Oletko koskaan miettinyt, mikä on yrityksesi arvo? Pörssiyrityksillä sen määrittäminen on helppoa, mutta muiden osalta laskelman tekeminen on paljon vaikeampaa. Tietoturvauhista puhuttaessa yrityksen arvo on kuitenkin maksimikustannus, joka siitä voi aiheutua. Alaraja on tietysti nolla ja yksittäisen tapahtuman kustannus jotain siltä väliltä. Miksi näin?

Oletetaan kuvitteellinen yritys ABC, jonka liiketoiminnan rahavirrasta pääosa tulee tietotekniikkaan pohjautuvista tuotteista. Tämä ei siis tarkoita sitä, että yritys tekisi esimerkiksi softaa, vaan sitä, että nykyaikaisen yrityksen tavoin käytännössä mitään ei tapahdu, ellei tietotekniikka toimi. Kaikki alkaen asiakaskommunikaatiosta tarjous-/tilauskäsittelyn kautta toimitukseen, hyödyntää erilaisia ohjelmistoja ja jos nämä eivät ole käytettävissä, putoaa hanskat välittömästi. On mahdollista, että teknisten vikojen sattuessa järjestelmät ovat hetken pois käytöstä, mutta tyypillisesti tämä kestää ainoastaan muutamia tunteja. Entäs jos järjestelmät ovat poissa käytöstä pidempään?

Pidempi käyttökatkos voi syntyä monestakin syystä. Tämän hetken uhkakuvista primääri on kiristyshaittaohjelmat, jotka salaavat kaiken levyiltä löytyvän informaation. Pahassa tapauksessa organisaation toiminta pysähtyy, kunnes lunnaat on maksettu ja salauksen purkuavain saatu. Mutta mitäs tehdään, jos näin ei tapahdukaan? Eli maksetaan lunnaat, mutta panttivankia, eli tietojamme, ei palauteta. Parempi vaihtoehto on, että vastapuoli haluaa vielä lisää rahaa. Huonompi vaihtoehto on, että tunkeilijan kovalevy on hajonnut ja avaimet kadonneet taivaan tuuliin. Vaikka tämä ei ole todennäköinen tapahtuma, on kaikki aina mahdollista.

Tietojärjestelmien pitkä, eli useiden päivien, käyttökatkos voi aiheuttaa valtavia ongelmia. Mietitään vaikkapa elintarviketeollisuutta. Tuotantoa ohjataan ERP-järjestelmän kautta, johon kauppiaat syöttävät tilauksensa. Koska kauppojen hyllyissä/varastoissa on ainoastaan muutaman päivän tarve erilaisia tuotteita, ajaudutaan nopeasti tyhjien hyllyjen syndroomaan. Ja vastaavasti tuotantolaitoksessa ajaudutaan raaka-aineiden ylimäärään. Tällainen käyttökatkos voi syntyä vaikkapa siitä, että kriittiseen järjestelmään kiinni päässyt tunkeilija päättää tuhota tietokannat kokonaan ja niiden varmuuskopiointi on epäonnistunut jo vuosikausia. Eli käytännössä varmuuskopioiden toimintaa ei ole koskaan testattu.

Toinen polku tietoturvattomuuden kustannuksiin on erilaiset tietomurrot. Suurimpiin näistä kuuluu Yahoon tapaus, jossa yhtiö arvelee jopa miljardin käyttäjän tietojen päätyneen ulkopuolisiin käsiin. Tietoihin kuuluivat nimien lisäksi sähköpostiosoitteet, syntymäajat, suojatut salasanat ja joissakin tapauksissa myös muita tietoja. Tietomurroista ei välttämättä synny muita suoria kustannuksia kuin selvittelyyn kuluneen ajan hinta, mutta välilliset kustannukset maineen, asiakaskunnan ja toimintaedellytysten menettämisen näkökulmasta voivat pahimmillaan kaataa koko yrityksen. Näin on käynyt jo useita kertoja, ja tulee varmasti käymään myös tulevaisuudessa.

Jokaisen organisaation johtajan tulee katsoa itseään peiliin ja miettiä, kuinka suuren osan yrityksen arvosta on valmis menettämään tietoturvattomuuden vuoksi. Jos vastaus on ”kaiken”, ei ole syytä huoleen, vaan voi jatkaa hyvällä mielellä pohtimatta mitään suojauskeinoja. Jos taas ensimmäisenä mieleen juolahtaa ”ei mitään”, niin tällöin tulee huolehtia riittävien suojausten olemassaolosta. Tämä taas onnistuu helpoiten Santa Monica Networksin kaltaisten kumppaneiden avulla.

 

Aki Anttila

Teknologiajohtaja, Santa Monica Networks Oy

Aki Anttila

Teknologiajohtaja, Santa Monica Networks Oy

Akilla on yli 20 vuoden kokemus suomalaisesta ICT-infrastruktuurista. Teknologiajohtajan tehtävien lisäksi hän on toiminut toimitusjohtajana, yksikön vetäjänä, tuotepäällikkönä, liiketoiminnan kehittäjänä, konsulttina ja kouluttajana. Aki tunnetaan ahkerana kirjoittajana ja kouluttajana, joka on opettanut suurta osaa maamme tietoliikenneammattilaisista.

Aki on suorittanut kolme kappaletta expert-tason tutkintoja – kaksi Ciscolta ja yhden Juniperilta. Nykyisin Akin mielenkiinnon kohteena on teknologian hyödyntäminen liiketoiminnan kehittämisessä. Laajan kokemuksen kautta hän pystyy suhteuttamaan erilaiset teknologiset mahdollisuudet yrityksien tarpeisiin ja sitä kautta auttamaan asiakasyrityksiä tekemään parempia investointeja ICT-infrastruktuuriin.