Tietoturva on liiketoiminnan elinehto - teot puuttuvat

Periaatteessa yritysjohtajat myöntävät, että tietoturva on liiketoiminnan elinehto. Käytännössä moni yritys laiminlyö sitä.

Hakkerien tietomurrot, tietokonevirukset ja muut kyberrikokset sekä niiden torjunta maksavat maailman kuluttajille kymmeniä miljardeja euroja vuodessa. Kuva Oliver Berg / DPA / Lehtikuva.

Tiedotusvälineet pursuavat juttuja tietoturvarikoksista. Aiheet ovat pieniä ja isoja, Twitter-tilin salasanavarkaudesta kybersotaan, joka voi lamauttaa kaupan, energiatalouden, pankit – vähitellen koko kansakunnan.

Suomessa hyökätään vuosittain tuhansiin verkkopalvelimiin. Yritykset ja niiden asiakkaat ovat eturintamassa. Tietosuojavaltuutetun mukaan moni pieni yritys nostaa kädet ylös ja lopettaa nettipalvelunsa kokonaan.

Identiteettivarkaudet ovat nopeimmin kasvava tietorikosten laji. Tietoturvayritys Silverskinin toimitusjohtaja Mikko S. Niemelä arvioi, että yritykset eivät useimmiten edes huomaa, että niiltä on varastettu tietoa.

Tietoturva on liiketoiminnan elinehto, ja periaatteessa yritysjohtajat luultavasti ymmärtävät sen.

Käytännössä näkemys ei ole näin kirkas. Uuden kyselytutkimuksen mukaan useimmat yritysjohtajat näkevät tietoturvan johtamisen lähinnä huolenpitona teknisistä yksityiskohdista. Yli 80 prosenttia kyselyn vastaajista kertoi, että yritys oli kartoittanut tietojärjestelmien potentiaaliset ongelmakohdat, ja kaksi kolmesta tiesi tietoturvaongelmasta omassa yrityksessään.

Kuitenkin vain alle puolet kertoi, että yritys oli arvioinut tappiot, jotka koituisivat tietojärjestelmien häiriöstä tai lamautumisesta.

Tiedot perustuvat kyselytutkimukseen, jonka Silverskin teetti loka-marraskuussa 2012 T-medialla. Kohderyhmänä olivat keskeisten toimialojen toimitusjohtajat, IT-, kehitys-, hallinto- ja liiketoimintajohtajat. Vastaajia oli sata, puolet pk-yritysten ja puolet suuryritysten ylintä johtoa.

Otokseen kertyi 45 toimitusjohtajaa ja 26 IT-johtajaa. Näille johtajaryhmille keskittyy myös eniten päätösvaltaa tietoturvan johtamisessa.

Yritysten tietoturva-asioita käsitellään enimmäkseen joko akselilla toimitusjohtaja-IT-johtaja tai johtoryhmässä.

Tutkimuksen mukaan toimitusjohtajat näkevät tietoturvan ja siihen liittyvät uhkat ”insinöörimäisemmin” kuin muut johtajat, jotka taas painottavat enemmän tietoturvariskien merkitystä yritykselle.

”Tietoturvan johtamisessa kysymys ei ole vain nörttiosaamisesta, esimerkiksi palomuurista tai vaikkapa tietoliikenneportista 526, vaan siitä, miten yritystä ja sen tietoturvaa johdetaan, jotta minimoidaan liiketoiminnan riskit ja turvataan sen jatkuvuus”, Niemelä sanoo.

Yhtiön hallituksen käsittelyyn tietoturvariskit vie vain neljännes vastanneista yrityksistä. Kuitenkin hyvän hallinnointitavan mukaan juuri hallituksen pitää huolehtia siitä, että yhtiön riskienhallinta ja sisäinen valvonta ovat kunnossa.

Vastaajilta kysyttiin, kenen on vastuu, jos yrityksen asiakasrekisteri varastetaan palveluntarjoajan koneelta, ja siitä aiheutuu vahinkoa asiakkaille. Henkilötietolain mukaan vastuu asiakkaan tietojen suojaamisesta on nimenomaan rekisterin omistajalla.

Lähes puolet piti päävastuullisena toimitusjohtajaa, mutta vajaat 40 prosenttia vieritti vastuun palveluntarjoajan niskoille.

Toimitusjohtajilla oli tästä asiasta keskimääräistä selkeämpi näkemys: heistä yli puolet ilmoittautui päävastuulliseksi.

Lue myös