Yrityksen tiedot karkaavat julkisuuteen. Yritykseltä varastettuja luottokorttitietoja kaupitellaan internetissä. Yritysten www-sivut eivät toimi. Yritysten tietokoneet hajoavat ja vievät tiedot mukanaan. Yritysten tyhjiksi luulluista vanhoista tietokoneista löytyykin asiakkaiden luottamuksellisia tietoja. Yrityksen toimintaa vakoillaan kännykkään asennetun haittaohjelman avulla. Yksittäistapauksia kaikki, mutta silti niillä on yksi yhdistävä tekijä: tietoturva on niissä kaikissa pettänyt ja pahemman kerran.

Nykyaikaisen yrityksen on pakko käyttää tietoteknisiä palveluita ja välineitä. Yrityksen on pakko olla internetissä. Riippuvuus tietotekniikasta ja internetin käyttö tuovat mukanaan aivan uuden tyyppisiä riskejä yrityksen toiminnalle. Osa riskeistä johtuu tietoja ja tietokoneita käyttävien ja ylläpitävien ihmisten osaamattomudesta tai ajattelemattomuudesta. Osa taas internetissä majailevien rikollisten tarkoituksellisesta toiminnasta. Yhteistä ja tyypillistä näille tietoturvariskeille on se, että niiden olemassaoloon havahdutaan vasta sitten, kun vahinko on jo tapahtunut. Tietoturvariskien hallinnan avaintermi onkin ennalta ehkäiseminen.

Huonoja uutisia – toteutunut tietoturvariski voi viedä asiakkaasi

Mitä yrityksille voi seurata tietoturvaonnettomuuksista? Tappiot liikkuvat menettyjen tietojen luottamuksellisuuden ja hajonneiden tietokoneiden käyttötarkoituksen mukaan pienistä haitoista, mainetappioiden kautta taloudellisiin menetyksiin ja aina oikeusseuraamuksiin saakka. Selvää on, että asenteet tietoturvan leväperäistä hoitamista kohtaan ovat kovenemassa. Sekä lainsäätäjän että kuluttajien reaktiot eivät enää pitkään tule jatkumaan nykyisellä, melko sallivalla tasolla. Uusi suomalaistutkimus yritysjohtajien keskuudessa puhuukin karua kieltään. Yritys, jonka tiedot ovat esimerkiksi tietomurron tai tietoteknisen vian tai virheen vuoksi vuotaneet julkisuuteen koetaan epäluotettavaksi ja epämieluisaksi kumppaniksi. Nykyisissä taloussuhdanteissa yhdelläkään yrityksellä ei ole varaa herättää kielteisiä mielikuvia asiakkaidensa ja kumppaneidensa joukossa. Ei ainakaan tietoturvattomuuden takia.

Hyviä uutisia – yrityksen tietotuva on hoidettavissa kuntoon

Yrityksen tietoturva on hoidettavissa hyvälle tasolle varsin pienillä asioilla. Läheskään aina ei puhuta edes rahasta. Suurin osa tietoturvaa parantavista asioista liittyy tietojen ja tietokoneiden käyttäjien ja ylläpitäjien toiminnan kehittämiseen. Tietoturvaonnettomuuksien torjuntakeinot on sovitettava kunkin yrityksen tilanteeseen ja liiketoiminnan vaatimuksiin. Kaiken avain on yrityksen tärkeiden tietojen ja tietojärjestelmien tunnistaminen ja yrityskohtainen riskianalyysi. On tiedettävä, mitä vaatimuksia yrityksen tietoihin ja yrityksen käyttämiin tietoteknisiin palveluihin kohdistuu. On tiedettävä, millaiset tietoturvauhat yrityksen tärkeisiin asioihin kohdistuvat. Vasta riskien ja uhkien tunnistaminen mahdollistaa niiden hallinnan ja torjumisen.

Tahtoa ei yrityksissä puutu – tietoa ja taitoa kylläkin

Miksei tietoturva-asioita sitten hoideta kuntoon, vaan joudumme taas ja taas lukemaan uusista tietovuodoista ja tietoteknisistä vastoinkäymisistä? Tahtoa ei yrityksistä varmasti puutu. Onhan tietoturvauhissa kysymys sellaisista vakavista riskeistä, jotka voivat toteutuessaan muuttua liiketoiminnan operatiivisiksi riskeiksi. Kysymys onkin enemmän tiedon kuin tahdon puutteesta. Yrityksissä ei yksinkertaisesti tunneta tietoturvaan ja tietotekniikkaan liittyvi riskejä riittävästi – ei myöskään riskien hallitsemiseen liittyviä keinoja.

Esa Arvas
Tietoturvakouluttaja ja -konsultti, CISSP, esa.arvas@ornanet-koulutus.fi