Tietoturva ei ole vain kustannus

Monesti törmää siihen ajatukseen, että tietoturvaan käytetty raha on pelkkä kustannus. Tämä ajatus viedään usein myös sellaisenaan kirjanpitoon: tietoturva näkyy siellä yhtenä menoeränä muiden joukossa. Ja kun se on kustannuksena kirjanpidossa, ruokkii se jälleen samaa ajattelua. Kierre on valmis.

Puhtaasti kuluina nähtävillä menoerillä on tapana joutua budjetissa säästökuurille. Niistä on helppo ottaa pois juustohöylällä – välillä jopa kirveellä. Suomalaisissa organisaatioissa on tänä vuonna näkynyt huolestuttava trendi, missä jopa tietoturvapäälliköt nähdään kulueränä. Mm. Posti ja eräs suurempi soteyhtymä ovat tänä vuonna päättäneet lopettaa tietoturvapäällikön pestinsä. Perusteluilla ei sinänsä ole väliä, sillä loppupeleissä syynä ovat euromääräiset säästöt. Valinta on kuitenkin sinänsä oudoksuttava, että tietoturvapäällikön työ on todellakin kokopäiväinen pesti joka vaatii erityisosaamista. Vähänkään suuremman organisaation tietoturvan hoitaminen ei onnistu muiden töiden ohessa.

Tämän ajattelun juurisyyt ovat ymmärrettäviä. Tietoturvaan tehdyt panostukset eivät kasvata liikevaihtoa tai paranna katetta. Niiden hyötyä on muutenkin vaikea mitata ainakaan rahallisesti. Muutkin vaikutukset ovat vaikeasti mitattavissa. Asiaan perehtymättömän voi olla syystäkin vaikeaa perustella itselleen tai muille sitä, miksi tietoturvaa ei tule kohdella pelkkänä kulueränä, ja miksi siihen meneviä kustannuksia ei pitäisi minimoida. Siksi tämä kirjoitus pyrkii ravistelemaan tätä ajattelua ja olemaan tukena niille ihmisille, jotka joutuvat työssään miettimään ja perustelemaan tietoturvaan panostamisen tärkeyttä.

Miksi tietoturvaa ei tule nähdä pelkkänä kulueränä?

Tietoturva on perimmiltään riskienhallintaa. Sen hoitaminen on tapa vähentää organisaatioon kohdistuvia tietoturvariskejä, jotka voivat realisoituessaan aiheuttaa vahinkoa tavalla tai toisella. Hyvä analogia on esimerkiksi henkilöauto: harva tuskin on harmissaan siitä, että joutuu auton ostaessaan maksamaan esimerkiksi turvatyynyistä, turvavöistä, hätäjarrutusjärjestelmästä, peruutustutkasta ja niin edelleen. Kovin moni on tuskin myöskään harmissaan esimerkiksi rakennusten turvallisuusominaisuuksista. Yritykset harvemmin jättävät sprinklerit asentamatta kustannussäästön takia tai kytkevät palohälyttimet pois päältä säästääkseen kuluissa. Kuitenkin tietoturvakulut nähdään usein välttämättömänä pahana, eikä riskienhallintapuolta täysin ymmärretä.

Mahdollisia toteutuvia riskejä ovat esimerkiksi se, että työntekijät eivät pääse työasemilleen tai työpaikan järjestelmiin kahteen viikkoon. Näin kävi juuri Edenredille – ja Edenred on sentään onnistunut pitämään toimintansa käynnissä hyökkäyksestä huolimatta. Jokainen yritys voi itse laskea mitä kustannuksia vastaava hyökkäys aiheuttaisi heille. Entäpä mitä maksaa vaikka asiakasrekisterin hävittäminen tai maksuliikenteen pysähtyminen? Pahimmillaan kyberhyökkäys voi kaataa kokonaisen yrityksen.

Tietoturvan hyötyjä riskienhallinnan näkökulmasta on helpompi jäsentää matematiikan avulla. Tarkempi matemaattinen keskustelu riskienhallinnasta todennäköisyysjakaumineen jätettäköön toiseen blogikirjoitukseen, seuraavat esimerkit kuvaavat hiukan yksinkertaistetusti sitä, miten tietoturvainvestointi voi olla perusteltua taloudellisesta näkökulmasta.

