Howden Finland

Projektipäälliköllä ei ole varaa sivuuttaa projektin tietoturvariskejä. Vain muutamassa vuodessa niistä on tullut yksi projekteja uhkaavista tekijöistä. Kyberuhkista huolehtiminen on paitsi projektipäällikön ja riskienhallinnasta vastaavan, myös jokaisen projektin toimijan velvollisuus.

Elinkeinoelämä pyörii nykyään hyvin erilaisessa ympäristössä kuin vielä 30 vuotta sitten. Suurin osa liiketoiminnasta ja elämästä ylipäätään on riippuvaista tietoliikennejärjestelmistä ja teknologiasta. Yritysten liiketoiminta on muuttunut fyysisestä digitaaliseksi: jos tietojärjestelmät kaatuvat, ihmisten on käytännössä mahdoton tehdä töitään ja yritys menettää rahaa. Kyberriskejä on kaikkialla ympärillämme.

Allianzin ylläpitämän riskibarometrin mukaan kyberhyökkäykset ovat vuonna 2019 yhdessä liiketoiminnan keskeytymisen kanssa tällä hetkellä maailmanlaajuisesti suurimpia riskejä yrityksille ja organisaatioille.

Allianzin mukaan tietoverkkorikollisuus maksaa yrityksille ja organisaatioille tällä hetkellä arviolta 600 miljardia dollaria vuodessa maailmanlaajuisesti. Summa on kolme kertaa suurempi kuin esimerkiksi luonnonkatastrofien aiheuttamat taloudelliset menetykset globaalissa mittakaavassa.

Kyberriskejä ei voi sivuuttaa – ne ovat kaikkien vastuulla

Liike-elämässä aletaan onneksi pikkuhiljaa ymmärtää, että kyberhyökkäykset eivät ole vain 80-luvun lopussa maalailtuja kauhukuvia, vaan jatkuvasti yleistyvä rikollisuuden muoto, joka on tullut jäädäkseen. Keinoja suojautua kyberuhkia vastaan löytyy jo runsaasti, mutta tulevina vuosikymmeninä liike-elämän ja valtionhallinnon on edelleen panostettava kyberriskien hallinnan kehittämiseen ja jatkuvasti esiin nousevien uusien hyökkäystapojen torjuntaan.

Projektien kyberriskien hallinta ei ole vain riskienhallintajohtajan tai IT-osaston asia, vaan koskettaa kaikkia: projektijohtoa, rahoittajia ja kaikkia projektin osapuolia. Kyberriskien hallinta ja torjuminen on kaikkien velvollisuus ja etu.

Uudistuva lainsäädäntö auttaa yrityksiä ja organisaatioita pysymään ajan tasalla tietoturva-asioissa. USA on johtanut tietoturvaan liittyvien säädösten kehittämistä 90-luvun lopulta saakka, ja Euroopassa juuri viime vuonna voimaan astunut GDPR on otettu vakavasti läpi koko liike-elämän.

Lunnasvaatimukset ja maksuhuijaukset yleistyvät yhtenä modernin rikollisuuden muotona – hyökkäysten kohteina yhä useammin myös pienet ja keskisuuret organisaatiot

Kohdennetut rahansiirtohuijaukset yleistyvät jatkuvasti. Huijarit lähettävät yrityksille tekaistuja rahansiirtopyyntöjä, esimerkiksi esiintymällä kumppaniyrityksen laskutuksesta vastaavana henkilönä tai pankin edustajana.

Yhä useammin hyökkääjät suosivat pieniä ja keskisuuria organisaatioita, joiden varotoimet eivät vielä yllä suurten toimijoiden tasolle, ja niiden tietojärjestelmiin on helpompi murtautua. Osa ongelmaa on se, että suomalaiset PK-toimijat aliarvoivat toimintaansa kohdistuvia kyberriskejä. Päätöksentekijät pitävät Suomea lintukotona, eivätkä usko, että hakkerit voisivat kiinnostua hyökkäämään juuri heidän järjestelmiinsä.

Ihmiset edelleen tietoturvan heikoin lenkki

Organisaatiot käyttävät valtavia summia tietoturvaan suojellakseen liiketoimintaansa, mutta tietoturvan näkökulmasta yksi ketjun heikoimmista lenkeistä ovat ihmiset. Miltei kuka tahansa voi joutua huijauksen kohteeksi, ja yhä useammat tietojenkalasteluhyökkäykset kohdistuvat yrityksen tai organisaation rivityöntekijöihin.

Ymmärtämätön käyttäjä saattaa sivuuttaa epäilyttävät merkit, ja varomaton sähköpostin avaaminen voi johtaa odottamattomiin liiketoimintavahinkoihin. Työntekijöitä kannattaa kouluttaa toiminnan jokaisella osa-alueella, ja opettaa heille, millaisia viestejä kannattaa välttää avaamasta. Projektin riskienhallintaan ja vakuuttamiseen kannattaakin kiinnittää huomiota.

