Tietoturva ei ole pelkkiä palomuureja ja virustorjuntaa, vaan organisaation asenne ratkaisee

Petri Kairinen

Mitä enemmän yrityksen toiminta digitalisoituu, sitä suurempi riski tulee myös kyberuhista. Kuinka paljon liiketoimintaa uskalletaan siirtää verkkoon tai internetin ulottuville, jos samalla oma bisnes altistuu täysin uusille haavoittuvuuksille?

Tietoturvayhtiö Nixun toimitusjohtaja Petri Kairisen mukaan kyse on tasapainosta riskienhallinnan ja uusien teknologioiden välillä:

”Teoriassa kyberuhilta voi suojautua kokonaan, jos luopuu samalla digitalisaation tuomista mahdollisuuksista. Käytännössä se on mahdottomuus, ja kyse on enemmän riskitason asettamisesta: miltä halutaan suojautua, miten varaudutaan ja mitä toimenpiteitä kannattaa tehdä.”

Mitä enemmän yrityksen toiminta digitalisoituu, sitä suurempi riski tulee myös kyberuhista. Kuinka paljon liiketoimintaa uskalletaan siirtää verkkoon tai internetin ulottuville, jos samalla oma bisnes altistuu täysin uusille haavoittuvuuksille?

Tietoturvayhtiö Nixun toimitusjohtaja Petri Kairisen mukaan kyse on tasapainosta riskienhallinnan ja uusien teknologioiden välillä:

”Teoriassa kyberuhilta voi suojautua kokonaan, jos luopuu samalla digitalisaation tuomista mahdollisuuksista. Käytännössä se on mahdottomuus, ja kyse on enemmän riskitason asettamisesta: miltä halutaan suojautua, miten varaudutaan ja mitä toimenpiteitä kannattaa tehdä.”

Varautuminen ja ennakointi toimivat myös kyberuhkiin

Kuten muiltakin uhilta suojautumisessa, myös kyberuhkien tapauksessa kyse on ennen kaikkea varautumisesta ja ennakoinnista. Koska täydellistä suojausta ei ole, täytyy panostaa havainnointikykyyn ja reagointiin: kun jotain tapahtuu, toimintatavat koko yrityksessä ovat valmiina, ja ne voidaan ottaa nopeasti käyttöön. Ja koska koko kysymys kyberturvasta on niin laaja, se ei voi olla vain firman yhden osan vastuulla.

”Tässä ketjussa pitää ottaa huomioon esimerkiksi ihmisten käytös, prosessit ja alihankintaketjut. Tietoturva ei ole pelkkiä palomuureja ja virustorjuntaa. Vaikka toki pitää olla kyky myös ymmärtää sitä tekniikkaa syvällisesti”, Kairinen kuvaa lähestymistapaa kokonaisvaltaiseen turvallisuuteen.

Varkaussuojasta liiketoiminnan digitaalisen osan suojelemiseen

Viimeisen kymmenen vuoden aikana tietoturvan ymmärrys yrityksissä on lisääntynyt huimasti. Aiemmin se käsitettiin hyvin konkreettisesti, esimerkiksi asiakastietokannan suojaamisena varastamiselta. Nyt painopiste on enemmän koko liiketoiminnan, erityisesti sen digitaalisen osan, suojaamisessa.

”Tekniset asiantuntijat olivat ymmärtäneet tietoturvan tärkeyden jo aiemmin, mutta sitä mukaa kun liiketoiminta muuttuu digitaaliseksi, alkaa se kiinnostaa myös liiketoiminnan johtoa. Rahalliset seuraukset voivat olla ihan eri luokkaa kuin vuosikymmen sitten”, Kairinen kertoo muuttuneesta suhtautumisesta.

Tietoturva vaatii koko organisaation sitoutumista

Yrityksen kannalta tietoturvan rakentaminen on haasteellista: Hakkeri tarvitsee vain yhden reiän järjestelmässä josta päästä sisälle. Sen jälkeen suojaukset alkavat kaatua kuin dominopalikat. Ja se ensimmäinen reikä voi tietojärjestelmän lisäksi olla vaikkapa jokin yrityksen sisäinen käytäntö tai yksittäinen työntekijä. Siksi kyberuhkilta suojautumiseen tarvitaan koko organisaation panosta, ei vain teknisiä asiantuntijoita ja rautaa rajalle.

Silti Kairinen ei halua huolestuttaa ihmisiä liikaa:

”Meidän yrityksessä näitä tietysti pohditaan joka päivä. Mutta ei niistä kannata huolestua liikaa. Jos on hyvä suunnitelma ja halua toteuttaa se, niin tietoturva on vain yksi työtehtävä muiden joukossa.”

Tulevaisuudessa apua odotellaan myös keinoälyn suunnasta. Hyökkäykset voidaan havaita entistä tehokkaammin ja nopeammin, kun apuna käytetään erilaisia kehittyneitä algoritmeja.

”Tällä meidän alalla tulee jatkuvasti uutta pahaa ja vanhat suojauskeinot eivät enää toimi. Sitten pitää vaan löytää uusia tapoja ja adaptoitua tilanteeseen”, Kairinen kuvaa loputonta kissa-hiiri-leikkiä kyberrikollisten ja suojauspalveluja tarjoavien yritysten välillä.

LISÄÄ AIHEESTA