Digitalisaatio muuttaa tietoturvallisuuden pelikenttää

Organisaatiot digitalisoivat palvelujaan. Sen myötä pilvialustat yleistyvät palvelualustoina, liiketoimintamallit muuttuvat ja riippuvuus IT-järjestelmistä ja globaalin tietoverkon toiminnasta kasvaa. Kaikki tämä edellyttää uutta osaamista sekä tarkempaa tietoturvallisuuden huomioimista läpi palveluketjujen ja digitaalisten ekosysteemien.

Digitalisaatio asettaa aivan uudenlaisia haasteita tietoturvallisuudelle ja tiedon saatavuudelle. Jos palvelu ei toimi luotettavasti, on teknisesti epävakaa tai altis murroille ja muulle kyberrikollisuudelle, luottamus häviää, vaikka liiketoimintamalli muuten olisikin toimiva. Lisäksi EU:n tietosuoja-asetus asettaa omat vaatimuksensa henkilötietojen tietoturvalliselle käsittelylle ja suojaamiselle.

Digitalisaatio ei ole vielä onnistunut tuomaan ratkaisua kyberturvan varmistamiseen sormia napsauttamalla, vaan se vaatii toimenpiteitä ja osaamista. Digitaalisen palvelun ostajalla on harvoin osaamista tai resursseja arvioida ratkaisun luotettavuutta ja tietoturvallisuutta.

Esimerkkinä IoT

Esineiden internet (IoT, Internet of Things) ja laajemmin teollinen internet (IIoT, Industrial Internet of Things) ovat digitalisaation vetureita, ja niiden merkitys kasvaa lähivuosina räjähdysmäisesti. Uusi teknologia aiheuttaa myös huolia: hyödyntämishaluja olisi, mutta sitä ei tunneta riittävästi. KPMG:n hiljattain julkaiseman raportin mukaan1 92 % IoT:n hyödyntäjistä on huolissaan nykyratkaisujen turvallisuudesta.

Huolet eivät ole tuulesta temmattuja: monet IoT-toimittajista ovat kiirehtineet markkinoille puolivalmiilla tuotteilla, joissa tietoturvaa ei ole otettu huomioon. Tietoturva on nähty hidasteena, eikä oleellisena suunnitteluperiaatteena. Tämän seurauksia näkyy mediassakin, esimerkiksi autojen takaisinkutsuina ja kiinalaisten kameroiden osallisuutena laajaan DDoS-hyökkäykseen nimipalvelun tarjoajaa vastaan.

Digitaaliset alustat, pilvipalvelut ja IoT toimivat usein laajan ekosysteemin ja pitkien tuotantoketjujen varassa, mikä lisää epävarmuutta. Perinteiset tietoturvan hallintamallit ja ohjeistukset laahaavat perässä, samalla kun ratkaisuja kehitetään ketterästi ja uusia palveluja voidaan ottaa käyttöön minuuteissa. Epävarmuutta ja puutteellista informaatiota voidaan kuitenkin hallita.

Tunnista riskit

Jos nykytilan riskit ja valmiudet eivät ole selvillä, ne kannattaa kartoittaa. Teknologian lisäksi on syytä tunnistaa organisatoriset ja tietotuvan johtamiseen liittyvät ongelmat. Tämän ei tarvitse olla massiivinen projekti, vaan muitakin lähestymistapoja löytyy: esimerkiksi UK:n Cyber Essentials perustuu kevyimmillään itsearviointeihin ja soveltuu myös PK-yrityksille. Alkukartoituksen jälkeen omaa tilannetta voi verifioida ammattilaisten avulla. KPMG käyttää tähän Cyber Maturity Assessment (CMA) -metodologiaa.

Jos liiketoiminta on digitaalista, myös riskit ovat digitaalisia

Jos liiketoiminta on digitaalista, myös riskit ovat digitaalisia. Kun tuodaan aiemmin suljetut tietojärjestelmät lähemmäs asiakasta, niin uusia haavoittuvuuksia ilmenee. Näitä riskejä ei voi ulkoistaa IT-vastaavalle tai hänen tiimilleen, vaan ne kuuluvat johdon agendalle siinä missä muutkin liiketoimintariskit. Esimerkiksi EU:n tietosuoja-asetuksen sanktiot tietovuototapauksien yhteydessä voivat olla jopa viisi prosenttia yrityksen maailmanlaajuisesta liikevaihdosta tai maksimissaan 100 miljoonaa euroa.

