Myrskynpitävä-podcastin kuudennessa jaksossa Opsec Oy:n liiketoimintajohtaja Mika Lindberg avaa, miksi kyberturvallisuus ei ole vain IT-osaston tekninen murhe, vaan strateginen kilpailuetu, joka kuuluu suoraan yrityksen hallituksen ja johdon pöydälle.
Mitä jokaisen yritysjohtajan pitää tietää kyberturvasta? Luotettavuus on uusi tehokkuus
Ennen vanhaan tietoturva miellettiin IT-tukihenkilön vastuulla olevaksi hifistelyksi. Tänään digitaalisessa ja verkottuneessa maailmassa tilanne on toinen: kaikki mikä voidaan digitalisoida, digitalisoidaan. Tämä tekee kyberturvallisuudesta ja myrskynpitävästä IT-hallinnosta yrityksen elinehdon.
”Luotettavuus on uusi tehokkuus”, toteaa Opsec Oy:n liiketoimintajohtaja Mika Lindberg. Jos yrityksen digitaalinen pohja ei ole luotettava, tehokkuuteen syntyy välittömästi kriittinen aukko.
1. Kyberrikollisuus on järjestäytynyttä teollisuutta
Yksi sitkeimmistä harhakäsityksistä on se, etteivät pienet tai keskisuuret suomalaiset yritykset kiinnostaisi hakkereita. Verkkorikollisille maantieteellisillä rajoilla ei ole merkitystä – Seinäjoki on heille yhtä lähellä kuin New York.
- Tehokkaat toimitusketjut: Kyberrikollisuus toimii kuten laillinenkin liiketoiminta. Yhdet rikollisryhmät kehittävät työkaluja, toiset murtavat pääsyjä suojaamattomiin järjestelmiin, ja kolmannet ostavat nämä pääsyt tehdäkseen lopullisen kiristyshaittaohjelmahyökkäyksen tai laskuhuijauksen.
- Tekoäly rikollisten apuna: Rikolliset hyödyntävät tekoälyä tehokkaammin kuin kukaan muu. AI poistaa kieliesteet, minkä ansiosta suomenkieliset kalasteluviestit ovat nykyään lähes täydellisiä.
- Massahyökkäykset: Rikolliset eivät yleensä valitse maaliansa nimen perusteella, vaan he skannaavat verkosta automaattisesti suojaamattomia aukkoja. Jos 100 000 lähetetystä huijauksesta yksikin tärppää, toiminta on rikolliselle kannattavaa.
2. Vastuuta ei voi ulkoistaa, se kuuluu hallitushuoneeseen
Vaikka yritys ostaisi IT-palvelunsa ulkopuoliselta kumppanilta, perimmäistä vastuuta kyberturvallisuudesta ei voi ulkoistaa. Lainsäädäntö, kuten kansallinen kyberturvallisuuslaki ja NIS2-direktiivi, alleviivaa yrityksen johdon ja hallituksen vastuuta.
- Hallituksen rooli: Hallituksen ei tarvitse tuntea teknisiä nippeleitä, vaan ymmärtää yrityksen riskikenttä ja asettaa turvallisuuden tavoitteet. Kyberturvallisuuden tulisi olla kiinteä osa jokaisen hallituksen vuosikelloa.
- Toimitusjohtajan rooli: Toimitusjohtaja johtaa kyberturvaa kuten mitä tahansa muutakin liiketoiminnan osa-aluetta: varmistamalla resurssit ja valvomalla toteutusta.
- Henkilöstö on voimavara: Työntekijöitä ei pitäisi nähdä ”tietoturvan heikoimpana lenkkinä”, vaan organisaation tärkeimpänä sensorina. Kun henkilöstöä koulutetaan ja viestintä on selkeää, ihmiset tunnistavat ja raportoivat poikkeamat nopeasti.
3. Kyberturva tuo huomaamatonta tehokkuutta ja kilpailuetua
Turvallisuus nähdään usein pelkkänä kulueränä, mutta parhaimmillaan se on merkittävä kilpailuetu.
- Sertifioinnit (kuten ISO 27001): Yritykset sertifioivat tietoturvansa yhä useammin siksi, että suuret asiakkaat ja megalomaaniset hankintaketjut vaativat sitä. Kun tietoturva on kunnossa, pk-yritys voi kiilata tarjouskilpailuissa muiden ohi.
