Digitalisaatio ja lisääntyvä datan määrä haastavat yritysten tietoturvallisuutta. Kysyimme Provincian kehitysjohtaja Ari Puustiselta (kuvassa) sekä Evershades Asianajotoimiston juristi Otto Michelseniltä, miten kyberturvallisuusuhkilta tulee suojautua.
Provincian kyberasiantuntijan, kehitysjohtaja Ari Puustisen mukaan tietoturvauhkia on ollut niin kauan kuin sähköposti ja internet ovat olleet olemassa. Viime vuosina niiden haavoittuvuuksiin on havahduttu Suomessakin mediassa runsaasti julkisuutta saaneiden terveysalan yritysten tietoturvaloukkausten myötä.
”Yleisimmät tietoturvariskit kohdistuvat meihin ihmisiin palveluiden käyttäjinä. Viime vuonna kaikista maailman kyberhyökkäyksistä 70 prosenttia on alkanut yksittäisen käyttäjän sähköpostista. Hakkerit ovat niin taitavia, että esimerkiksi pankin tai viranomaisen viestejä imitoiviin sähköposteihin on helppo haksahtaa”, Puustinen toteaa.
Mikäli yksittäisen käyttäjän samoilla tunnuksilla kirjaudutaan useaan järjestelmään, vääränlaisen sähköpostin klikkaus voi avata hakkerille ovet yrityksen sensitiiviseen asiakasdataan.
”Taloushallinnon toimialalle tyypillistä on se, että yrityksen kautta kulkee valtavia datamassoja, jotka ovat kytköksissä asiakkaiden järjestelmiin usean eri liittymän läpi. Meidän tehtävämme on varmistaa järjestelmien ja liittymien turvallisuus ja identiteetin hallinta koko ketjussa, asiakkaalta meille ja meiltä eteenpäin.”
Tavoitteena ISO27001-sertifiointi
Ari Puustisen mukaan Provinciassa on tehty kahden viime vuoden aikana ansiokasta työtä toiminnan ja tukiprosessien kuvaamisen osalta.
”Kyberturvallisuudessa kokonaisuuden hahmottaminen on kaiken lähtökohta. Meillä on selkeä kuva kyberturvallisuuden vaatimuksista ja kehittämiskohteista sekä siitä, mitä voimme tehdä itse ja mihin tarvitsemme kumppaneita. Tavoitteenamme on, että tietoturvallisuuden hallintajärjestelmämme on ISO27001 sertifiointiin valmis vuoden kuluttua.”
Sertifiointiprosessiin liittyen Provinciassa käydään kuluvan vuoden aikana läpi tiukalla kammalla läpi jokainen asiakasjärjestelmiin kytkeytyvä liittymä.
”Tietoturvallisuuden osalta tulemme positiivisessa mielessä haastamaan myös asiakkaitamme. Osalta voimme varmasti myös oppia uutta”, Puustinen jatkaa.
Koko ketjun valvontaa
Eversheds Asianajotoimiston Senior Associate Otto Michelsen tuntee tekoälyn ja datan sääntelyn lakikiemurat.
Hän sanoo, että pian voimaan astuva kyberturvallisuuslaki velvoittaa yrityksiä perehtymään aiempaa kattavammin omaan toimintaympäristöönsä.
”Yritysten tulee jatkossa tuntea paremmin toimitusketjunsa, tunnistaa ja arvioida siihen liittyvät riskit ja huolehtia tietoturvaan liittyvistä asioista, ottamalla samalla kuitenkin huomioon muun soveltuvan lainsäädännön, kuten esimerkiksi tietosuoja-asetuksen. Kyberturvallisuuslaissa on määritelty velvoitteet myös toimitusketjuun kuuluvien alihankkijoiden valvontaan ja auditointiin.”
Tietoturvaloukkaukset tapahtuvat nykyään useasti alihankintaketjujen liittymäkohdista. Michelsen suositteleekin miettimään toiminnan ja palvelujen turvaamista riskilähtöisesti.
Esimerkiksi tietojen, mukaan lukien henkilötietojen, turvaamisessa keskeistä on ottaa käyttöön tiettyjä teknisiä toimenpiteitä. Käytännön tasolla se tarkoittaa kaksivaiheista tunnistautumista, salasanojen päivityskäytäntöjä ja käyttöoikeuksien tietoturvallista hallintaprosessia.
Syyskuussa sovellettavaksi tulevan EU:n Datasäädöksen kohdalla monet organisaatiot kartoittavat Michelsenin mukaan tällä hetkellä hallussaan olevaa dataa ja arvioivat datanhallintaan liittyviä toimintamalleja ja mahdollisuuksia.
”Tulevaa datasäädöstä ajatellen on oleellista tunnistaa, onko yritys datan haltija, käyttäjä vai kolmas osapuoli, sillä se heijastuu datan hallinnan ja jakamisen velvoitteisiin sekä sopimusvaatimuksiin.”
Tekoälystä toiminnan moottori
Lain koura ulottuu jatkossa myös tekoälyn hyödyntämiseen. EU:n tekoälyasetuksen 4. artikla vaatii organisaatioita toteuttamaan toimenpiteitä, joilla varmistetaan henkilöstön riittävä tekoälylukutaito organisaation ottaessa käyttöön tekoälyjärjestelmiä. Organisaation on samalla hyvä tunnistaa myös järjestelmiin liittyvät tietoturvariskit ja henkilötietojen käsittelyä koskevat ulottuvuudet.
”Käytännössä artikla ohjaa organisaatioita varmistamaan niiden henkilöiden tekoälyosaaminen ja -ymmärrys, jotka ovat työssään jollain tavalla tekemisissä tekoälyjärjestelmien kanssa”, Michelsen toteaa.
Hän kannustaa yrityksiä ja organisaatioita hyödyntämään rohkeasti tekoälyn mahdollisuuksia.
”Uusia tekoälyjärjestelmiä ja käyttötarkoituksia tulee jatkuvasti lisää. Olkaa rohkeita ja kokeilkaa niitä! Monet organisaatiot etsivät tekoälyn avulla mahdollisuuksia toiminnan tehostamiseen, mutta pitkällä aikavälillä tekoälyn integroiminen osaksi organisaation strategiaa voi poikia täysin uusia palveluja ja liiketoiminta-alueita.”
Otto Michelsen, Evershades Asianajotoimisto