Riskin toteutuminen on kallista

Otetaan esimerkiksi 40 henkilön yritys, jossa henkilöstölle ostetaan ulkoa tietoturvakoulutus hintaan 1000 €. Oletetaan että tämä koulutus toistetaan vuosittain, jotta asiat pysyvät mielessä ja henkilöstön vaihtuvuus otetaan huomioon. Koulutuksen hinta on tällöin 25 € / henkilö / vuosi. Oletetaan, että koulutus auttaa ennaltaehkäisemään hyökkäyksen joka kymmenennen työntekijän kohdalla vuosittain. Tällöin koulutus maksaa itsensä takaisin, jos onnistuneen hyökkäyksen kustannus olisi yli 250 euroa. Tämä kustannus tulee äkkiä jo triviaalinkin hyökkäyksen ratkaisemiseen kuluvasta työajasta sekä työntekijän menetetyn työajan vaihtoehtoiskustannuksesta.

Entäpä mikä on kustannus sille, että työntekijät eivät pääse kahteen viikkoon työasemilleen tai yrityksen järjestelmiin? Luultavasti kymmeniätuhansia euroja, myös pienemmässäkin yrityksessä. Vaikka kustannus olisi vain 10 000 €, riittää, että koulutus ehkäisisi tällaisen hyökkäyksen kerran kymmenessä vuodessa. Kuulostaako enää pelkältä kuluerältä?

Toinen esimerkki: yrityksen sähköpostin tietoturvaan ja maksuprosesseihin päätetään panostaa rahaa toimitusjohtajahuijauksien estämiseksi. Toimitusjohtajahuijauksessa ulkopuolinen taho esiintyy yrityksen päättäjänä ja yrittää saada työntekijän maksamaan laskun omalle tililleen. Tällaisten huijausten keskisumma liikkuu Keskusrikospoliisin mukaan Suomessakin kymmenissätuhansissa euroissa. Tyypillinen suomalaiseen PK-yritykseen kohdistuva 20 000 – 50 000 euron huijaus voi aiheuttaa jo niin suuria ongelmia kassanhallinnan kannalta, että yrityksen toimintakin alkaa olla uhattuna. Niihin varautumisesta taas selviää murto-osalla tuosta summasta, tehtiin varautuminen sitten itse tai ulkopuolisen asiantuntijan kanssa.

Kolmas esimerkki: yritys panostaa miljoona euroa tuotekehitykseen, jonka avulla se uskoo saavansa useamman vuoden teknologisen etumatkan kilpailijoihinsa. Yritys joutuu kiinalaisen teollisuusvakoilun uhriksi, ja tuotekehityksen tiedot joutuvat kilpailijan käsiin. Tämä olisi mahdollisesti voitu välttää esimerkiksi SIEM-järjestelmällä tai muulla keinolla. Mikä on mielestäsi hyväksyttävä vuosikustannus tällaisen riskin ehkäisemiselle? Oikean elämän esimerkistä käy Airbus, jolta kiinalaiset hiljattain varastivat luottamuksellista tietoa. Lentokoneteollisuudessa tuotekehityksen arvoa voi vain arvailla, mutta kotimaisissakin yrityksissä on paljon arvokasta varastettavaa.

Neljäs esimerkki nostaa esiin sen, että on myös riskejä joita ei voi mitata taloudellisesti. Esimerkiksi sairaalat saattavat joutua kiristyshaittaohjelmien uhriksi, joka voi pahimmillaan uhata ihmishenkiä. Lahdessa nähtiin tänä kesänä lievemmin (vakavilta vahingoilta vältyttiin), miten kuntaan kohdistunut kyberhyökkäys hankaloitti soteyhtymän potilashuoltoa ja esimerkiksi Kanta-palvelun käyttöä. Lienee sanomattakin selvää, että tällaisissa tapauksissa tietoturvaa ei missään nimessä voi kohdella pelkkänä kulueränä, vaikka varsinaista taloudellista perustetta tietoturvainvestoinneille ei välttämättä ole löydettävissä.

