Viivyttely ja lykkäys – toimii ideoinnissa muttei kyberturvassa
VIERASKYNÄ
Niko Candelin | CRO | Netox
Blogin otsikko ”viivyttely ja lykkäys” syntyi Google Kääntäjän avulla englannin kielen termistä procrastination. Suuresti arvostamani professori Adam Grantin mukaan maltillinen viivyttely antaa aivoille aikaa pohtia tehtävää tai ongelmaa. Se jättää tilaa suuremmalle luovuudelle sekä uusille innovatiivisille ideoille ja mahdollisuuksille. Grantin mukaan maltillinen viivyttely on keksijöiden ja alkuperäisten ajattelijoiden ensisijainen toimintatapa.
Johtaminen, digitalisaatio, kyberturvallisuus ja käyttäytyminen ovat olleet tutkimuskohteinani reilusti yli kymmenen vuotta. Olen kerännyt tietoa, taitoa, kokemuksia, onnistumisia ja epäonnistumisia maalta, mereltä, ilmasta – jopa avaruudesta ja kvanttikentiltä käsin. Tutkimani osa-alueet ovat laaja-alaisia ja jatkuvassa muutoksessa. Tutkijan kannalta tämä on toki herkullinen asetelma, digitaalisen talouden kannalta ei niinkään.
Saatan pitää itseäni jopa keksijänä tietyssä humalatilassa, muutaman kerran vuodessa, mutta ajattelija olen ollut aina, ja puolitotuus on parempi kuin täysi perusteettomuus. Haluan, että ensimmäisessä vieraskynäblogissani yhtiölle joka on käytännössä keksinyt internetin, voisin pohtia jotain muuta kuin kuluneita fraaseja uhkakuvista ja kybermaailmasta – tai yrittää ainakin.
Kyberturvasta tuli popularisoinnin lempilapsi
Venäjän hyökkäyssota Ukrainaan toi kyberturvallisuuden kaikkien huulille, ja yhtäkkiä melko abstrakti käsite oli popularisoinnin lempilapsi. Tutkimuksien mukaan vuonna 2019 noin seitsemän sadasta tietohallintojohtajasta (CIO) arvioi, että heidän edustamansa yritys joutuisi koskaan kyberiskun kohteeksi. Keväällä 2022 tehty mittaus muutti lukemat ja nyt heistä yli 70 % uskoo joutuvansa hyökkäyksen kohteeksi seuraavan 12 kuukauden aikana.
Kun yleinen asenne muuttuu hetkessä näin rajusti, tarkoittaako se sitä, että koko kybermaailma ja digitaalinen talous ovat pyörähtäneet reilusti kehityksessä eteenpäin? Valitettavasti näin ei ole. Ei mene päivää ettei tule uutista uudesta selvityksestä tai tutkimuksesta, jossa eri maita vertaillaan kyberkyvykkyysien kautta. Suomikin on ehditty julistaa maailman kyberturvallisimmaksi maaksi, jossa on vain 11 haavoittuvaa tietokonetta 100 000 käyttäjää kohden, mutta näiden tutkimusten menetelmät ja tulkinta ovat usein kyseenalaisia.
Tällaiset uutisoinnit ovat vaarallisia, koska ne luovat valheellista turvallisuuden tunnetta. Ne antavat tukea ajatukselle, että hyvinhän tässä menee ja jossain tehdään kyberturvan eteen isosti juttuja – itse ehditään näitä katsomaan myöhemminkin.
Näkyvyyden puuttuessa pelataan kyberriskillä venäläistä rulettia
Ukrainan sota ei ole muuttanut kyberturvan isossa kuvassa mitään. Edelleenkään kompromisseja ei saa anteeksi kun kyberriskit realisoituvat. Mikäli näkyvyyttä digitaaliseen liiketoimintaan ei ole olemassa, ei ole myöskään kontrollia kuka palveluita käyttää, mistä, miten ja minkälaisten ehtojen toteutuessa. Näkyvyyden ja kontrollin puuttuessa ei pelatakaan enää tietoisesti aikaa, vaan venäläistä rulettia. Ja vaikka yritys olisi itse huolehtinut riskienhallinnasta, tietoturvallisuudesta, valvonnasta ja reagoinnista asianmukaisesti, voi vahinko silti sattua epäsuorasti toimittaja- tai arvoketjun kautta.
Näkyvyys edellä ei mennä metsään, ja isojen kompromissien paikka on muualla kuin kyberriskien hallinnassa.
Maltillinen viivyttely toimii ainoastaan sellaisten aiheiden ympärillä, joihin on olemassa riittävä substanssi – sekä käsiteltävään asiaan että vaikuttavaan ympäristöön. Mikäli globaali kyberturvallisuuden osaamis- ja korjausvelka voisikin olla vain piilossa olevaa, tietoista viivyttelyä tehtävien ympärillä, ja kaikki vaadittavat toimenpiteet hoidetaan ennen h-hetkeä, niin painaisin rauhallisesti pääni tyynyyn tästä eteenpäin. Ongelma on siinä, että kybertuvallisuudessa h-hetki tiedetään todella harvoin etukäteen. Urani aikana olen törmännyt näin tehokkaaseen tiedusteluun vain kahdesti.
Jokaisen yrityksen pitää ymmärtää mistä tekijöistä – laitteet, ohjelmistot, palvelut ja henkilöt – heidän digitaalinen liiketoimintansa on riippuvainen. Kyberturvallisuutta rakennetaan ymmärtämällä, miten kokonaisuus toimii, tai miten sen tulisi toimia. Sellaista ympäristöä ei ole olemassakaan, mihin nykyaikaisilla teknologioilla ei saada rakennettua ymmärrystä. Näkyvyys edellä ei mennä metsään, ja isojen kompromissien paikka on muualla kuin kyberriskien hallinnassa.
Oulussa vuonna 2004 perustettu Netox Oy tarjoaa yksityis- ja julkissektorin asiakkailleen uniikin yhdistelmän kyberturva- ja it-palveluita, joiden pohjana ovat markkinoiden johtavat teknologiaratkaisut, tutkimus ja vahva tuki asiakkaille. Niko Candelin toimii Netoxilla tutkimusjohtajana. Lue lisää: https://netox.fi/
Aiheesta lisää: Tiedätkö, mikä on tietoturvan palokolmio?
Tags: