PwC:n globaali selvitys: Yritykset eivät huomioi riittävästi kolmansien osapuolien mahdollisesti aiheuttamia kyberriskejä
Kolmansien osapuolten mahdollisesti aiheuttamat kyberriskit ovat yritysten turvallisuusasioiden sokea piste, ilmenee PwC:n tuoreesta Global Digital Trust Insights -selvityksestä. Selvityksessä havaittiin myös, että jopa viidesosalla vastaajista oli vain vähän tai pahimmassa tapauksessa ei lainkaan ymmärrystä mahdollisista kolmansien osapuolien välityksellä tapahtuvista tietomurtoihin liittyvistä riskeistä.
Suurin osa yrityksistä ei ole ajan tasalla kolmansien osapuolten aiheuttamista kyberriskeistä, kertoo PwC 2022 Global Digital Trust Insights -selvitys. Yritysten kokonaiskuvaa kyberturvasta hämärtävät niin liikesuhteiden kuin myyjä- ja toimittajaverkostojen monimutkaisuus. Kyselytutkimukseen osallistui 3 600 toimitusjohtajaa ja muuta johtajaa ympäri maailmaa.
Selvityksessä havaittiin, että 60 prosentilla vastaajista oli vajavainen ymmärrys kolmansien osapuolten välityksellä mahdollisesti aiheutuvista tietomurtoihin liittyvistä riskeistä, kun 20 prosentilla oli näistä ymmärrystä vain vähän tai ei lainkaan.
Samalla jopa 60 prosenttia johtohenkilöistä arvioi kyberrikollisuuden määrän edelleen kasvavan entisestään vuoden 2022 aikana. Huomionarvoista on myös se, että jopa 56 prosenttia vastaajista arvioi yrityksensä ohjelmistoihin liittyvien toimitusketjujen kautta tapahtuvien tietoturvaloukkausten määrän nousevan, mutta vain 34 prosenttia oli tehnyt varsinaisen riskiarvion tilanteesta.
Vastaavasti 58 prosenttia uskoo, että pilvipalveluihin kohdistuvien hyökkäysten määrä kasvaa merkittävästi, mutta ainoastaan 37 prosenttia vastaajista on toteuttanut varsinaisen riskiarvion pilvipalveluihin kohdistuvista riskeistä.
Asiantuntija pitää tuloksia varsin hälyttävinä.
– On tärkeää ymmärtää, että yritykset voivat olla alttiina hyökkäyksille silloinkin, kun niiden oma kyberturva on yleisesti ottaen hyvällä tasolla. Taitavat hyökkääjät kohdistavat hyökkäyksensä heikoimpaan lenkkiin, ja joskus se heikoin lenkki on yrityksen käyttämässä toimitusketjussa, sanoo PwC Suomen kyberturva- ja tietosuojapalveluista vastaava Jani Arnell.
Arnell muistuttaa, että näkyvyyden kasvattaminen sekä kolmansien osapuolten verkostojen ja riippuvuuksien hallinta on yrityksille ensiarvoisen tärkeää.
– Silti vain alle puolet tutkimukseen vastanneista kertoo valmistautuneensa uhkiin, joita monimutkaiset liiketoimintaekosysteemit aiheuttavat, Arnell jatkaa.
Tiedon hallintaa pidetään monimutkaisena
Tutkimuksen perusteella valtaosa organisaatioista kertoo minimoivansa kolmansien osapuolten aiheuttamia riskejä auditoimalla tai tarkastamalla toimittajiensa vaatimustenmukaisuuden (46 %), jakamalla kyberturvallisuuteen liittyvää tietoa kolmansien osapuolten kanssa, auttamalla näitä muutoin parantamaan kyberturvaansa (42 %) tai käsittelemällä kyberresilienssiin liittyviä kustannus- tai aikasidonnaisia haasteita (40 %).
Iso osa vastaajista ei kuitenkaan ole tarkentanut kolmansille osapuolille määriteltyjä vaatimuksia tai kriteereitä (58 %), muokannut sopimuksia (60 %) tai ottanut käyttöön tarkempia asianmukaisen huolellisuuden, eli ns. Due Diligencen -menettelytapoja (62 %) tunnistaakseen paremmin kolmansien osapuolten aiheuttamia uhkia.
Hälyttävää on myös se, että lähes kolme neljäsosaa vastaajista kertoo kokevansa, että heidän organisaationsa tietoinfrastruktuurin monimutkaisuus aiheuttaa huolestuttavia kyber- ja tietosuojariskejä. Sekä tiedon hallintaa että tietoinfrastruktuuria pidettiin osa-alueina, joissa on eniten tarpeetonta, vältettävissä olevaa monimutkaisuutta.