Kyberriskit ja niiden aiheuttamat vahingot erityisen suuria monitoimijaprojekteissa

Projekteja uhkaavat tietoturvariskit ovat tyypillisesti jopa suurempia kuin yksittäisen yrityksen kohtaamat riskit. Projektien tiukat aikataulut tarkoittavat, että parinkin päivän keskeytys töissä saattaa vaarantaa projektin onnistumisen, tai pahimmassa tapauksessa keskeyttää koko hankkeen.

Käytännössä jokainen projekti tänä päivänä on riippuvainen useista kolmannen osapuolen toimijoista: toimittajista, alihankkijoista, vuokratyövoimasta ja niin edelleen. Joko sinä olet pohtinut, kuinka voit hallita tai vähintään ottaa huomioon toimitusketjun ja muiden osapuolten kyberriskejä johtamissasi projekteissa?

Projektijohdon on käytännössä mahdotonta ehkäistä kaikkia tietoturvariskejä, mutta niitä voi vähentää esimerkiksi kirjaamalla toimittajasopimuksiin tiettyjä tietoturvaan liittyviä vaatimuksia. Sopimuksessa voidaan edellyttää projektikumppaneilta esimerkiksi kyberuhkien torjumiseen tähtäävien toimenpiteiden suorittamista, tietoturvaraporttien laatimista tai kybervakuutusten ottamista. Projekteissa työskentelee paljon ihmisiä, ja heitä tulisi kouluttaa kyberriskien tunnistamiseen sekä siihen, kuinka niiden kanssa toimitaan.

Kyberhyökkäyksen tapahtuessa harva osaa toimia oikein

Kyberuhkien selvittely on pakottanut myös vakuutusyhtiöitä uudistamaan toimintatapojaan. Koko monisatavuotisen historiansa ajan vakuutusyhtiöt ovat astuneet mukaan kuvaan vasta, kun vahinko on jo tapahtunut kokonaisuudessaan. Vakuutusyhtiön rooli on rajoittunut vahinkojen arviointiin ja korvausten maksamiseen, jotta yrityksen toiminta voisi jatkua normaalina mahdollisimman nopeasti.

Monien yritysten ja organisaatioiden tietoturva on kuitenkin edelleen lapsenkengissä, ja niillä on heikot valmiudet toimia tietoturvahyökkäysten sattuessa. Tämä on pakottanut vakuutusyhtiöt kehittämään kybervakuutusten ympärille uudenlaisia palveluita, jotka auttavat ennaltaehkäisemään hyökkäyksiä, sekä auttavat niistä toipumisessa.

Vakuutuksen ottaminen edellyttää tyypillisesti erinäisten tietoturvavaatimusten täyttymistä, mahdollisia penetraatiotestejä sekä suunnitelman siitä, kuinka hyökkäystilanteissa tulisi toimia. Näin jo kybervakuutuksen ottaminen itsessään kasvattaa yrityksen ymmärrystä ja valmiutta huolehtia kyberriskeistä.

Tietoturvahyökkäyksestä selviämiseen vaaditaan monialaista asiantuntijuutta

Kybervakuutustuotteisiin kuuluu usein jonkinlainen kriisivastepalvelu, jossa yritys saa käyttöönsä vakuutusyhtiön kybervahinkotiimin. Kybervahinkotiimin kansainväliset asiantuntijat auttavat minimoimaan hyökkäyksestä aiheutuneita vahinkoja ja normalisoimaan tilanteen mahdollisimman tehokkaasti.

Tekniset asiantuntijat tarkistavat tietojärjestelmien varmuuskopiot ja arvioivat, onko järjestelmiä mahdollista palauttaa ilman, että hyökkääjien vaatimuksiin suostutaan. Mikäli varmuuskopioita ei saada palautettua, asiantuntijatiimi auttaa hyökkäyksen kohteeksi joutunutta yritystä täyttämään hyökkääjän pyynnön vaadituilla ehdoilla, esimerkiksi järjestämään lunnaiden maksun kryptovaluuttana. Asiakkaalle on tarjolla myös lainopillista neuvontaa sekä tukea PR-työssä, maineenhallinnassa ja tietoturvasäädösten mukaisissa ilmoitustoimissa.

Ota yhteyttä:

Juho Heikkinen asiakaspäällikkö, yritykset
kybervakuutukset ja Financial lines
p. +358407544547
Kalle Koivula johtaja, yritykset
riskienhallinta, rakentaminen ja projektit
p. +358408361773
Kuinka voimme auttaa?

    (*pakollinen kenttä)

     

    Ota yhteyttä