Kuinka taklata yleisimmät kyberturvallisuushaasteet kansainvälisille markkinoille suunnatessa? ”Kun yritys kansainvälistyy, myös uhkaympäristö laajenee”
Kyberturvallisuus on osa kestävää liiketoimintaa. Parhaimmillaan se suojaa yrityksen toimintakykyä ja toimii kilpailuetuna. PwC:n webinaarissa keskustellaan siitä, mitä tietoturva- ja tietosuojanäkökulmia tulisi huomioida toiminnan laajentuessa kansainvälisille markkinoille.
Kyberturvallisuus on osa kestävää liiketoimintaa. Parhaimmillaan se suojaa yrityksen toimintakykyä ja toimii kilpailuetuna. PwC:n webinaarissa keskustellaan siitä, mitä tietoturva- ja tietosuojanäkökulmia tulisi huomioida toiminnan laajentuessa kansainvälisille markkinoille.
Kuvassa Nea Parppei ja Anne Hintzell PwC:ltä, Ville Haavisto Evondosilta ja Mika Johansson PwC:ltä.
Kyberhyökkäykset ovat yrityksiä esimerkiksi varastaa tietoja tai häiritä tietojärjestelmiä ja -verkkoja. Vaikka digitalisaatio on johtanut uudenlaisiin kyberturvallisuusuhkiin, osataan niihin toisaalta varautua yhä paremmin.
PwC:n 23.3.2023 järjestämässä webinaarissa tarkastellaan, millainen merkitys kyberturvallisuudella on liiketoiminnan kasvussa ja millaisia tietoturva- tai tietosuojanäkökulmia kansainvälisille markkinoille laajentuessa tulisi huomioida.
Tilaisuudessa PwC:n kyberturvallisuuden asiantuntijat Anne Hintzell ja Nea Parppei kertovat kasvuyritysten yleisimmistä kyberturvallisuushaasteista sekä esittävät, miten tietoturvallisuus on mahdollista kääntää kilpailueduksi.
Lopuksi vieraspuhuja Ville Haavisto kertoo PwC:n Mika Johanssonin haastattelemana, mitä kaikkea on huomioitava, kun Pohjoismaissa toimivia palveluja viedään uusille markkina-alueille.
Monimutkaiset liiketoimintaympäristöt haastavat kyberturvaa
PwC:n kyberturva-asiantuntija Anne Hintzell kertoo webinaarin alussa PwC:n toteuttamasta maailmanlaajuisesta kyberturvallisuuskyselystä, johon vastasi yhteensä 3500 liiketoimintajohtajaa.
Kyselyn tulosten mukaan yrityksiin kohdistuvien kyberhyökkäysten määrän odotetaan edelleen kasvavan, ja vastaajien mielestä kyberturvallisuuden johtamisessa tarvitaan ennen kaikkea yritysten ylimmän johdon yhteistyötä.
”Kyberhyökkäyksiä ja kyberrikollisuutta esiintyy yhä edistyneemmissä muodoissa kaikkialla maailmassa. Yritysten vahvemmat toimet turvallisen kybertoimintaympäristön luomiseksi kuitenkin lisäävät asiakkaiden luottamusta ja voivat osaltaan edistää liiketoimintaa”, Hintzell summaa.
Hän sanoo, että teknologian ja tiedonhallinnan monimutkaistuessa myös yritysten toimintaketjut ja verkostot ovat usein yhä vaikeammin hallittavia. Kyberturvan tulisikin ulottua myös esimerkiksi tuotantolaitoksiin, kumppaneihin ja palveluihin.
”Sekä asiakkailta tulevat että regulaatioon liittyvät vaatimukset tiedonhallinnasta kasvavat edelleen.”
Vaatimuksenmukaisuus asettaa minimitason yritysten tietoturvalle
Mitä tämä tarkoittaa kansainvälistyvän ja kasvua hakevan yrityksen näkökulmasta?
PwC:n tietoturvakonsultti Nea Parppei muistuttaa, että saavuttaakseen tietoturvan minimitason, on yrityksen ensinnäkin vastattava erilaisiin ulkoisiin vaatimuksiin. Niitä asettavat esimerkiksi regulaatiot, lait ja kansainvälisten kohdemarkkinoiden erityispiirteet.
