Yhdistyneen kuningaskunnan hallitus on vuodesta 2013 lähtien tutkinut Yhdistyneen kuningaskunnan 350 suurinta yritystä selvittääkseen, miten ne hallitsevat tietoverkkoriskejään. Tämänvuotisessa raportissa todetaan, että yritykset ovat nyt tietoisempia hyvän kyberturvallisuuden merkityksestä, mutta varoitetaan, että niiden on parannettava toimintaansa paljon nopeammin, jos ne haluavat pysyä kyberturvallisuuden tulevien haasteiden edellä.
Seuraavassa tarkastelemme joitakin tämän vuoden raportin tärkeimpiä tuloksia ja keskustelemme siitä, mitä se voi tarkoittaa kyberturvallisuuden, vaatimustenmukaisuuden ja tietosuojan tulevaisuuden kannalta.
Kyberturvallisuuskoulutus ongelma FTSE 350 -yrityksille
Raportin ehkä hätkähdyttävin tulos on havainto, jonka mukaan 68 prosenttia yrityksistä ei ole saanut minkäänlaista koulutusta tietoverkkovälikohtauksen varalta. Vaikka yli neljännes (26 %) on saanut jonkin verran koulutusta tietoturvaloukkauksiin vastaamiseksi, huolestuttavan vähän, 2 % ilmoitti saaneensa hallitukseltaan kattavaa koulutusta tietoturvaloukkauksiin vastaamiseksi.
Raportissa todettiin myös, että yli neljäsosalla hallintoneuvostoista ei ole määriteltyä roolia koko yrityksen laajuisessa reagoinnissa tietoverkkovälikohtaukseen. Tämä ei yksinkertaisesti riitä nykyaikaisessa yrityksessä. Keskeisten tietovarantojen suojaaminen on nykyään kriittisen tärkeää kaikissa liiketoiminnoissa.
Hallintoneuvoston jäsenten olisi hallittava riskejä koko organisaatiossaan ja turvauduttava ylimmän johdon tukeen, otettava käyttöön riskienhallinnan parhaat käytännöt ja kehitettävä riskitietoista kulttuuria. Näin toimimalla yritykset eivät ainoastaan suojaa arvokkaita omaisuuseriä, vaan ne saavat myös strategisia ja toiminnallisia etuja.
GDPR - edelleen ongelma suurille yrityksille
Raportin mukaan hallintoneuvostot käsittelevät tietosuoja-asetusta kokouksissaan vain satunnaisesti. Tämä on erittäin huolestuttavaa, sillä kello käy yhä lähempänä tietosuoja-asetuksen täytäntöönpanoa 25. toukokuuta 2018. Tarkasteltaessa erityisesti GDPR:n käsittelyä johtokuntatasolla suurin osa vastaajista ilmoitti, että asiasta on keskusteltu, mutta se ei ole kuulunut säännöllisiin asioihin (42 %). Tämä osoittaa, että GDPR:stä ollaan ainakin yleisesti tietoisia, mutta kun tähän yhdistetään raportin havainto, jonka mukaan vain 13 prosenttia vastaajista ilmoitti, että GDPR:ää käsitellään säännöllisesti heidän johtokunnassaan, tämä on huolestuttavaa.
Tähän mennessä yritysten pitäisi olla jo pitkällä GDPR-suunnitelmansa viimeistelyssä. Raportin mukaan näin ei kuitenkaan ole läheskään näin, ja on mahdollista, että FTSE 350 -yritykset joutuvat lähikuukausina paniikkiin, kun ne panevat täytäntöön GDPR-suunnitelman.
Hyviä uutisia
Näistä varoituksista huolimatta mietinnössä on syytä juhlaan. Hallintoneuvostojen ymmärrys ja tietoisuus mahdollisista vaikutuksista, joita voi aiheutua keskeisten tieto- tai tietovarantojen katoamisesta tai häiriöistä, on lisääntynyt huomattavasti. Tämä on lisääntynyt 49 prosentista vuonna 2015/16 57 prosenttiin tämän vuoden raportissa.
Hallintoneuvostojen saaman kyberturvallisuutta koskevan tiedon osalta tämänvuotisessa raportissa todettiin, että 31 prosenttia saa kattavaa ja informatiivista tietoa kyberuhkista. Kun otetaan huomioon, että osuus on kasvanut edellisvuoden 21 prosentista, tämä oli erittäin myönteinen asia.
Yhteenvetona voidaan sanoa, että tämän vuoden FTSE 350 Cyber Governance Health Check Report -raportti on ristiriitainen. Joillakin osa-alueilla on tapahtunut selvää parannusta, kun taas toiset, kuten koulutus ja GDPR:n käyttöönotto, jäävät huomiotta.
Jos haluat lukea koko raportin, voit lukea sen täältä.
Mitä mieltä olitte tämänvuotisesta kertomuksesta, herättikö jokin asia suurta huolta? Oliko jokin asia erityisen yllättävä?