Oman palvelun turvallisuus voidaan osoittaa yhteistyökumppaneille erilaisilla sertifioinneilla tai varmennuslausunnoilla. Esimerkiksi ISO 27001 -sertifiointi on globaalisti tunnustettu. Erilaisia muita sertifiointeja, kuten terveysalan KANTA, käytetäänkin jo nyt kansallisissa ratkaisuissa ekosysteemiin liittymisen pakollisina vaatimuksina. Pilvipalvelun tarjoajan näkökulmasta puolestaan kolmannen osapuolen suorittaman ISAE-varmennuslausunnon tai muun sertifioinnin hyödyt näkyvät auditointien määrän vähenemisessä sekä ajan ja resurssien käytön optimoimisessa.

Joissain tapauksissa organisaatioilla on tarve toteuttaa myös virallisia tietoturvallisuuden arviointeja, jotka perustuvat kansalliseen turvallisuusauditoinnin KATAKRI-kriteeristöön ja valtionhallinnon VAHTI-vaatimuksiin. KPMG IT Sertifiointi Oy:llä on pätevyys tietoturvallisuuden arviointilaitoksena tehdä viranomaisten tietojärjestelmien arviointeja sekä viranomaisen salassa pidettävää tietoa käsittelevien yritysten tietoturvallisuustason arviointeja. Arviointien pohjalta organisaatiot voivat kehittää tietoturvallisuustasoaan kyseisen viitekehyksen mukaisesti tai osoittaa vaatimustenmukaisuustodistuksella vaatimusten toteutumisen viranomaisille, sidosryhmilleen sekä asiakkailleen.

Vahvista perustaa

Kun nykytila on selvillä, voidaan tunnistaa suurimmat akuutit riskit ja ryhtyä korjaaviin toimenpiteisiin. Tietoturva on pitkäjänteistä työtä, mutta jos alkukartoituksessa havaitaan esimerkiksi heikosti suojattuja henkilötietoja, on syytä ruveta nopeisiin toimiin. Tietoturvaan liittyy usein myös lainsäädäntöä, mutta erityisesti tietosuoja-asetus on vahva: uusi tilivelvollisuuden periaate velvoittaa rekisterinpitäjää uudella, aiempaa selvästi sanktioidummalla tavalla. Riskipohjainen lähestyminen auttaa priorisoimaan tässä vaiheessa tärkeimmät akuutit parannuskohteet.

Nykytilanteen ja tavoitetilojen kartoituksen jälkeen voidaan luoda kehityssuunnitelma. Joskus on lähdettävä liikkeelle perusasioista, kuten tietojen luokittelusta ja ympäristön kuvauksista. Täysimittaista kokonaisarkkitehtuuriharjoitusta ei välttämättä tarvitse tehdä. Tärkeintä on saada ajantasainen tilannekuva sekä käyttäjistä että järjestelmistä ja niiden tietoturvan tasosta, jotta voidaan arvioida riskejä ja niiden vaikutuksia.

Sertifioinnin lisäksi ostajalla on myös muita tapoja hallita toimittajariskejään. Varsinkin IoT-ympäristöihin on kasvamassa omaa integraattoritoimintaa, jossa kontrollia hajautetuista ympäristöistä ja toimittajakentästä vastuutetaan teknologian ja uhkienhallinnan tuntevalle integraattorille.

Digitaalisessa ympäristössä on kuitenkin mahdotonta suojautua hyökkäyksiltä täydellisesti, koska kukaan ei voi eristäytyä globaalista tietoverkosta. Tätä epävarmuutta hallitsemaan voi ottaa kybervakuutuksen.

Tulevaisuus?

Tietoturva aletaan ymmärtämään entistä vahvemmin kestävän liiketoiminnan taustatekijänä. Koska IoT ja digitalisaatio muuttavat liiketoimintaympäristöjä perusteellisesti, nousee myös tietoturva yhä useammin johtoryhmän agendalle. Kyseessä on niin suuri asia, että sitä ei voida jättää pelkästään IT-osaston pöydälle. Asiakkaiden yksityisyydestä ja tietoturvasta huolehtivat yritykset nauttivat luottamusta, mikä näkyy pitkän aikavälin tuloksessa. Villin lännen meiningillä toimittavilla voi tulos olla hetkellisesti hyvä, mutta kestävällä pohjalla toiminta ei ole.