Digitalisaatio muuttaa monia toimialoja. Riskienhallinta muuttuu alustataloudessa. Mutta onko tietoturva vain ”a place where all good ideas go to die”? Miksi tietoturva on digitaalisen liiketoiminnan kannalta keskeinen kysymys ja miten se tulisi huomioida?
Digitalisaatio muuttaa riskienhallintaa
Digitalisaatio on ilmiönä laaja ja sitä voi olla vaikea yleistää tarkastelematta sitä toimialakohtaisesti. Digivaluutat ja blockchain muuttavat varsinkin finanssialaa, kun taas kognitiivinen tietojenkäsittely teknologia-alaa ja IoT vahvasti kuluttajatuotteiden alaa. Pilvialustat ovat kaiken perustana. Digitalisaatio muuttaa liiketoimintamalleja ja se edellyttää uutta osaamista.
Riskienhallinnan kannalta mielenkiintoinen ilmiö on uudenlaisten luottamusmekanismien yleistyminen. Suuret digitaaliset alustat keräävät käyttäjiä yhteen ja keskeistä on tiedon avoimuus ja tasapuolisuus palveluiden ja tuotteiden myyjien sekä ostajien välillä. Myös sekä ostajat että myyjät arvioidaan, mikä laskee väärinkäytösten määrää.
Tästä esimerkkeinä ovat mm. mikrolainauspalvelut tai Uber. Mikrolainaus muodostaa uuden globaalin markkinan ja se perustuu käyttäjien väliseen luottamukseen, eikä viranomaisten ylläpitämiin luottotietoihin. Myös Uber toimii tällä periaatteella, mikä on aiheuttanut keskustelua taksireguloinnin ajantasaisuudesta.
Yleisesti voidaankin sanoa, että digitalisaation myötä kasvanut avoimen informaation määrä laskee tarvetta reguloinnille, jota on tehty suojaamaan taloudellisten transaktioiden eri osapuolia.
Miten digitalisaatio ja tietoturva kohtaavat?
Digitalisaatio ja sen liiketoimintamallit perustuvat luonnollisesti ICT-järjestelmiin ja globaaliin tietoverkkoon. Mikäli palvelu ei toimi luotettavasti, on teknisesti epävakaa tai altis murroille ja muulle kyberrikollisuudelle, luottamus häviää, vaikka liiketoimintamalli olisikin toimiva. Lisäksi EU:n tietosuoja-asetus asettaa paljon vaatimuksia henkilötietojen tietoturvalliselle käsittelylle ja suojaamiselle.
Valitettavasti digitalisaatio ei ole vielä tuonut ratkaisua kyberturvan varmistamiseen sormia napsauttamalla, vaan se vaatii toimenpiteitä ja osaamista. Siinä missä digitalisaatio on monilla aloilla tasapäistänyt informaatiota ostajien ja myyjien välillä, digitaalisten ratkaisujen kehittäminen on yhä ala, jota leimaa epäsuhtainen informaatio. Tilaajalla on harvoin osaamista tai resursseja arvioida ratkaisun luotettavuutta ja tietoturvallisuutta.
Esimerkkinä IoT
Esineiden internet (IoT), tuo digitalisaation veturi, on monissa lähteissä arvioitu kasvavan lähivuosina merkittävästi. Tämä uusi teknologia aiheuttaa myös huolia: hyödyntämishaluja olisi, mutta sitä ei tunneta riittävästi. KPMG:n hiljattain julkaiseman raportin mukaan 92% IoT:n hyödyntäjistä on huolissaan nykyratkaisujen turvallisuudesta.
Huolet eivät ole tuulesta temmattuja: Monet IoT-toimittajista ovat kiirehtineet markkinoille puolivalmiilla tuotteilla, joista puuttuu alkeellisimmatkin tietoturvaelementit. Tietoturva on nähty hidasteena, eikä oleellisena suunnitteluperiaatteena. Seurauksia näkyy mediassakin, mm. autojen takaisinkutsuina.
Digitaaliset alustat, pilvipalvelut ja IoT ovat usein laajan ekosysteemin ja pitkien tuotantoketjujen varassa toimivia. Tämä lisää epävarmuutta. Toisaalta perinteiset tietoturvan hallintamallit ja ohjeistukset laahaavat perässä, kun ratkaisujen kehittäminen on ketterää ja uusien palvelujen käyttöönotto tapahtuu minuuteissa. Olemmekin koonneet tähän muutamia parhaita käytäntöjä, joilla voidaan hallita epävarmuutta ja puutteellista informaatiota.
Tunnista tilanteesi
Mikäli nykytilan riskit ja valmiudet eivät ole sinulle selviä, kartoita ne. Tämän ei tarvitse olla massiivinen projekti, kevyempiäkin lähestymisiä löytyy. Näistä esimerkkeinä mm. UK:n Cyber Essentials, joka perustuu kevyimmillään itsearviointeihin ja soveltuu myös PK-yrityksille. Alkukartoituksen jälkeen voi verifioida tilannettaan myös ammattilaisten avulla.
