi. Toki se on sitäkin, mutta ennen kaikkea on kysymys strategisen tason ilmiöstä, jonka huono hoitaminen voi horjuttaa koko organisaation olemassaoloa.
Globaalisti tarkasteltuna joka 11. sekunti tapahtuu kiristyshaittaohjelma- eli ns. Ransomware-hyökkäys.
Tutkimusyhtiö Cybersecurity Ventures ennustaa, että kuluvan vuoden aikana kyberrikollisuus nousee USA:n ja Kiinan jälkeen maailman kolmanneksi suurimmaksi ”kansantaloudeksi”.
Voidaankin siis aiheesta todeta, että kyberrikollisuudesta on tullut iso toimiala, jota myös johdetaan entistä enemmän globaalin yritystoiminnan kaltaisesti.
Valtiollinen kybertoiminta
Vuodesta 2005 alkaen yli 30 valtion epäillään tukeneen rikollisia kyberoperaatioita. Merkittävimmät kybertoimijat ovat Kiina, Venäjä, Iran ja Pohjois-Korea, jotka ovat lähes 80-prosenttisesti maailmalla tehtyjen valtiollisten kyberoperaatioiden taustalla. Venäjän valtioon liitettäviä hakkeriryhmiä tunnetaan lähes 50, joista 35 kuuluu vaarallisimpaan kategoriaan eli niin sanottuihin APT-ryhmiin. Myös Kiinalla on käytössään voimakkaat globaalit hakkeriryhmät. Iranin ja Pohjois-Korean tukemat APT-ryhmät ovat myös puhtaasti valtion käytössä globaaleissa operaatioissa.
On siis pakko viimeistään nyt tunnustaa, että kyseessä on strateginen ilmiö. Kyberoperaatioiden syyt ovat hyvin pitkälle poliittisia ja niiden seurannaisvaikutukset tukevat poliittisia päämääriä tai aktivistien ja terroristien tavoitteita. Kybermaailman meno on kuin ilmapuntari globaalin politiikan jännitteistä.
Miksi tämä on mahdollista, mikä on muuttunut?
Herää kysymys, mistä tämä kaikki johtuu ja miksi kyberoperaatiot ovat mahdollisia? Yksinkertainen selitys on digitalisaatio ja sen voimakas eteneminen, joka jatkuu vääjäämättömänä. Globaali talous ja logistiikka, tuotantolaitokset, energian tuotanto sekä meidän jokaisen elämä hyvinvointivaltioissa nojaa entistä enemmän digitaalisiin järjestelmiin. Kyberrikollisuus on kuin nykypäivän merirosvoutta ja valtiolliset kyberoperaatiot ovat nykypäivän epäsymmetristä sodankäyntiä. Kyberoperaatiot ovat hybridisodankäynnin keihäänkärki ja osa globaalia informaatiosodankäyntiä. Näiden operaatioiden maalina ovat jokainen valtio, yritys ja ihminen ja ikäviä yllätyksiä aiheuttavat globaalit keskinäisriippuvuudet.
On siis sanomattakin selvää, että tämän luokan strateginen ilmiö edellyttää strategista johtajuutta niin valtioiden kuin yritysten ja organisaatioidenkin taholta, YK:ta, EU:ta tai Natoa unohtamatta.
Strategisen kyberjohtamisen perusteet
Suomenlinnan kalliossa lukee osuvasti: ”Jälkimaailma, seiso täällä omalla pohjallasi äläkä luota vieraan apuun”.
Jokaisen suomalaisen yrityksen ja organisaation kannattaa siksi panostaa strategiseen kyberjohtamiseen. No mitä sellainen johtaminen sitten on?
Strategisen kyberjohtamisen voi määritellä noudattaen strategisen johtamisen yleisiä periaatteita. Se voidaan kiteyttää kahdeksaan yksinkertaiseen osakokonaisuuteen. Ne ovat peruspilareita, joille strateginen kyberjohtaminen on rakennettava, ja toisaalta tulee tunnistaa, että ilman niiden muodostamaa kokonaisuutta syntyy vain ”rampa ankka”.
