Kyberturvallisuus: Tämän päivän kilpailuetu – tulevaisuuden toimintaedellytys?

Tietoverkkorikollisuus mielletään usein suurien yritysten haasteeksi. Digitaalisten toimintaympäristöjen verkottumisen myötä turvassa eivät ole pienetkään toimijat.

Jos yritystiedot pääsevät vuotamaan tai korruptoitumaan, heijastuu se pahimmassa tapauksessa koko yrityksen kilpailukykyyn toimialasta riippumatta.

Pk-yritysten yleinen tietoisuus kyberuhkista ja niiden vaikutuksista liiketoimintaan ovat hyvin vähäisiä.

Monet yritykset Suomessa vaativat alihankkijoiltaan vahvoja näyttöjä tietoturvasta. Sopimuksia tai kauppoja ei allekirjoiteta, ennen kuin tietoturvan taso on todennettu. Käytäntö on olemassa jo monessa Euroopan maassa, kuten Iso-Britanniassa. Valtiovalta ei tee sopimuksia julkisiin hankintakilpailutuksiin osallistuvien yritysten kanssa ellei kyberturvallisuuden tasoa kyetä osoittamaan.

Matalan kynnyksen tietoturvakartoitukseen kehitetty Finnish Cyber Security Certificate FINCSC-sertifiointijärjestelmä on suunnattu kaikenkokoisille yrityksille ja yhteisöille.

Tieto- ja kyberturvallisuustaso on todennettavissa kustannustehokkaasti ja kevyemmin kuin massiivinen viranomaisten arviointityökalu Katakri tai ISO-standardit.

Jyväskylän ammattikorkeakoulussa (JAMK) toimiva kyberturvallisuuden tutkimus-, kehitys- ja koulutuskeskus JYVSECTEC kehittänyt ja ylläpitää sertifiointijärjestelmää.

Turvallisia tietoverkko- ja ohjelmistoratkaisuja usealle toimialalle tarjoava Cinia Group on yksi FINCSC-sertifioinnin suorittaneista yrityksistä. Ciniassa on rakennettu tieto- ja yritysturvallisuutta systemaattisesti yrityksen perustamisesta lähtien.

– Aloitimme tietoturvan rakentamisen omin voimin. Etsimme kuitenkin työkalua, joka auttaisi arvioimaan kyberturvallisuustasoa yrityksen ulkopuolelta. Osaa toiminnoistamme oli aiemmin arvioitu Katakria vastaan, mutta halusimme todentaa osaamisen myös FINCSC-tyyppisellä todistuksella, kertoo Cinia Oy:n Senior Vice President Pertti Hyvärinen.

– FINCSC-sertifioinnista on pystytty rakentamaan sopivan vaativa, mutta kevyt suorittaa. Kysymykset ovat haastavia, joten sertifiointi ei ole läpihuutojuttu.

Hyöty tietoturvakartoituksessa nousi Ciniassa esille usealla eri tavalla. Hyödyt sertifioinnista ovat olleet moninaiset verrattuna panostuksen määrään. Kun omat eväät kehittämiseen oli käytetty, nosti kartoitus esille konkreettisia muutostarpeita, joita päästiin välittömästi viimeistelemään. Sertifiointi myös motivoi arviointityöhön osallistuvia työntekijöitä.

Liiketoiminnallisesti toimivan organisaation on tärkeää pystyä osoittamaan niin nykyisille kuin potentiaalisille asiakkaille oma turvallisuuskyvykkyys. Selitellä ei tarvitse, kun osaaminen on todennettu.

Cinia aikoo tulevaisuudessa edellyttää oman alihankintaketjun tietyiltä toimijoilta FINCSC-sertifikaattia. Alihankkijoiden aineiston käsittelyn halutaan toteutuvan todennetulla tietoturvan tasolla.

Hyvärinen näkee kyberturvallisuussertifioinnin myös yritykselle kilpailuvalttina.

– Se on kilpailuetu meille itsellemme, mutta myös yrityksille, joita kilpailutamme.

Tietoturvasertifioinnista osa tulevaisuuden businesta

Helsingin seudun kauppakamari on tehnyt valtakunnallisia tietoturvaselvityksiä vuosina 2015 ja 2016. Asiantuntija Panu Vesterisen mukaan pk-yrityksillä on kautta linjan paljon kehitettävää tietoturvan saralla.

– Vastauksissa heijastuu osaamisen ja resurssien puute; yrityksessä ei ole nimetä tietoturvasta vastaavaa henkilöä ja tietoturva aihealueena on vieras. Ei ymmärretä mikä on yrityssalaisuus ja mitä suojattavaa firmalla olisi.

Helsingin seudun kauppakamari haluaa omalta osaltaan olla edistämässä yritysten tietoturvaosaamista tekemällä tutkimuksia, järjestämällä koulutuksia sekä tietoturvaseminaareja, jakamalla tietoa ja kannustamalla yrityksiä paneutumaan tietoturvaansa.

– Olemme seuranneet lähietäisyydeltä FINCSC-sertifiointijärjestelmän kehittymistä. Se on Suomen mittakaavassa tärkeä työkalu ja väline, jolla päästään ketterästi kartalle oman firman kyberturvallisuustilanteesta. Sertifioinnin myötä päästään nopeasti kiinni oikeisiin asioihin ja löydetään kehitettävät kohteet.

– Kyberturvallisuus on demokraattinen uhka yrityksen kokoa ja toimialaa katsomatta. Yritys voi olla tietoturvaiskun kohteena tai välineenä. Pelikenttä on muuttunut pysyvästi, Vesterinen summaa.

Johtamisen tuki

JAMKin IT-instituutin liiketoimintajohtaja Jarno Lötjönen korostaa FINCSC-sertifioinnin toimivan yhtenä tietohallinnon johtamisen tukivälineenä. Sertifiointi kattaa koko yrityksen toimitilat, teknologiavalinnat sekä toimintamallit laajemmin kuin pelkkä tietosuojakartoitus.

– Oman toiminnan tarkastelu, liikekumppanin luotettavuuden arviointi ja alihankintaketjujen turvallisuuden varmistaminen ovat olleet sertifioinnin kehittämisen lähtökohtina.

– Huolehdimme kysymyspatteriston ajantasaisuudesta uudistamalla kysymyksiä jatkuvasti ja huomioimalla kansalliset kriteeristöt. Erikseen nimetty ohjausryhmä seuraa kysymysten ajantasaisuutta, Lötjönen jatkaa.

JAMKin kouluttamat auktorisoidut arviointilaitokset tekevät varsinaiset arvioinnit ja raportin suosituksineen. Yritykset voivat valita arviointilaitoksen, jonka kanssa he haluavat sertifioinnin suorittaa. Arviointilaitoksia on ympäri Suomen.

FINCSC-sertifioinnista on laadittu myös Plus-versio. FINCSC Plus on konkreettinen vahvistus siitä, mitä itsearviointi on osoittanut ja että kaikki on turvallista.