”Voidakseen hallita vaatimuksenmukaisuutta, tulisi yrityksen käytäntöjen olla jatkuvia ja keskitetysti johdettuja. Nykyisten vaatimusten lisäksi yrityksen olisi hyvä ymmärtää myös tuleva regulaatio sekä sektori- ja markkinakohtaiset vaatimukset”, Parppei sanoo.
Esimerkkejä tietoturva- ja suojavaatimuksista:
- GDPR (EU:n yleinen tietosuoja-asetus)
- NIS2 (EU:n direktiivi, joka ottaa kantaa kriittisten alojen yritysten tietoturvaan)
- DORA (EU:n digitaalista häiriönsietokykyä koskeva säädös)
- Cyber Resilience Act (ehdotus EU:n kyberkestävyyssäädökseksi)
- US National Cyber Strategy (Yhdysvaltain kansallinen kyberturvallisuusstrategia)
- Cyber Essentials (Iso-Britannian kyberturvallisuussäädös)
- Kiinan lainsäädäntö (asettaa uusia velvoitteita kansainvälisille yrityksille, jotka keräävät ja käsittelevät henkilötietoja Kiinassa)
Tietoturvariskien hallinta kasvattaa yrityksen kansainvälistä toimintakykyä
Miten yritys voi varmistaa toimintakykynsä tietoturvapoikkeamatilanteissa?
Parppein mukaan globaali toimintaympäristö vaatii riskiperusteista lähestymistapaa, sillä huono riskienhallinta tarkoittaa pahimmillaan, että yritys menettää oman toimintakykynsä kyberturvallisuusuhkien realisoituessa. Yritys voi halutessaan ottaa myös riskejä, kunhan se on määritellyt riskinottohalukkuutensa tason, ja sillä on tarvittaessa riittävät valmiudet palautua mahdollisista poikkeustilanteista.
”PwC:n kyberturvallisuuskyselyn mukaan ylin johto on huolissaan, ettei heidän yrityksensä pysty vastaamaan kasvaneeseen uhkakenttään”, Parppei sanoo.
Esimerkkejä yrityksiä kohtaavista uhkista (PwC threat intel -raportti, 2022):
- Kiristyshaittaohjelmien käyttö (tärkein ja nopeimmin kehittyvä uhka)
- Toimitusketjuhyökkäykset (huomattava uhkatekijä)
- Kalastelu ja sosiaalisen median hyödyntäminen (hyökkääjät hyödyntävät usein kriisejä ja ajankohtaisia tapahtumia)
- Nollapäivähaavoittuvuudet (vaikuttavien haavoittuvuuksien löytyminen ja nopea leviäminen)
Luottamuksen rakentaminen lähtee toimintaympäristön ymmärtämisestä
Parppei muistuttaa, että asiakkaiden tietoturvaan kohdistuvat odotukset vaihtelevat.
”Vaikka asiakkaat eivät kohdentaisi yritykselle suoranaisia vaatimuksia, riittävän tietoturvan ja tietosuojan tason varmistaminen on hyvän hallintotavan mukaista. Yritys voi osoittaa tietoturvan hyvän tason esimerkiksi sertifioidulla tietoturvan hallintajärjestelmällä”, hän summaa.
Yritys voi osoittaa tietoturvan hyvän tason esimerkiksi sertifioidulla tietoturvan hallintajärjestelmällä.”
ISO/IEC 27001 on sertifioitu tietoturvan hallintajärjestelmä, joka rakentaa asiakasluottamusta luomalla pohjan yrityksen tietoturvalle. Järjestelmän avulla voidaan myös toteuttaa vaatimustenhallintaa ja varmistaa yrityksen toimintakyky poikkeustilanteissa.
”Hallintajärjestelmä perustuu jatkuvaan parantamiseen, jolloin muuttuviin ja kehittyviin uhkiin pystytään vastaamaan”, Parppei tiivistää.