Teknologian lisäksi organisatoriset ja johtamiseen liittyvät ongelmat on syytä tunnistaa. Jos liiketoiminta on digitaalista, ovat myös riskit siihen liittyviä. Aiemmin suljetut tietojärjestelmät tuodaan lähemmäksi asiakasta, mikä tuo uusia haavoittuvuuksia. Näitä riskejä ei voi ulkoistaa IT-vastaavalle tai hänen apulaiselleen, vaan ne kuuluvat johdon agendalle siinä missä muutkin liiketoimintariskit. Esimerkkinä EU:n tietosuoja-asetuksen sanktiot tietovuototapauksien yhteydessä, jotka voivat olla jopa 5 prosenttia yrityksen maailmanlaajuisesta liikevaihdosta tai maksimissaan 100 miljoonaa euroa.
Erilaiset sertifioinnit tai varmennuslausunnot paikkaavat epätasaista informaatiota asiakkaan ja palveluntarjoajan välillä ja sellaisen edellyttäminen on tervettä riskienhallintaa. Usein myös niillä voidaan vakuuttaa kumppanit oman palvelun turvallisuudesta.
Esimerkiksi ISO 27001-sertifiointi on hyvin tunnettu. Erilaisia sertifiointeja käytetäänkin jo nyt kansallisissa ratkaisuissa ekosysteemin liittymisen pakollisina vaatimuksina, esimerkkinä terveydenhoitopuolen KANTA-sertifioinnit. Pilvipalvelun tarjoajan näkökulmasta puolestaan kolmannen osapuolen suorittaman ISAE-varmennuslausunnon tai muun sertifioinnin hyödyt näkyvät auditointien määrän vähenemisessä ja ajan sekä resurssien käytön optimoimisessa.
Tee akuutit korjaukset
Nykytilan ollessa selvillä, voidaan tunnistaa suurimmat akuutit riskit ja ruveta korjaaviin toimenpiteisiin. Tietoturva on pitkäjänteistä työtä, mutta jos alkukartoituksessa havaitaan vaikka heikosti suojattuja henkilötietoja, on syytä ruveta nopeisiin toimiin. Tietoturvaan liittyy vähän lainsäädäntöä, mutta tietosuoja-asetus on vahva. Uusi tilivelvollisuuden periaate nimittäin velvoittaa rekisterinpitäjää uudella, huomattavasti aiempaa enemmän sanktioidulla tavalla. Riskipohjainen lähestyminen auttaa priorisoimaan tässä vaiheessa tärkeimmät akuutit parannuskohteet.
Vahvista perustaa
Nykytilanteen ja tavoitetilojen kartoituksen jälkeen on mahdollista luoda kehityssuunnitelma. Joskus on lähdettävä perusasioista, kuten tiedonluokittelusta ja ympäristön kuvauksista, liikkeelle. Mitään täysimittaista kokonaisarkkitehtuuriharjoitusta ei kuitenkaan tarvitse tehdä. Tärkeintä on saada ajantasainen tilannekuva sekä käyttäjistä että järjestelmistä ja niiden tietoturvan tasosta, jotta voidaan arvioida riskejä ja niiden vaikutuksia.
Tyypillisiä sudenkuoppia digitalisoituvissa ympäristöissä liittyy pääsynhallintaan. Digitaalisten kanavien avaaminen edellyttää käyttäjien, laitteiden ja käyttöoikeuksien hallintaa, joka on usein hajautunut useisiin järjestelmiin ilman selkeitä vastuita. Tämä on kuitenkin syytä laittaa kuntoon, mikäli halutaan säästää vaivaa ja alentaa riskejä. Keskitetty pääsynhallinta edustaa myös hyvää käyttökokemusta.
Sertifioinnin lisäksi ostajalla on myös muita tapoja hallita toimittajariskejään. Varsinkin IoT-ympäristöihin on kasvamassa omaa integraattoritoimintaa, jossa kontrollia hajautetuista ympäristöistä ja toimittajakentästä vastuutetaan teknologian ja uhkienhallinnan tuntevalle integraattorille.
Digitaalisessa ympäristössä on kuitenkin mahdotonta suojautua hyökkäyksiltä täydellisesti, koska rajoja ei voida laittaa kiinni. Tätä epävarmuutta hallitsemaan voi ottaa kybervakuutuksen.
Tulevaisuus?
Nähtävissä on, että tietoturva aletaan ymmärtämään kestävän liiketoiminnan taustatekijänä. Koska IoT ja digitalisaatio muuttavat liiketoimintaympäristöjä perusteellisesti, nousee myös tietoturva yhä useammin johtoryhmän agendalle. Kyseessä on niin suuri asia, että sitä ei voida jättää pelkästään IT-osaston pöydälle. Asiakkaiden yksityisyydestä ja tietoturvasta huolehtivat yritykset nauttivat luottamusta, mikä näkyy pitkän aikavälin tuloksessa. Villin lännen meiningillä toimittavilla voi tulos olla hetkellisesti hyvä, mutta kestävällä pohjalla toiminta ei ole.
Teijo Peltoniemi, Senior Manager, vetää arkkitehtuuripalveluita KPMG:n kyberturvayksikössä.
teijo.peltoniemi [ät] kpmg.fi
Mika Iivari, Director, vastaa KPMG:n kyberturvallisuuden hallintaan ja vaatimustenmukaisuuteen liittyvistä palveluista. mika.iivari [ät] kpmg.fi