Miten vastuullinen kyberturvallisuus tukee kasvua?

Vastuullisuus on selvästi nousemassa yritysten ja niiden johdon suorituskyvyn mittariksi taloudellisen menestyksen rinnalle.

Sijoittajat, asiakkaat ja viranomaiset arvioivat yhtiöitä perustuen ympäristöön, sosiaalisiin ja hyvään hallintotapaan liittyviin tekijöihin, joista muodostuu lyhenne ESG (Environmental, Social, Governance). ESG-tekijöiden huomioiminen, mittaaminen ja raportointi alkaa olla välttämätöntä yrityksille, jotka haluavat näyttää sitoutumistaan kestävään kehitykseen. Hyvä ESG-arvio tukee esimerkiksi yrityksen rahoitusmahdollisuuksia sekä houkuttavuutta sijoituskohteena. Erään varainhoitajan tutkimuksen mukaan yli puolet sijoittajista sanoo kyberturvallisuuden olevan yksi tärkeimpiä ESG-huolenaiheita.

Joissain kestävän kehityksen arvioinneissa ja indekseissä kyberturvallisuus otetaan jo huomioon. Esimerkiksi Dow Jonesin kestävän kehityksen indeksissä (DJSI) käytettävä S&P Global CSA -arviointiviitekehys katsoo yhtiön valmiuksia reagoida vakaviin tieto- ja kyberturvallisuuden häiriöihin sekä arvioi myös aiemmin tapahtuneiden tietoturvaloukkausten ja muiden häiriöiden aiheuttamia taloudellisia vaikutuksia. Lisäpisteitä arvioinnissa saa, jos yhtiön hallituksessa on selkeä kyberturvallisuudesta vastaava henkilö, jolla on kokemusta ja kykyä valvoa kyberturvallisuuden strategian toimeenpanoa. Muita tärkeitä kybervastuullisuudesta kertovia tekijöitä ovat henkilöstön osaamisen kehittäminen, tietoturvan hallinnan sertifioinnit sekä ulkoiset haavoittuvuusarviot ja muut varmennukset.

Miten kyberturvallisuus näkyy ESG-tekijöissä?

Kyberturvallisuuden ja digitaalisten riskien mittarit ovat luonteva osa ESG-viitekehysten hyvään hallintotapaan (Governance) liittyviä tekijöitä. Kestävyysraportointistandardit sijoittavat muun muassa sisäisen valvonnan ja riskienhallinnan menetelmät tähän kategoriaan, kuten myös ulkoistussuhteiden hallinnoinnin. Digitaalisten riskien mittarit ja niiden kehitys voivat kertoa paljon yrityksen johdon asenteista ja käyttäytymisestä markkinoilla. Näiden mittarien avulla voidaan viestiä, miten kyberturvallisuuteen ja tietosuojaan suhtaudutaan. Lainsäädännön vaatimusten täyttäminen on tietysti yksi tavoite, mutta siinä onnistumista tai epäonnistumista pystytään usein arvioimaan vasta jälkikäteen, kun riskille on jo altistuttu ja jälkihoidossa joko onnistutaan tai ei. Luottamusta kannattaakin rakentaa etukäteen osoittaen mittareilla miten vaikkapa toipumissuunnitelmat, kriisienhallinta ja muu varautuminen on rakennettu ja testattu.

ESG-tekijöissä kyberturvallisuus liittyy myös sosiaaliseen vastuullisuuteen. Viimeaikaisten uutisten valossa ei jää epäselväksi, miten esimerkiksi potilastietoihin kohdistunut tietomurto vaikuttaa sosiaalisiin tekijöihin, kuten yksityiselämään ja turvallisuuteen. Tietoturvaloukkauksilla voi olla jopa erittäin vakavia ja kauaskantoisia vaikutuksia rikosten uhreiksi joutuneiden terveyteen. Samoin tietoturvan peruskontrolleissa epäonnistuminen on näyttäytynyt yhteiskunnan kriittisten toimintojen keskeytyksenä, kun esimerkiksi energian jakelua jouduttiin katkaisemaan Yhdysvalloissa Colonial Pipeline -öljyputkea hallinnoivaan yhtiöön kohdistuneen kyberuhan takia.

Nämä häiriöt ja muut ”kyberpäästöt” ovat hyviä esimerkkejä havainnollistamaan, mikä merkitys kyberturvallisuudella on myös ESG-tekijöihin, kun pyritään osoittamaan vastuullisuutta.

Miten kyberpäästöjä kompensoidaan?

Kyberturvallisuuden ja digitaalisten riskien mittarit voi asettaa läpinäkyvästi, ja niiden avulla voidaan välittää kuvaa organisaatiosta, joka ymmärtää millaisille uhkille se voi altistua ja miten se on varautunut niistä koituviin riskeihin asianmukaisesti. Ilmastonmuutoksenkaan osalta moni ei voi heti saavuttaa päästöjen laskennallista nollatasoa, vaan ensin hiilipäästöjä leikataan ja kompensoidaan oikeansuuntaisesta muutoksesta viestien. Kyberturvallisuuden ”päästöjä” ovat haavoittuvuudet. Toisinaan niistäkään ei voida heti päästä kokonaan eroon, vaan ensin joudutaan rakentamaan kompensoivia kontrolleja.

Pitääkö kyberturvallisuuttakin kehittää kestävästi? Onko pakko?

Tietoturvajohtajan kannattaa ottaa ESG-tekijät huomioon, kun etsitään liiketoiminnallisia perusteita kyberturvallisuuden kehittämisen investoinneille. Perinteinen ”riskeillä pelottelu” ei ole toiminut enää aikoihin – sen sijaan ylin johto haluaa nähdä konkreettista ja mitattavaa hyötyä kehitystoimille. Vastuullisuus, kestävä kehitys ja ESG-tekijät tarjoavat tähän jälleen kerran loistavan mahdollisuuden. Laadukas ja läpinäkyvä vastuullisuudesta raportoiminen ja sen varmentaminen voidaan nähdä myös kilpailuetuna.

Myös yrityksen toimiala vaikuttaa ESG-tekijöiden taloudelliseen olennaisuuteen ja voi korostaa esimerkiksi kyberturvallisuuden merkitystä. Toki vastuullisen sijoittamisen ESG-mittareiden yhteismitallisuutta kohtaan on esitetty myös kritiikkiä, ja kuumalla alalla esiintyy varmasti liian suuria odotuksia sekä tuoton että vaikuttavuuden osalta. Pakollisiksi vaatimuksiksi ESG-mittareilla on vielä matkaa, ja esimerkiksi kestävyysraportointia koskeva direktiivi on vielä työn alla. Pakko ei siis ole, mutta esimerkiksi vastuullisia sijoituskohteita etsivät ovat alkaneet tehdä jo omia johtopäätöksiään. Finsifin keväällä 2021 tekemän tutkimuksen mukaan jopa 60 prosenttia suomalaissijoittajista kertoi huomioivansa ESG-tekijöitä sijoituspäätöksiä tehdessään.