Miksi meidän toimialalla pitäisi huolehtia tietoturvasta?
Tietoturva mielletään usein erityisen tärkeäksi organisaatioille ja liiketoiminnoille, jotka ovat suorassa vuorovaikutuksessa asiakkaan kanssa digitaalisten kanavien, kuten verkkokaupan tai asiakasporttaalin, kautta. GDPR toi lisää määrämuotoisia vaatimuksia kaikille henkilödataa sisältäville palveluille, mikä herätti usean organisaation tietoturvan tarpeellisuuteen. Perinteisen teollisuuden tai valmistavaa tuotantoa harjoittavilla toimialoilla toimivien organisaatioiden parissa tietoturvan merkitystä toiminnan jatkuvuudelle, liiketoiminnan kasvulle sekä riskienhallinnalle on vasta hiljattain alettu ymmärtää kattavasti. Erityinen haaste tämä on organisaatioissa, joissa siirrytään fyysisestä maailmasta digitaaliseen, esimerkiksi tuotannon osia tietokoneistamalla, tuotetta, palvelua tai siihen liittyvää tukea digitalisoimalla tai virtualisoimalla tai tavoittelemalla suurempaa kattavuutta ja tehokkuutta uusilla markkinoilla ja asiakasryhmissä digitaalisten kanavien avulla.
Tässä blogissa avaan ajatuksiani siitä, millaisia liiketoimintalähtöisiä tietoturvaan liittyviä näkökulmia kannattaa ottaa huomioon myös tuotantotoimintaa harjoittavissa organisaatioissa, erityisesti jos tietoturvalähtöinen ajattelu ei ole aikaisemmin ollut osa jokapäiväistä liiketoiminnan ja riskien analyysiä.
Pohdin kysymystä kolmen näkökulman kautta. Tuotannon jatkuvuus, virheettömyys ja ennustettavuus on elintärkeää tuotteita valmistavan organisaation kannalta. Tieto sen kaikissa muodoissa on enenevässä määrin tuotantotekijä, sekä organisaation arvokasta pääomaa. Tuotteisiin liittyy entistä enemmän digitaalisia komponentteja, esimerkiksi itse tuotteessa voi olla digitaalisia osia tai toiminnallisuuksia, siihen liittyy palveluelementtejä tai se myydään, markkinoidaan, huolletaan tai muuten mahdollistetaan sen käyttöä digitaalisten kanavien kautta.
Tuotannon jatkuvuus, virheettömyys ja ennakoitavuus
Modernissa yrityksessä tuotantoa, logistiikkaa tai palveluita ohjataan tiedolla tai digitaalisin ohjausmekanismein. Usein nämä toiminnot ovat suoraan tai muutaman mutkan kautta yhteydessä julkiseen internettiin, tai joka tapauksessa käyttävät jonkinlaista verkkoa kommunikaatioon. Häiriö tai korruptio näissä kyvykkyyksissä voi aiheuttaa jopa tuotannon pysähtymisen, tai ainakin tuotteiden laadun heikkenemisen tai asiakastoimitusten viivästymisen ja peruuntumisen. Tuntitasolla tämän suora kustannus voi olla hyvin merkittävä, sekä asiakastoimitusten häiriintyessä brändi- ja asiakassuhdevaikutus voi olla vielä moninkertainen. Yksinkertaisimmillaan tällainen häiriö tapahtuu palveluhyökkäyksen kohteena tai kohdetta tarpeeksi lähellä olevassa yrityksessä. Myös yrityksen verkkoihin päässyt virus voi sekoittaa ydinprosessit, tai vihamielinen hakkeri tietoja poistaessaan tai korruptoidessaan. Tietoturvan nykytilanteen ja -tason ymmärtäminen auttaa paitsi oman liiketoiminnan riskien tunnistamiseen myös oman tuotantokyvykkyyden kehittämiseen. Liiketoimintalähtöisellä tietoturvan suunnittelulla voidaan tunnistaa tietovirrat ja kohteet, jotka tukevat kriittisimpiä ydinprosesseja, sekä suunnitella IT-kyvykkyydet ja resurssipanostukset niin, että pahimman sattuessa uhka on nopea tunnistaa ja torjua, tai sen vaikutus on rajattu tai muuten mahdollisimman pieni. Lisäksi hyvä itseymmärrys auttaa modernisoimaan tuotanto- ja muita prosesseja sekä teknologista kyvykkyyttä kestävästi, ja suunnittelemaan esimerkiksi liiketoiminnan ja organisaation tuotanto- ja myyntikyvykkyyden kasvu niin, että pullonkaulaksi ei muodostu yllättäen kohonnut riskitaso ja siihen liittyvät kustannukset.