ISO/IEC 27001 -pohjainen hallintajärjestelmä suhteessa muihin viitekehyksiin:
- SOC2, SOC3 ja Cyber Essentials (ohjaa kohti)
- NIST CSF (voi käyttää tukena)
- ISO/IEC 27701 ja ISO 22301 (ISO/IEC 27001 toimii pohjana)
Evondosin Ville Haavisto: ”Potilas- ja dataturvallisuus on tärkeintä”
PwC:n kyberturvapalveluiden asiantuntija Mika Johansson keskustelee webinaarin lopussa Evondosin laatupäällikkö Ville Haaviston kanssa siitä, mitä yrityksen tulisi huomioida, kun Pohjoismaissa toimivia digitaalisia palveluja ryhdytään viemään uusille markkina-alueille.
Suomalainen Evondos on automaattisten lääkeannostelupalveluiden markkinajohtaja, jonka asiakkaisiin kuuluu yli 550 organisaatiota, kuten kotihoidon palveluntarjoajia, kuntia ja yksityisiä palveluntarjoajia. Uusi pilvipalvelua hyödyntävä Evondos Anna -lääkeannostelurobotti mahdollistaa videoavusteisteisen lääkkeenoton valvonnan ja monipuolisen etähoivan.
”Evondosin toiminta perustuu ajatukseen siitä, että lääkeannostelun toteuttaminen laitteiden avulla tarjoaa hoitajille mahdollisuuden joustavampaan ajankäytön suunnitteluun ja antaa enemmän aikaa hoivatyölle. Yhteiskunnalle tämä näkyy kulusäästönä”, Haavisto sanoo.
Evondos Anna -lääkeannostelurobotti hyödyntää pilvipalvelua, mikä tuo lisävastuuta yrityksen kyberturvallisuuteen.
Pilvipalvelutarjoajaa valitessa erityisesti tietoturva oli tärkeä osa kilpailutusta.
”Etähoitojärjestelmämme kanssa käytämme edelleen perinteistä arkkitehtuuria, mutta videoavusteisissa lääkeannostelulaitteissamme hyödynnämme pilvipalvelua. Skaalautuvuus ja saavutettavuus ovat suurimmat syyt pilvipalvelun käyttämiselle”, Haavisto summaa.
Haavisto sanoo, että koska pilvipalveluihin liittyvät regulaatiot ovat kohdemarkkinasta riippuen moninaisia,
Vaikka esimerkiksi potilas- ja henkilödatan erottaminen on linjassa Euroopan maissa, Aasiassa ja Yhdysvalloissa, on uusia markkina-alueita kartoitettaessa huomioitava pienetkin paikalliset eroavaisuudet.
”Euroopassa esimerkiksi GDPR on onneksi hyvin tunnettu ja muun muassa Australia on linjannut omaa regulaatiotaan samansuuntaiseksi.”
”Evondos on parhaillaan implementoimassa käyttöönsä ISO/IEC 27001 -järjestelmää.”
Jatkuvasti kehittyvät regulaatiovaatimukset edellyttävät Evondosilta jatkuvaa perehtymistä ja toiminnan päivittämistä, minkä vuoksi asiantuntevat partnerit ovat kullanarvoisia.
”Potilas- ja dataturvallisuus on aina tärkeintä, minkä vuoksi myös partnereiden pitää pystyä skaalautua tarpeen mukaan”, Haavisto sanoo.
Miten yritys voi suojautua tietoturvauhkilta?
- Yrityksen tulee tunnistaa tärkeimmät suojattavat kohteet ja osata vastata mahdollisiin uhkiin ja riskeihin.
- Suojamekanismit voivat perustua tapahtumien estämiseen, havainnointiin ja niiden korjaamiseen.
- Yrityksellä on oltava prosessi myös tietoturvapoikkeamien ratkaisemiseksi.
- Jatkuvuuden ja varautumisen avulla yrityksen on mahdollista ylläpitää toimintakykyään.
Katso tallenteelta koko webinaari, jossa kerrotaan tarkemmin, millainen merkitys kyberturvallisuudella on liiketoiminnan kasvussa ja mitä kyberturva- ja tietosuojanäkökulmia tulee huomioida kansainvälisille markkinoille suunnatessa.