- Prosessien selkiytyminen: Hyvä kyberturvatyö pakottaa laittamaan yrityksen muut prosessit kuntoon. Esimerkiksi tiukka pääsynhallinta vaatii selkeää HR-prosessia siitä, miten uuden työntekijän tunnukset luodaan ja miten ne suljetaan työsuhteen päättyessä. Tämä tuo organisaatioon toistettavuutta ja sitä kautta tehokkuutta.
4. Varo ”Varjo-AI:ta” eli Shadow AI -ilmiötä
Samalla tavalla kuin vuosia sitten puhuttiin Varjo-IT:stä (työntekijät ostivat ohjelmistoja luottokortilla ohi IT-osaston), nyt yrityksiin hiipii Varjo-AI.
- Työntekijät haluavat kokeilla tekoälyä, ja jos selkeitä pelisääntöjä ei ole, organisaation dataa syötetään hallitsemattomasti julkisiin järjestelmiin.
- Toinen riski on järjestelmätoimittajien tuotteisiinsa vaivihkaa lisäämät AI-ominaisuudet, jotka joku klikkaa päälle tarkistamatta tietosuojalausekkeita.
- Ratkaisu: Säännöt eivät ole kieltämistä varten, vaan ne luovat turvallisen hiekkalaatikon kokeilulle. Määritelkää yrityksessä selkeästi, mitä tekoälytyökaluja käytetään, miten dataa suojataan ja pidetään ihminen aina mukana päätöksenteon ketjussa (human-in-the-loop).
5. Älä elä luulon varassa, testaa rutiinit
Mika Lindberg muistuttaa, että kyberturva on lopulta tylsiä rutiineja pitkin vuotta. Suurin virhe on olettaa, että asiat ovat kunnossa.
- Varmuuskopioiden testaaminen: Ei riitä, että varmuuskopioita otetaan automaattisesti. Niiden palauttamista on testattava säännöllisesti. (Historian saatossa on nähty pk-yrityksiä, joissa sihteeri vaihtoi tunnollisesti varmuuskortionauhat joka päivä, mutta palvelimen hajottua huomattiin nauhojen olleen vuosia tyhjiä, koska toimivuutta ei ollut koskaan testattu).
- Ajantasaisuus: Kybermaailma muuttuu nopeasti. Esimerkiksi vuosia suositeltu monivaiheinen tunnistautuminen (MFA) on edelleen kriittinen, mutta rikolliset ovat jo kehittäneet menetelmiä sen ohittamiseen (kuten MFA-väsymyshyökkäykset). Siksi omaa osaamista ja suojauksia on päivitettävä jatkuvasti.
Miten aloittaa myrskynpitävän IT:n rakentaminen?
Älä etsi netistä valmista, geneeristä riskitaulukkoa, vaan istu alas ja määrittele oman yrityksesi kriittisimmät riskit:
- Mikä järjestelmä tai data on meille niin kriittinen, että sen pysähtyminen lamauttaa tuotannon tai laskutuksen?
- Mitä teemme, jos järjestelmätoimittaja menee konkurssiin tai laitteet kryptataan huomenna aamulla?
- Mitkä ovat ne konkreettiset stepit ja rutiinit, joilla suojaudumme?
Usein kysytyt kysymykset (FAQ) – Kyberturvallisuus
Mitä tarkoittaa myrskynpitävä IT?
Myrskynpitävä IT tarkoittaa ennustettavaa, vakaata ja vankalle perustalle rakennettua tietohallintoa ja tietoturvaa. Se kestää toimintaympäristön äkilliset muutokset ja uhat, koska skenaariot ja varautumistoimenpiteet on mietitty ja testattu etukäteen.
Mitä on Varjo-AI (Shadow AI) ja miksi se on riski?
Varjo-AI tarkoittaa tekoälyjärjestelmien ja -työkalujen luvatonta tai hallitsematonta käyttöä organisaatiossa ilman IT-hallinnon tietoisuutta tai hyväksyntää. Se muodostaa merkittävän riskin tietosuojalle ja liikesalaisuuksille, jos yrityksen luottamuksellista dataa syötetään julkisia tekoälymalleja opettaviin järjestelmiin.
Voiko pk-yritys ulkoistaa vastuun kyberturvallisuudesta?
Ei voi. Yritys voi ulkoistaa teknisen suorittamisen, ylläpidon ja valvonnan asiantuntevalle kumppanille, mutta juridisesta ja toiminnallisesta kokonaisvastuusta vastaa aina yrityksen oma johto ja hallitus (osakeyhtiölain ja kyberturvallisuuslain mukaisesti).
Lisää vastauksia kysymyksiin antaa: