Lähes puolelta organisaatioista puuttuu kokonaisvaltainen kyberturvallisuusstrategia
Organisaatiot eivät edelleenkään varaudu riittävän tehokkaasti kyberhyökkäyksien varalta. PwC:n globaalin selvityksen mukaan 44 prosentilla ei ole kokonaisvaltaista kyberturvallisuusstrategiaa ja 54 prosentilta puuttuu toimintasuunnitelma kyberhyökkäyksen sattuessa. Henkilöstön koulutuksesta ei myöskään huolehdita riittävästi – vain noin puolella vastanneista on käytössään turvallisuuden tietoisuusohjelma.
Tietoturvan tilannetta vuosittain selvittävä PwC:n 2018 Global State of Information Security® Survey perustuu yli 9 500 ylimmän johdon edustajan ja teknologiajohtajan vastauksiin 122 maassa.
”Kyberhyökkäyksistä on tullut lähes arkipäivää ja ne nousevat otsikoihin jatkuvasti. Tästä huolimatta monet organisaatiot ympäri maailmaa kamppailevat edelleen ymmärtääkseen ja hallitakseen kyberriskejä monimutkaistuvassa digitaalisessa toimintaympäristössä”, PwC:n digitaalisen turvallisuuden liiketoiminnasta vastaava johtaja Jani Arnell sanoo.
Selvityksen mukaan johtajat tunnistavat kyberturvallisuutta vaarantavat riskit. Kyselyyn vastanneista merkittävimmäksi kyberhyökkäyksen seuraukseksi 40 % nimesi toimintojen keskeytymisen, 39 % arkaluontoisten tietojen vaarantumisen, 32 % tuotelaadun vahingoittumisen ja 22 % ihmishenkeä uhkaavat vahingot.
Vaikka johto on tietoinen kyberhyökkäyksien seurauksista, kokonaisvaltainen valmistautuminen hyökkäyksiin on kuitenkin riittämätöntä.
Suurin osa kyberhyökkäyksen kohteeksi joutuneista organisaatioista ilmoittaa, ettei hyökkäyksiä pystytä selkeästi tunnistamaan; vain 39 % kyselyyn vastanneista sanoo olevansa erittäin varma kyvystään tunnistaa hyökkäykset legitiimistä toiminnasta. Yrityksistä 44 % sanoo, ettei niillä ole kokonaisvaltaista kyberturvallisuusstrategiaa ja 48 % sanoo, ettei heillä ole työntekijöiden tietoturvakoulutusohjelmaa. 54 % yrityksistä myöntää, ettei heillä ole toimintasuunnitelmaa kyberhyökkäyksen sattuessa.
”Kyberturvallisuus ja tietosuoja ovat koko organisaation toimintaedellytysten kannalta keskeisessä roolissa. Jos yrityksen toimiva johto ei reagoi riittävästi digitaalisen toimintaympäristön uhkiin eikä yrityksellä ole kokonaisvaltaista strategiaa digitaalisen toimintaympäristön uhkien hallitsemiseksi, yrityksen hallituksen tulee puuttua asiaan. Riittämätön varautuminen aiheuttaa taloudellisia menetyksiä, syö yrityksen toimintaedellytyksiä ja nakertaa asiakkaiden, osakkeenomistajien ja muiden sidosryhmien luottamusta. Operatiiviseksi riskiksi aiemmin mielletystä kyberriskistä on syntynyt strateginen riski, jota on hallittava aktiivisesti”, Arnell toteaa.
Yhteistyö kriittistä menestyksen kannalta
Vaikka esineiden internet luo uusia liiketoimintamahdollisuuksia, lisää yhä kasvava turvattomien IoT-laitteiden määrä laajamittaisista tietoturvahaavoittuvuuksista aiheutuvia uhkia. Tiedon eheyteen liittyvät riskit saattavat heikentää luotettuja järjestelmiä ja aiheuttaa fyysistä vahinkoa vahingoittamalla myös kriittistä infrastruktuuria. Tämä saattaa vaarantaa pahimmillaan yhteiskuntien elintärkeitä toimintoja.
Kyberturvallisuuteen valmistautumisessa on isoja maakohtaisia eroja. PwC:n selvityksen mukaan kyberturvallisuusstrategian laatineiden organisaatioiden osuus on erityisen korkea Malesiassa (74 %) sekä Japanissa (72 %), jossa kyberhyökkäykset nähdään johtavana kansallisena turvallisuusuhkana.
G7-maiden johtajat lupautuivat toukokuussa 2017 työskentelemään yhdessä sekä muiden kumppaneiden kanssa torjuakseen kyberuhkia ja lieventääkseen niiden vaikutusta kriittiseen infrastruktuuriin ja yhteiskuntaan. Kaksi kuukautta myöhemmin G20-maiden johtajat vahvistivat tarpeen kyberturvallisuuden kehittämiselle sekä digitaalisen teknologian luottamuksen vahvistamiselle.
”Työsarka on valtava. Vain harvat asiat vaikuttavat lähes kaikkiin liiketoiminta-alueisiin globaalisti siten kuin kyberturvallisuus tänään. Siksi myös julkisten ja yksityisten toimijoiden välinen yhteistyö on äärimmäisen tärkeää kyberturvallisuuden tehokkaan hallinnan kannalta. Emme voi sulkeutua erillisiksi saarekkeiksi luoden esteitä kilpailukyvylle, vaan meidän on löydettävä yhdessä kaikkia eri toimijoita ja heidän tarpeitaan edistäviä ratkaisuja. Samalla rakennetaan luottamusta koko digitaalisen toimintaympäristöön”, Arnell toteaa.
Yritysjohdon tulisi keskittyä nyt kolmeen kyberturvallisuutta edistävään alueeseen:
Toimivan johdon pitää reagoida sekä hallituksien valvoa
Ylimmän johdon tulee ottaa omistajuutta ja keskeistä roolia digitaalisen turvallisuuden resilienssin kasvattamisessa. Kokonaisvaltainen digitaalisen turvallisuuden strategia tietoturvaa ja -suojaa uhkaavien riskien hallitsemiseksi on toimintaedellytysten varmistamisen elinehto.
Digitaalisen turvallisuuden vahvistaminen tulee nähdä mahdollisuutena
Panostuksia kyberturvallisuuden ja tietosuojan kehittämiseen ei pidä nähdä ainoastaan riskien välttelynä, vaan tietoisesti valittuna tienä vahvemmalle pohjalle rakennetulle menestyksekkäälle liiketoiminnalle.
Yhteistyöhön ja tiedonvaihtoon tulee panostaa tietoisesti
Julkisten ja yksityisten toimijoiden on tehtävä enenevässä määrin yhteistyötä yli organisaatio- ja maarajojen. Näin nykyisiä, nousevia ja tulevaisuuden uhkia voidaan kartoittaa ja tunnistaa, maarajat ylittäviä järjestelmäriippuvuuksia arvioida ja riskejä hallita.
2018 Global State of Information Security® Survey
Lisätietoa:
Jani Arnell, PwC, puh. 0400 882 027, jani.arnell@fi.pwc.com
PwC auttaa yrityksiä kasvamaan, toimimaan tehokkaasti ja raportoimaan luotettavasti jatkuvasti muuttuvassa toimintaympäristössä. Apunasi on Suomessa yli 1 000 asiantuntijaa ympäri maan. Palveluitamme ovat liikkeenjohdon konsultointi, yritysjärjestelypalvelut, veroneuvonta, lakipalvelut, riskienhallinta sekä tilintarkastus- ja muut varmennuspalvelut. Tarkoituksenamme on rakentaa yhteiskuntaan luottamusta ja ratkaista asiakkaidemme merkittävimpiä ongelmia. Lisää tietoa: www.pwc.fi. Twitter: @PwC_Suomi.
PwC toimii 158 maassa yli 236 000 asiantuntijan voimin. Nimi PwC viittaa PwC-ketjuun ja/tai yhteen tai useampaan sen jäsenyritykseen, joista jokainen on oma itsenäinen yhtiö. Lisää tietoa: www.pwc.com/structure.
Avainsanat:
