Kyberhyökkäyksen seuraukset ulottuvat paljon teknistä häiriötä laajemmalle. Tietomurron vaikutukset riippuvat sen laajuudesta, mutta yleisimpiä seurauksia ovat taloudelliset menetykset, mainehaitta sekä oikeudelliset seuraamukset.
– Laadukas tietoturvakartoitus on tärkein vakuutuksesi. Tekoälyn nopeasti laajeneva käyttö korostaa tietoturvan merkitystä, sanoo tietoturva-asiantuntija Jarmo Laakso 3NFocus-tietoturvayhtiöstä tiedotteessa.
Tietoturvakartoitus on monelle organisaatiolle tuttu käsite, mutta sen laatu vaihtelee valtavasti.
Laakson mukaan liian usein kartoituksesta saadaan tuloksena vain pintapuolinen lista yleisluontoisia havaintoja, joiden perusteella on vaikea tehdä konkreettisia päätöksiä. Hänen mukaansa todellinen hyöty syntyy vasta, kun kartoitus tehdään perusteellisesti ja oikein.
– Laadukas tietoturvakartoitus ei rajoitu pelkkään tekniseen tarkasteluun, vaan se käy systemaattisesti läpi organisaation henkilöstön osaamisen ja tietoturvatietoisuuden, sillä inhimilliset tekijät ovat yhä useamman tietoturvapoikkeaman taustalla, Laakso kuvaa.
– Samalla kartoitetaan käytössä olevat järjestelmät ja sovellukset sekä niiden keskinäiset riippuvuudet. Oleellista on, että koko tarkastelu tehdään lainsäädännön näkökulmasta riippumatta siitä, onko kyse GDPR:stä, NIS2-direktiivistä tai toimialakohtaisista vaatimuksista.
Hänen mukaansa laadukas kartoitus ei jätä arvailemaan.
– Hyvän kartoituksen tunnistaa myös sen tuottamista raporteista, Laakso tiivistää.
Hänen mukaansa johto tarvitsee tiiviin yhteenvedon riskeistä ja niiden liiketoimintavaikutuksista, kun taas IT-osasto kaipaa yksityiskohtaista teknistä raporttia havainnoista ja korjausehdotuksista. Näiden lisäksi organisaatio saa käyttöönsä selkeän toimenpidelistan, joka priorisoi tehtävät kiireellisyyden mukaan. Jokainen toimenpide-ehdotus sisältää arvion sekä tarvittavasta ajasta että kustannuksista. Näin johto voi budjetoida realistisesti ja aikatauluttaa korjaukset liiketoiminnan ehdoilla. IT-osasto puolestaan pystyy suunnittelemaan työkuormansa ja tarvittaessa kilpailuttamaan ulkopuolisia palveluntarjoajia vertailukelpoisin tiedoin.
Laakso muistuttaa, että varautumisen kustannukset etukäteen ovat murto-osa verrattuna realisoituneen riskin aiheuttamiin kustannuksiin. Kun vertaa kartoituksen hintaa yhdenkin tietomurron aiheuttamiin selvityskuluihin, tuotannon seisokkeihin, mainevahinkoihin ja mahdollisiin sanktioihin, investoinnin kannattavuus on selvä.
Hänen mukaansa kyse ei ole siitä, onko organisaatiolla varaa tietoturvakartoitukseen, vaan kyse on siitä, onko sillä varaa olla ilman sitä.
Sanktiot ovat todellisia
Lainsäädännön noudattamatta jättäminen tulee kalliiksi. Suomessakin on jo määrätty GDPR-sakkoja useille organisaatioille.
Laakso tietää, että eräs yritys sai seuraamusmaksun, koska se ei ollut kertonut rekisteröidyille heidän oikeuksistaan muuttoilmoituksen yhteydessä. Toinen puolestaan sai sanktion, koska se paikansi työntekijöitään ajotietojärjestelmän avulla ilman vaadittua tietosuojavaikutusten arviointia. Kolmas yritys sai seuraamusmaksun, koska se oli kerännyt rekrytoitavilta tarpeettomia henkilötietoja, kuten tietoja terveydentilasta, uskonnosta ja perhesuhteista.
GDPR-sakot voivat nousta jopa neljään prosenttiin yrityksen vuotuisesta liikevaihdosta. Suurissa yrityksissä kyse voi olla jopa miljoonista euroista. Lisäksi uusi NIS2-direktiivi tuo omat vaatimuksensa, ja sanktiot voivat muodostua seuraamusmaksuista tai vastuullisilta henkilöiltä voidaan jopa väliaikaisesti kieltää yrityksen johtotehtäviin osallistuminen.