Strategisen kyberjohtamisen peruspilarit ovat:
- Ylimmän johdon kokonaisvaltainen ja luotettava kybertilannekuva
- Luotettava ja uskottava kyberriskianalyysi ja riskienhallintajärjestelmä
- Ketterä kybervarautumisen ja jatkuvuuden hallinnan suunnitelma
- Hyvin koulutettu ja harjoitettu kriisijohtamisorganisaatio
- Koko henkilöstön asianmukainen kyberkoulutus
- Oikeat ja innovatiiviset kyberteknologiavalinnat
- Oikein mitoitettu kyberbudjetti
- Joustava ja alati kehittyvä kyberkulttuuri
Nämä periaatteet osoittavat, että kyberturvallisuus kuuluu ylimmän johdon agendalle ja sen tulee olla kiinteä osa jokaisen yrityksen ja organisaation jokapäiväistä johtamista. Vastuu on jakamaton, ja johdolla on oltava joka hetki riittävä kyberriskien lukutaito. Tämä ei kuitenkaan tarkoita, että jokaisen on oltava tekninen tai kyberturvan asiantuntija, mutta kokonaisvaltainen tilanneymmärrys luo hyvät edellytykset johtamiselle ja oikea-aikaisille päätöksille.
Ihminen keskiössä
Kyberjohtamiseen panostaminen varmasti maksaa itsensä takaisin paremman kilpailukyvyn ja henkilöstön tyytyväisyyden kautta. Teknologialla voimme ratkaista vain alle puolet alati kasvavista kyber- ja digiturvallisuuden haasteista. Ihminen nousee keskiöön, ja vastuullinen työnantaja panostaa kyberosaamiseen ja digitaitoihin, joita me kaikki tarvitsemme myös jokapäiväisessä elämässämme.
Pandemian vaikutukset
Koronan myötä tulemme vääjäämättä siirtymään hybridityöskentelymalliin, jossa osa työntekijöistä on pysyvästi etätöissä ja osa työpaikalla. Joustavuutta ja turvallisia työskentelytapoja ja -välineitä tarvitaan entistäkin enemmän. Nyt, jos koskaan, on juuri oikea aika panostaa kyberjohtamiseen ja luoda jokaiseen yritykseen ja organisaatioon joustava ja luotettava kyberkulttuuri. Kyberturvallisuus syntyy pienistä teoista, joista muodostuu vahva ja hyvin toimiva kokonaisuus. Näin turvaamme meidän kaikkien toimintaedellytykset, kilpailukyvyn ja hyvinvoinnin. Kyberkulttuurissa on suunnaton muutosvoima.
Johtamisen vastuut
Valtiovalta ei voi tulla apuun kaikissa kyberhyökkäyksissä, vaan sen tehtävänä on turvata yhteiskuntamme kriittiset palvelut ja elintärkeät toiminnot. Siksi myös valtion tasolla luonnollisesti tarvitaan strategista kyberjohtajuutta. Yhteistoimintaa ja koko yhteiskunnan varautumista ja voimavaroja tarvitaan. Jokaisen on hoidettava tässä kokonaisuudessa oma tonttinsa.
Pandemian aika on selkeästi osoittanut, että kriisijohtaminen vaatii kehittämistä kaikilla tasoilla. Sinänsä erinomainen kokonaisturvallisuuden mallimme ei riitä, jos strateginen johtajuus ontuu. Maata ei puolusteta pelkästään maalla, merellä ja ilmassa, vaan entistä enemmän bittien maailmassa eli kyberavaruudessa. Digitaalista itsenäisyyttämme haastetaan joka päivä, haluamme sitä tai emme.
Strategisen johtajuuden tarve ja haasteet omassa organisaatiossasi
Organisaatiosi on osa isompaa kokonaisuutta, jossa toimintaanne vaikuttavat muun muassa eri järjestelmien keskinäiset riippuvuussuhteet, teknisten järjestelmien riippuvaisuus rajat ylittävistä tietoverkoista sekä yhteiskunnan digitalisaatio.
Organisaatiosi turvallisuus altistuu koko ajan kasvavissa määrin kybervaikuttamiselle. Turvallisuutta vaarantavaa kyber- ja informaatiovaikuttamista on jo nyt kohdistettu Suomeen muun muassa kriittistä infrastruktuuriamme, teollisuuslaitoksiamme, yrityksiämme, sekä poliittista päätöksentekojärjestelmäämme ja kansalaisiamme vastaan.