Tieto organisaation tärkeimpänä liiketoimintapääomana
Tieto eri muodoissaan on modernin organisaation yksi tärkeimmistä ellei jopa tärkein pääoma. Käytännössä kaikki organisaatiot ovat – osa tietämättään – tietojenkalastelun ja tietojen varastamisyritysten kohteena. Osa näistä kokeiluista on sattumanvaraisia eikä liity suoraan yrityksen markkinatilanteeseen tai tietopääomaan, mutta enenevässä määrin on havaittavissa päämäärätietoisempaa toimintaa, jonka tarkoitus on spesifi ja liittyy nimenomaisesti kyseisen organisaation liiketoimintaan, osaamiseen tai uniikkiin positioon markkinoilla. Tiedon korruptoiminen voi vaikeuttaa tai estää yrityksen ydinprosessien toiminnan. Tiedon varastamisen taustalla voi olla organisaation kannalta “toissijaisia” tavoitteita, kuten henkilötietojen varastaminen jatkomyyntiä varten, mutta erityisesti johtavassa asemassa olevien kansainvälistä liiketoimintaa tekevien organisaatioiden tulee ottaa huomioon se mahdollisuus, että joku on kiinnostunut juuri heidän innovaatioistaan ja erikoisosaamisestaan. Joka tapauksessa, tiedon turvaaminen on olennainen osa organisaation riskienhallintaa, ja esimerkiksi asiakastiedon kohdalla merkittävä osa luottamusta, brändimielikuvaa ja viranomaisvaatimuksia. Ymmärtämällä tärkeimmän tiedon ja sen virtaamisen organisaation sisällä yritys voi keskittää tietoturvaan liittyvät resurssinsa ja toimenpiteensä juuri oikeaan kohtaa ja oikealla tavalla, ja näin panostaa juuri niihin asioihin, jotka merkittävimmällä tavalla suojaavat sen uniikkia asemaa markkinalla ja ydintoimintoja, sekä vähentävät organisaation riskiherkkyyttä. Näin yrityksen tärkeä pääoma on turvattu varastamiselta, korruptoitumiselta tai tuhoamiselta, ja jos joku tällaista yrittää, se huomataan.
Tuotteet ja palvelut, laatu, asiakasluottamus ja brändimielikuva
Maailma on siirtymässä enenevässä määrin fyysisestä digitaaliseksi. Tuotteet, jotka ovat luonteeltaan fyysisiä, sisältävät usein digitaalisia tai automaatioon liittyviä komponentteja, tai niiden arvolupaus voi muodostua myös palveluista tai muista elementeistä, jotka ovat digitaalisia.
Tietoturvatestauksella voidaan varmistaa, että tuote tai palvelu toimii myös haitallisen toiminnan kohdatessaan mahdollisimman luotettavasti. Sertifikaatti kertoo asiakkaille ja muille sidosryhmille, että tuote tai palvelu on tietoturvatestattu, ja että he voivat uskoa kriittisen resurssinsa, liiketoimintaprosessinsa tai tietonsa tuotteen tai palvelun varaan, mikä vaikuttaa luottamuksen ja asiakaskokemuksen muodostumiseen sekä yrityksen brändimielikuvaan, sekä auttaa myyntiprosessissa.
Merkittävää on ymmärtää se, että asiakas voi käyttää tuotetta, esimerkiksi konfiguroida tai kytkeä sen verkkoon, eri lailla kuin alunperin on tarkoitettu. Tuotteen tai palvelun joutuessa tietoturvahyökkäyksen kohteeksi voi tuotteen brändimielikuva olla vaarassa, vaikka mahdollinen haavoittuvuus olisi ollut asiakkaan toimilla vältettävissä. Samaten, tuotteeseen liittyvän palvelu-, tuki- tai markkinointisivuston toimivuus laventuu myös mielikuvaksi tuotteen ominaisuuksista ja laadusta. Tästä syystä tuote, palvelu tai brändi tulee ajatella kokonaisuutena, sekä huolehtia, että mikään osa siitä ei aiheuta turhaa riskiä asiakkaalle tai omalle maineelle.
Askeleet eteenpäin
Suosittelemme tietoturvan alueella systemaattista ja kokonaisvaltaista työtä käynnistävälle organisaatiolle liikkeelle lähtöä kolmesta lähestymiskulmasta:
Jos organisaatio ei ole vielä tehnyt keskitettyä ja kattavaa tietoturvaselvitystä, sen tekeminen antaa hyvän kuvan organisaation tietoturvan tasosta ja tähän liittyvistä riskeistä sekä tärkeimmistä kehittämiskohteista liiketoimintalähtöisesti, sekä lisää itseymmärrystä ja valmiutta kehittää omaa toimintaa ja kohdentaa resurssit oikein.
Jos tuotteessa tai palvelussa on digitaalisia komponentteja, sen tietoturvatestaus varmistaa halutun tietoturvan tason, ja sertifiointi antaa konkreettisen ja vahvan työkalun kommunikoida luottamusta asiakas- ja sidosryhmärajapinnassa.
Sosiaalisen tietojenkalastelun harjoitus paljastaa organisaation valmiustason kohdata vihamielisiä lähestymisyrityksiä ja sen heikot kohdat, sekä antaa hyvän työkalun nostaa henkilöstön tietoturvatietoisuutta.
Olemme kehittäneet näihin tarpeisiin lähestymistavan, joka sopii suomalaisille organisaatioille erityisen hyvin - meidän asiakaskuntamme kokoluokkaan, resursseihin ja tarpeisiin. Palvelumme kattavat kyberturvallisuuden asiantuntijapalvelut IT-ympäristöille tai yksittäisille ohjelmistoille, hakkeritestaukset ja tietoturvasertifioinnit sekä ohjelmistokehityksen tietoturvan.
Jos haluat kuulla näistä asioista tai tietoturvasta yleisesti, ota rohkeasti yhteyttä!