Kun kyberturvan tekniset menetelmät, lukuisat tuotteet ja kasvavat investoinnit eivät pysty osoittamaan tehokkuuttaan ja pitämään kyberriskejä hyväksyttävällä tasolla, liiketoiminta alkaa kyseenalaistaa investointien kannattavuutta. Tällöin saatetaan luottaa enemmän rasti-ruutuun-vaatimustenmukaisuuteen, joka edistää liiketoimintaa suoraviivaisemmin. Vastuukysymykset nousevat tärkeiksi ja sen myötä alalle tulevat juristit omilla toimintamalleillaan. Tällä on kohtalokkaita vaikutuksia yritysten todelliseen suojaustasoon.
Kyberturvassa tehdään paljon turhia investointeja ja työtä, joilla ei ole mitattavaa hyötyä kyberriskien vähentämiseksi. Asiantuntija-arvioiden mukaan jo puolet investoinneista voi kohdistua hyödyttömiin ratkaisuihin, joita viitekehykset ja tietoturvamallit syöttävät alalle. Liian usein mietitään miten kontrollia ja turvaamista tehdään, kun pitäisi keskittyä olennaisempaan ja helpompaan kysymykseen: miksi näitä teknisiä ratkaisuja käytetään. Jos tietoturvalle ei löydy selvää syytä, se on luultavasti turhaa. Kyberalalla on vaikeuksia yhdistää teknisten suojausten vaikutus kyberhyökkäyksiin ja niistä aiheutuneisiin taloudellisiin menetyksiin. Kybervakuutuksien tarjoajat ovat kuitenkin aitiopaikalla näkemässä, miten kyberhyökkäykset yrityksiin tapahtuvat ja mitkä ovat rahalliset menetykset. Tätä tietoa ei vain saada jaettua kaikkien käyttöön.
Vaatimustenmukaisuus edistää liiketoimintaa
Tekninen tietoturva on usein estoja ja kieltoja, jotka haittaavat liiketoimintaa. Vaatimustenmukaisuudesta sen sijaan on tullut liiketoiminnan edistäjä, koska valmiista tarkistuslistasta voi ruksata kohdat täytetyksi ja sen jälkeen voi olla hyväksytysti ”tietoturvallinen”. Kauppa käy, kun luottamus ja vakuudet ovat näennäisesti kunnossa. Miksi investoida enempää kuin on välttämätöntä?
Kun yritykset eivät itse saa kyberturvaa parannettua, sääntelyn avulla yritetään kiristää ruuvia ja laittaa yritykset toteuttamaan asioita. Todellisuudessa vaatimustenmukaisuus jää eräänlaiseksi staattiseksi lomakkeeksi jatkuvasti muuttuvassa IT-ympäristössä. Siitä puuttuvat prioriteetit, konteksti ja muutoksien huomioiminen, jotka kaikki ovat avaimia tehokkaaseen kyberturvaan. Vaatimustenmukaisuus luo virheellisen turvallisuudentunteen, tekee kyberhyökkäyksistä jopa helpompia toteuttaa ja ajaa työntekijät pois mielekkäämpien töiden pariin. Tietoturvajohtajat menettävät mahdollisuuden ottaa käyttöön lisäturvaa, jota sääntely ei vaadi.
Juristit ohjaksiin ja mitä siitä seuraa
Akateemiset tutkijat Daniel W. Woods ja Aaron Ceross esittävät julkaisussaan “Blessed Are the Lawyers, for They Shall Inherit Cybersecurity” ajatuksen, että juristit ottavat kyberturva-alaa haltuunsa entistä enemmän. Vaatimustenmukaisuuden ja sen monimutkaisuuden lisääntyessä tarvitaan lisää oikeudellista tulkintaa ja määrittelyitä. Vastuu, tai paremminkin sen välttely, nousee isoon rooliin. Juristit määrittävät entistä enemmän tietoturvapäätöksiä ja tietoturvajohtajat joutuvat vastuuseen päätöksistä ja toimista, joihin heillä ei ole mitään mahdollisuutta vaikuttaa. Tietoa pimitetään ja tietoturvariskit muuttuvat vastuukysymyksiksi ja oikeusriskiksi. Ala muuttuu väkisinkin salailevammaksi ja sulkeutuneemmaksi.
Vastuun välttely ei mitenkään paranna suojaamisen edellytyksiä. Erilaiset näkemykset, parhaiden käytäntöjen puute ja oikeusajattelu sotkee alaa entistä enemmän. Todellisuus on se, että jos kyberhyökkäys osuu yritykseen, se ei pitkällä aikavälillä vaikuta yrityksen taloudelliseen menestykseen mitenkään. Hyökkäyksen uhri selviää vähemmällä, jos se lupaa parantaa tietoturvaansa jälkikäteen esim. uudella tiimillä, tuotteella tai sertifioinnilla. Oikeusajattelussa vakiintuneiden käytäntöjen noudattaminen riittää ja sillä voi ostaa armahduksen. Kukaan ei saa potkuja Palo Alton tai Microsoftin ostamisesta. Jos juristien rooli kasvaa, tietoturvavalmistajat varmasti ottavat heidät jakelukanavakseen. Juristit valitsevat omat suosikkivalmistajat ja toimintamallit, jotka syötetään yrityksiin.
Miten tietoturvaa voisi mitata?
Tietoturva on kyllä liiketoiminnan edistäjä, mutta harvoin se tuottaa liikevaihtoa muuta kuin tuotteiden valmistajille. Yrityksissä vaikuttavuuden mittareita voi yrittää hakea kustannussäästöistä. Modernien työkalujen ja automaation avulla tiimien tehokkuus kasvaa. Samalla työn mielekkyys parantuu ja työntekijöiden pitäminen talossa on helpompaa. Myös kumppanien ja konsulttien käyttöä voidaan vähentää. Oikeat tietoturvatuotteet nopeuttavat pakollisia auditointeja ja vähentävät riskiä joutua kalliiksi tulevan kyberhyökkäyksen kohteeksi. Myös kybervakuutuksen saaminen on helpompaa ja edullisempaa. Nämä säästöt pitää pystyä muuntamaan numeroiksi, joita liiketoiminta ymmärtää. Näin vaikuttavuus on todistettu.
Blogin kirjoittaja
Antti Leimio
Network Security Architect
