PwC:n globaali selvitys: Yritykset eivät huomioi riittävästi kolmansien osapuolien mahdollisesti aiheuttamia kyberriskejä

Kolmansien osapuolten mahdollisesti aiheuttamat kyberriskit ovat yritysten turvallisuusasioiden sokea piste, ilmenee PwC:n tuoreesta Global Digital Trust Insights -selvityksestä. Selvityksessä havaittiin myös, että jopa viidesosalla vastaajista oli vain vähän tai pahimmassa tapauksessa ei lainkaan ymmärrystä mahdollisista kolmansien osapuolien välityksellä tapahtuvista tietomurtoihin liittyvistä riskeistä.

Suurin osa yrityksistä ei ole ajan tasalla kolmansien osapuolten aiheuttamista kyberriskeistä, kertoo PwC 2022 Global Digital Trust Insights -selvitys. Yritysten kokonaiskuvaa kyberturvasta hämärtävät niin liikesuhteiden kuin myyjä- ja toimittajaverkostojen monimutkaisuus. Kyselytutkimukseen osallistui 3 600 toimitusjohtajaa ja muuta johtajaa ympäri maailmaa.

Selvityksessä havaittiin, että 60 prosentilla vastaajista oli vajavainen ymmärrys kolmansien osapuolten välityksellä mahdollisesti aiheutuvista tietomurtoihin liittyvistä riskeistä, kun 20 prosentilla oli näistä ymmärrystä vain vähän tai ei lainkaan. 

Samalla jopa 60 prosenttia johtohenkilöistä arvioi kyberrikollisuuden määrän edelleen  kasvavan entisestään vuoden 2022 aikana. Huomionarvoista on myös se, että jopa 56 prosenttia vastaajista arvioi yrityksensä ohjelmistoihin liittyvien toimitusketjujen kautta tapahtuvien tietoturvaloukkausten määrän nousevan, mutta vain 34 prosenttia oli tehnyt varsinaisen riskiarvion tilanteesta.

Vastaavasti 58 prosenttia uskoo, että pilvipalveluihin kohdistuvien hyökkäysten määrä kasvaa merkittävästi, mutta ainoastaan 37 prosenttia vastaajista on toteuttanut varsinaisen riskiarvion pilvipalveluihin kohdistuvista riskeistä.

Asiantuntija pitää tuloksia varsin hälyttävinä.

– On tärkeää ymmärtää, että yritykset voivat olla alttiina hyökkäyksille silloinkin, kun niiden oma kyberturva on yleisesti ottaen hyvällä tasolla. Taitavat hyökkääjät kohdistavat hyökkäyksensä heikoimpaan lenkkiin, ja joskus se heikoin lenkki on yrityksen käyttämässä toimitusketjussa, sanoo PwC Suomen kyberturva- ja tietosuojapalveluista vastaava Jani Arnell

Arnell muistuttaa, että näkyvyyden kasvattaminen sekä kolmansien osapuolten verkostojen ja riippuvuuksien hallinta on yrityksille ensiarvoisen tärkeää.

– Silti vain alle puolet tutkimukseen vastanneista kertoo valmistautuneensa uhkiin, joita monimutkaiset liiketoimintaekosysteemit aiheuttavat, Arnell jatkaa. 

Tiedon hallintaa pidetään monimutkaisena

Tutkimuksen perusteella valtaosa organisaatioista kertoo minimoivansa kolmansien osapuolten aiheuttamia riskejä auditoimalla tai tarkastamalla toimittajiensa vaatimustenmukaisuuden (46 %), jakamalla kyberturvallisuuteen liittyvää tietoa kolmansien osapuolten kanssa, auttamalla näitä muutoin parantamaan kyberturvaansa (42 %) tai käsittelemällä kyberresilienssiin liittyviä kustannus- tai aikasidonnaisia haasteita (40 %). 

Iso osa vastaajista ei kuitenkaan ole tarkentanut kolmansille osapuolille määriteltyjä vaatimuksia tai kriteereitä (58 %), muokannut sopimuksia (60 %) tai ottanut käyttöön tarkempia asianmukaisen huolellisuuden, eli ns. Due Diligencen -menettelytapoja (62 %) tunnistaakseen paremmin kolmansien osapuolten aiheuttamia uhkia. 

Hälyttävää on myös se, että lähes kolme neljäsosaa vastaajista kertoo kokevansa, että heidän organisaationsa tietoinfrastruktuurin monimutkaisuus aiheuttaa huolestuttavia kyber- ja tietosuojariskejä. Sekä tiedon hallintaa että tietoinfrastruktuuria pidettiin osa-alueina, joissa on eniten tarpeetonta, vältettävissä olevaa monimutkaisuutta.

Vaikka kolme kymmenestä vastaajasta kertoi yrityksensä virtaviivaistaneen toimintatapojaan kahden viime vuoden aikana, parhaiten pärjänneet olivat jopa viisi kertaa todennäköisemmin virtaviivaistaneet toimintatapojaan koko yrityksen tasolla. 

Toimitusjohtajan panoksella on väliä

Selvityksen mukaan eri yritysten toimitusjohtajat ja johtotason henkilöt ovat eri mieltä siitä, kuinka paljon toimitusjohtaja todellisuudessa tukee kyberturvallisuuden toimintoja. 

Toimitusjohtajat näkevät itsensä yleensä osallistuvampina ja kokevat tarjoavansa enemmän tukea kyberturvaan liittyvien tavoitteiden asettamisen ja niiden saavuttamisen suhteen kuin miten heidän tiiminsä asian kokee. Vastaajat ovat kuitenkin yksimielisiä siitä, että toimitusjohtajan aktiivinen osallistuminen kyseisten tavoitteiden asettamiseen ja edistämiseen vaikuttaa huomattavasti saavutettaviin tuloksiin.

Ne yritykset, jotka kertoivat parantaneensa kyberturvansa tasoa eniten, olivat jopa 12 kertaa muita vastaajia todennäköisemmin saaneet kattavaa ja syvällistä tukea toimitusjohtajiltaan. Valtaosan mielestä toimitusjohtajien ja yritysten hallitusten kouluttaminen siten, että nämä voivat paremmin täyttää kyberturvaan liittyvät velvollisuutensa, on merkittävin askel turvallisemman digitaalisen yhteiskunnan saavuttamiseksi vuoteen 2030 mennessä.

– Selvityksemme osoittaa selkeästi, että edistyneimmät organisaatiot tarkastelevat kyberturvaa laajempana yrityksen menestykseen vahvasti sidottuna kokonaisuutena. Toimitusjohtajat ovatkin avainasemassa siinä, keskittyvätkö kyberturvatiimit enemmän isoon kuvaan, kasvun tukemiseen sekä luottamuksen rakentamiseen vai vain lyhyen tähtäimen operatiivisiin tehtäviin, PwC:n Jani Arnell toteaa.

Lue lisää täältä: https://www.pwc.com/dti2022

Tiesitkö?

Yllättävän moni toimistotyöntekijä ei tiedä mitään tietoturvasta, viruksista, palomuureista tai oman salasana tärkeydestä. Monet jopa näkevät tietoturvallisuuden vain hidasteena, ja eihän hänen koneellaan ole mitään vietävää. Kuitenkin yksi hyvä tapa on jo suojata oma liikenne käyttämällä VPN-ratkaisua.

Vastaa