Kokonaisvaltainen kybertilannekuva
Riittämätön panostus kyberturvallisuuden hoitoon tai tietoturvallisuuden ja tietosuojan puutteellinen huomioiminen aiheuttavat merkittäviä taloudellisia tappioita sekä maineen menetyksen. Organisaatiosi kyberturvallisuuden johtaminen edellyttää kokonaisvaltaista tietoa liike- ja muuhun organisaatiotoimintaan liittyvistä fyysisisistä ja digitaalisista turvallisuusuhkista. Selkeä kyberturvallisuuden tilannekuva on olennainen ja keskeisin johdon työkalu.
Kyberriskit läpileikkaavat organisaatioiden kaikkia toimintoja, mistä syystä ne tulee ottaa huomioon läpi organisaation myös kokonaisjohtamisessa.
Kyberturvallisuus ei ole vain tietohallinnon asia, vaan sen tulee olla aina myös ylimmän johdon agendalla.
Johdolla tulee olla käsitys kyberriskien mahdollisesta vaikutuksesta organisaation ydintoiminnoille. Miten sitten voit tunnistaa ja hallita organisaatiosi kyberriskejä eri elinkaarivaiheissa olevissa järjestelmissä ja palveluissa?
Kybervarautumisen suunnitelma
Onko organisaatiollasi valmis toimintasuunnitelma kyberuhkilta suojautumiseksi sekä niiden vaikutusten hallitsemiseksi ja mitigoimiseksi? Mitä on se tieto, jota nimenomaan organisaatiosi haluaa suojata ja miksi juuri sitä tietoa? Tarvitsetteko luotettavan, toimialanne tarpeet ymmärtävän sekä kokonaisvaltaisia digitaalisen turvallisuuden palveluita tarjoavan täysin kotimaisen kumppanin huolehtimaan organisaationne digitaalisen turvallisuuden sekä kyberturvallisuuden tarpeista?
Johdon tulee olla kiinnostunut kyberturvallisuuden riskien vaikutuksista operatiiviseen toimintaan, liiketoimintaan ja organisaation toimintakykyyn, ei teknisistä yksityiskohdista.
Netum on luotettava ja osaava kyberturvallisuuskumppanisi
Pystymme tarjoamaan sinulle kyberturvallisuuden, tietoturvallisuuden sekä tietosuojan alueella digitaalisesti turvalliset ratkaisut, joiden avulla arkesi sujuu vaatimusten mukaisesti ja luotettavasti. Haluamme mahdollistaa organisaatiosi kyber- ja tietoturvallisen siirtymisen digi- ja pilvipalveluiden laajamittaiseen sekä turvalliseen käyttöön.
Digitaalisen turvallisuuden ja kyberturvallisuuden varmistaminen kaikessa toiminnassa on keskeisessä roolissa tuottamissamme ja tarjoamissamme palveluissa.
Kyberturvallisuudestasi huolehtiminen Netumin tarjoamien palveluiden ja asiantuntemuksen avulla antaa organisaatiollesi työrauhan sekä itsellesi mielenrauhan. Analysoimme, raportoimme ja kehitämme organisaatiosi suojausta sekä prosesseja kyberuhkia vastaan. Tuemme sinua kokonaisvaltaisesti organisaatiosi kyberturvallisuuskulttuurin ja -tietoisuuden lisäämisessä sekä kehittämisessä - itse voit keskittyä liiketoimintaasi ja asiakkaisiisi!
Tuotamme strategiset ja kokonaisvaltaiset kyberturvallisuuden palvelumme yhteistyössä kumppanimme Cyberwatch Finlandin kanssa.
Aapo Cederberg
toimitusjohtaja
Cyberwatch Finland Oy
Cyberwatch Oy:n partneri ja perustajajäsen. Aapo on kokenut kyberturvallisuusstrategi ja -analyytikko. Hän on strateginen huippuosaaja, jolla on kansainvälisen tason asiantuntemus ja ymmärrys hybridivaikuttamisesta. Hänellä on myös ainutlaatuinen ymmärrys kyberturvallisuuden ja hybridisodankäynnin monimutkaisuudesta, sekä keskinäisriippuvuuksista ja uhkakuvista. Hänellä on erittäin kattavat strategisen johtamisen taidot, monivuotinen kokemus, sekä laajasti tietoa sotilaallisesta maanpuolustuksesta. Aapo on tunnettu kyberturvallisuuden puolestapuhuja niin Suomessa kuin kansainvälisestikin. Hän on myös yksi ensimmäisen Suomen kyberturvallisuusstrategian kirjoittajista.