Muita huomioita

Tietoturva saattaa nykyään olla enenevissä määrin myös kilpailuetu. Asiakkaat vaativat enenevissä määrin tuotteita ja palveluita, joissa tietoturva on otettu huomioon. Jos valinta on muuten tasaveroinen kahden vaihtoehdon välillä mutta toinen on turvallisempi, kallistuu valinta herkästi sinne, ainakin jos kyseessä on valveutunut ostaja. 

Kaikkia riskejä ei myöskään luonnollisesti voi eikä kannatakaan yrittää estää. Ei ole olemassa täysin turvallisia verkkoja, laitteita ja järjestelmiä. Itse asiassa jos joku väittää laitteensa, ohjelmistonsa tai palvelunsa olevan täysin turvallinen, hän ei puhu totta. Sama koskee tietoturvapalveluita. Ei ole olemassa täyttä riskien poistoa, on vain riskien vähentämistä ja hallintaa.

Riskejä voidaan kuitenkin karsia siten, että sille on taloudelliset perusteet. Jäljellejäävän riskin kohdalla voidaan puhua riskinottohalukkuudesta (englanniksi “risk appetite”). Termi kuvaa sitä, että organisaatio itse päättää, mitkä riskit ovat hyväksyttävyyden rajoissa. Sinänsä tämä ei eroa siitä, miten hallinnoidaan esimerkiksi luottoriskiä tai muita riskejä. Mallinnus on vain hiukan hankalampaa – ja kuten aiemmin todettua, se on aivan oman kirjoituksensa arvoinen aihe.

Viimeisenä täytyy luonnollisesti korostaa sitä, että tietoturvaan voidaan tietenkin myös tuhlata kuten mihin tahansa muuhunkin asiaan. Joko ostetaan liian järeitä ratkaisuja tilanteissa joissa hieman suurempi riskinotto olisi perusteltua, tai sitten ostetaan vääriä ratkaisuja, tai hyviä ratkaisuja jotka eivät kuitenkaan paranna turvallisuutta kun pahimmat tietoturva-aukot ovat muualla. Hyvänä nyrkkisääntönä voi pitää sitä, että hyvä tietoturva on monikerroksinen kuten sipuli: päällekkäisiä suojauksia, valvontaa ja toimenpiteitä jotka tukevat toinen toisiaan kun yksittäinen suojaus pettää.

Halvin ja tehokkain tapa parantaa tietoturvaa tuhlaamatta rahaansa on selvittää, mitkä osat kaipaavat parantamista, mitä riskejä niillä ehkäistään ja lähteä korjaamaan niitä. Varo henkilöä joka suosittelee sinulle kallista teknistä ratkaisua selvittämättä ensin toiminnan luonnetta, riskiarviota ja sitä, miten kyseisiä riskejä voidaan ehkäistä. Varsinkin jos hän sanoo että se ”varmistaa tietoturvan”.

Yhteenveto

Tietoturva nähdään helposti pelkkänä kulueränä, ja tälle on melko ymmärrettävät syyt jotka johtuvat mm. siitä, miten se näkyy kirjanpidossa, ja riskienhallinnan hahmottamisen vaikeudesta. Riskienhallinnan ajattelun kautta voidaan kuitenkin tehdä perusteltuja investointipäätöksiä, jossa käytetylle rahalle lasketaan hyöty todennäköisyyksien ja vaihtoehtoiskustannusten kautta. Näin voidaan myös haarukoida järkevää tietoturvabudjettia ja sitä, mihin käytettynä tuo raha tuottaa parhaan hyödyn.

Jos tunnistat oman työpaikkasi siitä, että näihin asioihin voisi kiinnittää enemmän huomiota, ota ihmeessä asia puheeksi! Turvallisuus on meidän kaikkien vastuulla, ja usein sen parantaminen lähtee siitä, että perustellaan miksi siihen tulisi panostaa. 

Kategoria Blogi, Näkökulma