Vaikka kolme kymmenestä vastaajasta kertoi yrityksensä virtaviivaistaneen toimintatapojaan kahden viime vuoden aikana, parhaiten pärjänneet olivat jopa viisi kertaa todennäköisemmin virtaviivaistaneet toimintatapojaan koko yrityksen tasolla.
Toimitusjohtajan panoksella on väliä
Selvityksen mukaan eri yritysten toimitusjohtajat ja johtotason henkilöt ovat eri mieltä siitä, kuinka paljon toimitusjohtaja todellisuudessa tukee kyberturvallisuuden toimintoja.
Toimitusjohtajat näkevät itsensä yleensä osallistuvampina ja kokevat tarjoavansa enemmän tukea kyberturvaan liittyvien tavoitteiden asettamisen ja niiden saavuttamisen suhteen kuin miten heidän tiiminsä asian kokee. Vastaajat ovat kuitenkin yksimielisiä siitä, että toimitusjohtajan aktiivinen osallistuminen kyseisten tavoitteiden asettamiseen ja edistämiseen vaikuttaa huomattavasti saavutettaviin tuloksiin.
Ne yritykset, jotka kertoivat parantaneensa kyberturvansa tasoa eniten, olivat jopa 12 kertaa muita vastaajia todennäköisemmin saaneet kattavaa ja syvällistä tukea toimitusjohtajiltaan. Valtaosan mielestä toimitusjohtajien ja yritysten hallitusten kouluttaminen siten, että nämä voivat paremmin täyttää kyberturvaan liittyvät velvollisuutensa, on merkittävin askel turvallisemman digitaalisen yhteiskunnan saavuttamiseksi vuoteen 2030 mennessä.
– Selvityksemme osoittaa selkeästi, että edistyneimmät organisaatiot tarkastelevat kyberturvaa laajempana yrityksen menestykseen vahvasti sidottuna kokonaisuutena. Toimitusjohtajat ovatkin avainasemassa siinä, keskittyvätkö kyberturvatiimit enemmän isoon kuvaan, kasvun tukemiseen sekä luottamuksen rakentamiseen vai vain lyhyen tähtäimen operatiivisiin tehtäviin, PwC:n Jani Arnell toteaa.
Lue lisää täältä: https://www.pwc.com/dti2022
Lisätietoja: Jani Arnell, Cybersecurity & Privacy Leader
Mobile: +358 400 882 027
Email: jani.arnell@pwc.com
Tietoja selvityksestä, joka sisältää myös tietoa mm. yritysten kyberturvainvestoinneista:
Global Digital Trust Insights 2022 -selvitykseen osallistui 3 602 liike-elämän sekä teknologia- ja turvallisuusalan johtotason henkilöä (toimitusjohtajat, yritysjohtajat, talousjohtajat, keskustietojärjestelmien tietoturvavastaavat, tietohallintojohtajat ja muut pääjohtajatason toimihenkilöt). Selvityksen toteutti PwC Research vuoden 2021 heinä-elokuun aikana. Kuusikymmentäkaksi prosenttia vastaajista johtaa yrityksiä, joiden liikevaihto on miljardi Yhdysvaltain dollaria tai enemmän, kun taas 33 prosenttia työskentelee yrityksissä, joiden liikevaihto on yli 10 miljardia Yhdysvaltain dollaria. Vastaajat toimivat useilla eri toimialoilla: teknologia, media, televiestintä (23 %), teollinen valmistus (22 %), rahoituspalvelut (20 %), vähittäiskauppa ja kuluttajamarkkinat (16 %), energia, palvelut ja resurssit (8 %) ), terveydenhuolto (7 %) sekä julkiset palvelut (3 %). Vastaajat jakautuivat alueittain seuraavasti: Länsi-Eurooppa (33 %), Pohjois-Amerikka (26 %), Aasian ja Tyynenmeren alue (18 %), Latinalainen Amerikka (10 %), Itä-Eurooppa (4 %), Lähi-Itä (4 %) ja Afrikka (4 %).
PwC:n tarkoitus on rakentaa yhteiskuntaan luottamusta ja ratkaista merkittäviä ongelmia. Autamme yrityksiä kasvamaan, toimimaan tehokkaasti ja raportoimaan luotettavasti jatkuvasti muuttuvassa toimintaympäristössä. Apunasi on Suomessa yli 1 200 asiantuntijaa ympäri maan. Palveluitamme ovat liikkeenjohdon konsultointi, yritysjärjestelypalvelut, veroneuvonta, lakipalvelut, riskienhallinta, tilintarkastus ja muut varmennuspalvelut. Lisää tietoa: www.pwc.fi. Twitter: @PwC_Suomi.
PwC toimii 156 maassa yli 295 000 asiantuntijan voimin. Nimi PwC viittaa PwC-ketjuun ja/tai yhteen tai useampaan sen jäsenyritykseen, joista jokainen on oma itsenäinen yhtiö. Lisää tietoa: www.pwc.com/structure.