Pohjoismaissa tietoturvabudjeteista keskimäärin 15 prosenttia käytetään uusien hankkeiden, erityisesti pilvipalveluiden investointeihin. Pohjoismaissa ei kuitenkaan vielä olla tyytyväisiä siihen, miten käytetyt varat korreloivat vähentyneeseen riskiin.

EY:n vuosittaisen laajan  Global Information Security Survey  (GISS) -tietoturvatutkimuksen mukaan lähes 60 prosenttia organisaatioista on viimeisen 12 kuukauden aikana kohdannut jonkinasteisen kyberhyökkäyksen. Merkittävää tässä on se, että poliittisesti tai muuten motivoituneiden aktivistien hyökkäykset olivat lähes kaksinkertaistuneet viime vuodesta.  Tämän vuoden kyselyssä kärkisijaa hyökkäysten lähteinä pitivät aktivistien (21 prosenttia) lisäksi järjestäytynyt rikollisuus (23 prosenttia).

- Kyselyn tutkimustulokset kertovat selkeästi trendin kyberhyökkäysten ja -hyökkääjien muutoksessa. Yritykset ovat aiemmin panostaneet esimerkiksi taloudellisen tiedon tai teollisten oikeuksien suojaamiseen, mutta ei olla varauduttu siihen, että hyökkääjä onkin aktivisti, joka tavoittelee yrityksen tai sen asiakkaan tuotannon, logistiikan tai muun toiminnan pysäyttämistä, kommentoi EY:n Suomen kyberturvallisuuspalveluista vastaava johtaja Timo Valonen.   

Tietoturva oltava alusta asti mukana digitaalisessa palvelu- ja tuotekehitysprosessissa

Suuri osa globaaliin kyselyyn vastanneista käyttävät uusien liiketoimintamahdollisuuksien tukemiseen alle 5 prosenttia kyberturvallisuusbudjetistaan. Uusien kyberturvallisuushankkeiden rahoituksesta suurin osa (77 prosenttia) suunnataan edelleen riskienhallintaan ja puolustusmekanismien rakentamiseen.

- Liiketoiminnan digitalisoituessa ja sitä mukaa uusien kyberuhkien noustessa, tarvitaan Security by Design- ajattelumallia, jossa tietoturvaratkaisut ovat sisäänrakennettuina uusiin palveluihin ja liiketoimintoihin alusta alkaen. Sisäänrakennettu tietoturva tarkoittaa esimerkiksi sitä, että tuotekehityshankkeissa tietoturvaa ei katsota enää pelkästään tuotantoon läpimenon mahdollisesti estävänä porttina. Sen sijaan tietoturva otetaan huomioon aikaisemmissa tuotekehitysprosessin vaiheissa, kuten koodaajien kulttuurin ja osaamisen kohentamisena, sekä siinä että huolehditaan ulkoisten koodikirjastojen ja muiden komponenttien tietoturvakoventamisesta automatisoidusti, jatkaa Valonen.

Tietoturvajohtajan roolin muututtava transformaatiokumppaniksi

Tutkimuksesta käy ilmi, että tietoturvatiimeillä on yleisesti hyvät suhteet heitä lähellä oleviin toimintoihin, kuten IT-osastoon, sisäiseen tarkastukseen, riskienhallintaan ja lakiasiainyksikköön. Sen sijaan yli kolmasosa vastaajista kertoo, että tietoturvan ja markkinoinnin välinen suhde on joko neutraali, epätyydyttävä tai sitä ei ole olemassa. Yhtä huonossa tilassa ovat suhteet tutkimukseen ja kehitykseen (64 prosenttia) sekä yleisesti muihin liiketoimintayksiköihin (59 prosenttia).

- Tietoturvan strategisen merkityksen nostaminen liikkeenjohdon agendalle edellyttää tietoturvajohtajilta laajempaa liiketoimintaymmärrystä sekä tiiviimpää yhteistyötä liiketoiminnan johdon ja eri tukifunktioiden kesken. Parhaimmillaan tämä suhde toimii niin, että esimerkiksi myynti ja markkinointi tietävät tarkalleen millaisia tietoturvalupauksia tuotteen tai palvelun toteutuksesta voidaan antaa, ja miten asiakkaiden pyyntöihin tietoturvan ja tietosuojan varmentamisesta kuuluu vastata. Jos tällaista luottamuksellista suhdetta ei ole, eikä tietoturvan varmentamiseen asiakasrajapinnassa ole panostettu, voidaan päätyä tilanteeseen, jossa asiakkaille luvataan liikoja tietoturvan tasosta, kiteyttää Valonen.

Tutkimuksen mukaan ylin johto on Pohjoismaissa vähemmän mukana tietoturvan strategisen suunnan asettamisessa, eikä heillä myöskään ole tarpeeksi ymmärrystä tietoturvalla saavutettavasta arvosta. Globaalisti 42 prosenttia vastaajista ilmoitti ylimmän johdon olevan täysin mukana määrittämässä ja hyväksymässä tietoturvan strategista suuntaa ja budjettia, kun taas pohjoismaissa vastaava luku on vain 22 proasenttia.

- Organisaation tietoturvariskien hallinta tulee edelleen olemaan tietoturvajohtajien ykkösprioriteetti, mutta tulevaisuudessa yhä vahvemmin korostuu tietoturvan rooli osana innovaatiokehitystä ja organisaation transformaation tukemista, painottaa Valonen.

Global Information Security Survey 2019-2020:

EY:n vuosittainen  Global Information Security Survey  (GISS) toteutettiin tänä vuonna 22. kerran ja tutkimukseen osallistui lähes 1300 yritysjohtajaa ja tietoturvallisuudesta vastaavaa johtajaa Pohjois- ja Etelä-Amerikasta, Aasiasta ja Euroopasta. Tutkimuksessa selvitettiin maailman suurimpien yritysten näkemyksiä tieto- ja kyberturvallisuuden hallintaan liittyen.