Halutaanko tietoturvasta halpa vai hyvä?

Mitä jos tietoturvaan ei investoida riittävästi? Voiko siitä seurata muutakin kuin kohonneita riskejä? Mitä asialle voisi tehdä? Kysymyksiä pohtivat kyberturvallisuuskonsulttimme Timo Valonen ja Jouni Ali-Kovero.

EY:n Global Information Security Survey 2021 -tutkimuksen (GISS) mukaan hyökkäykset yritysten järjestelmiin ovat lisääntyneet ja niiden keinot monipuolistuneet, mutta kyberturvallisuuteen käytettävät varat eivät ole kasvaneet samassa suhteessa. 

Kansainväliseen GISS-tutkimukseen osallistui yli tuhat tietoturvajohtajaa eri markkina-alueilta ja liiketoiminnan sektoreilta. Lähes 40 prosenttia GISS-tutkimuksen vastaajista toteaa, että kyberturvallisuuden budjetti ei riitä vastaamaan pandemian aikana nousseisiin uusiin uhkiin. Vastaajista 36 prosenttia pelkää investointien puutteesta johtuvan hyökkäyksen olevan vain ajan kysymys.

Miksi budjetti ei riitä?

Tiukalle kiristetyt kukkaronnyörit eivät yksinkertaisesti anna mahdollisuuksia vastata lisääntyneiden kyberturvallisuusuhkien aiheuttamiin haasteisiin. Budjettiensa kanssa kamppailevat tietoturvajohtajat yrittävät kaikkensa kaventaakseen tarpeen ja rahoituksen välistä kuilua, mutta varoja ei siltikään riitä. Budjettiongelma juontaa juurensa yritysten puutteelliseen ymmärrykseen kyberturvallisuudesta sekä siihen, että kyberturvallisuutta ei välttämättä huomioida liiketoiminnan kehityshankkeiden suunnittelussa –se nähdään edelleen enemmän pakollisena pahana kuin liiketoiminnan mahdollistajana. Todellisuudessa järkevästi rakennetuilla kyberturvaprosesseilla pystytään paljon muuhunkin kuin abstraktien riskien välttämiseen – esimerkiksi tehostamaan tuotekehitystä, kun haavoittuvuuksien kalliit pikakorjaukset vähentyvät.

Millaisiin ratkaisuihin riittämätön budjetti sitten johtaa? Suurin osa GISS-tutkimuksen vastaajista kertoo, että turvallisuusvaatimusten tasoa on pitänyt linjata uudelleen. Kustannuspaineiden vuoksi legacy-ratkaisujen käyttöikää on jatkettu ja korjausvelan annettu kertyä. Osa tietoturvajohtajista toteaa joutuneensa vähentämään innovaatiokehittelyä keskittyäkseen operatiiviseen toimintaan.

Pakon sanelema innovaatioista karsiminen tapahtuu usein harmillisesti käytettävyyden kustannuksella. Liiketoiminnot joutuvat tyytymään vaikeakäyttöisiin järjestelmiin, joihin ei esimerkiksi pääse käsiksi yhdellä kirjautumisella, ja vanhentuneet legacy-ratkaisut jäävät käyttöön pidemmäksi aikaa, vaikka niissä saattaa päivitystuen puutteen vuoksi olla vakaviakin haavoittuvuuksia.

Valoa tunnelin päässä?

Vaikka budjetti ei kasva, tietoturvajohtajat ovat onnistuneet lisäämään edustustaan johtoryhmissä. GISS-tutkimuksen vastaajista yli puolet sanoo, että kyberturvallisuus on johtoryhmän agendalla vähintään neljä kertaa vuodessa. Luku on kasvanut merkittävästi viime vuodesta. Parannettavaa silti löytyy, sillä EY Global Board Risk Survey -tutkimuksen mukaan johtoryhmissä ollaan aiempaa epävarmempia kyberriskien hallintakeinojen tehokkuudesta. 

On hienoa huomata, että kehityssuunta on raportoinnin osalta positiivinen. Johdolle suunnatun raportoinnin merkitystä ei turhaan korosteta alan standardeissa ja johtavien käytäntöjen oppaissa: millä muulla budjetin tarpeellisuutta voisi paremmin perustella kuin sillä, että kyberturvallisuudesta ja sen vaikuttavuudesta pystytään viestimään päätöksentekijöille. Johtoryhmissä olisikin syytä vastuuttaa kyberturvallisuuden edistäminen selkeästi.

Lopuksi

Raportointikäytäntöjen laatiminen ja varsinkin sopivien tietoturvan mittareiden löytäminen voi olla haastavaa. Usein suosittelemmekin aloittamaan joko itsearviona tai ulkoisen kumppanin kanssa tehtävällä nykytila-analyysilla. Hyviä esimerkkejä ovat mm. Kyberturvallisuuskeskuksen Kybermittari ja EY:n Cyber Program Assessment -viitekehys, jolla voimme arvioida kyberturvallisuuden nykytilan kypsyyttä suhteessa muihin vastaavan alan toimijoihin, ja suositella käytännönläheisiä parannuskohteita. Kun tietoturvan nykytila ymmärretään, kehityksen seuranta ja investointitarpeiden perustelu on helpompaa.

EY:n 1300 kyberturvallisuuden ja riskienhallinnan ammattilaista ympäri Eurooppaa ovat valmiita auttamaan asiakkaitamme kaikissa kyberturvallisuuteen liittyvissä haasteissa. Mikäli tarvitset apua nykytila-arvion tekemiseen tai tukea muilla kyberturvallisuuden osa-alueilla, ota yhteyttä!