Tietoturvaloukkaukset ovat jo kauan sitten poistuneet tietotekniikkaosaston alaisuudesta ja istuvat nyt tiukasti johtokunnan pöydässä: Vuonna 2018 British Airways kärsi tietoturvaloukkauksesta, joka johti asiakkaiden henkilö- ja taloustietojen varastamiseen. Seuraukset olivat kauaskantoisia. Sen lisäksi, että Ison-Britannian tietosuojavaltuutettu ICO (Information Commissioner's Office) määräsi 20 miljoonan punnan sakon, ryhmäkanne voi lopulta maksaa yritykselle miljardeja puntia. Tämäntasoiset taloudelliset kustannukset kuuluvat suoraan yrityksen johtokunnalle.
Tietomurrot eivät kuitenkaan aiheuta vain taloudellisia tappioita. Yrityksen asiakkaat, työntekijät, toiminnot ja tavarantoimittajat voivat kaikki kärsiä. Tietoturvan tila on sellainen, että se on nyt noussut yrityksen kriittiseksi liiketoiminnaksi. Hallituksen jäsenten on oltava tietoisia tietoturvaloukkauksen seurauksista ja oltava valmiita ryhtymään myönteisiin toimiin.
Mitä hallintoneuvoston on tiedettävä tietoturvaloukkauksen vaikutuksista?
Hallituksen jäsenillä on huolenpitovelvollisuus yhtiötä ja sen osakkeenomistajia kohtaan. Tämä koskee myös sen varmistamista, että yhtiö suojautuu uhkilta, olivatpa ne sitten ilkivaltaisia tai tahattomia. Yhdistyneessä kuningaskunnassa hallituksen jäsenten luottamustehtävät on määritelty vuoden 2006 Companies Act -laissa, jossa määritellään yksityiskohtaisesti velvollisuus "edistää yhtiön menestystä" ja "noudattaa kohtuullista huolellisuutta, taitoa ja huolellisuutta hoitaessaan tehtäviään"; tietoverkkoriskit ja niihin reagoiminen sopivat hyvin tämän huolellisuusvelvoitteen piiriin. Seuraavassa kuvataan yksityiskohtaisesti, millaisia vaikutuksia tietoverkkohyökkäyksellä voi olla, ja niillä kaikilla voi olla kauaskantoisia vaikutuksia yrityksen jatkuvaan menestykseen:
Työntekijöiden moraali
Yritykset toimivat paremmin, kun ihmiset ovat tyytyväisiä ja tehokkaita. Jos työmoraali on heikko, tuottavuus laskee. Carboniten raportti, jossa tutkittiin, miten tietomurto vaikuttaa työntekijöihin, osoittaa selvästi, että henkilöstön työmoraali kärsii tietomurron jälkeen:
- 25 % työntekijöistä kokee, että tämä vaikuttaa heidän työn ja yksityiselämän tasapainoonsa.
- 24 % työntekijöistä koki työmoraalin laskeneen.
- 15 % yrityksistä antoi potkut tai irtisanoi työntekijöitä tietoturvaloukkauksen jälkeen.
- 11 prosentissa yrityksistä työntekijät irtisanoutuivat tietoturvaloukkauksen jälkeen.
Osakkeen hinta
Hallitusten johtajilla on paineita varmistaa, että osakekappaleet pysyvät korkealla, jotta osakkeenomistajien luottamus säilyisi. On kuitenkin näyttöä siitä, että tietomurrot vaikuttavat negatiivisesti osakkeiden arvoon. Yksi räikeimmistä osoituksista tästä oli Equifaxin osakkeen romahdus yhtiön vuonna 2017 tapahtuneen tietomurron jälkeen - osakkeen arvo laski yhteensä yli 30 prosenttia ennen kuin se toipui.
Comparitechin usean vuoden ajan tekemä tutkimus osoittaa, että osakekurssivaikutukset ovat yleisiä. Tutkimuksessa käytettiin New Yorkin pörssissä noteerattuja yrityksiä ja todettiin, että osakekurssit laskivat keskimäärin -3,5 prosenttia ja alisuoriutuivat NASDAQissa -3,5 prosenttia.
Sääntöjen noudattaminen ja sakot
Tietosuojaa ja tietosuojaa koskevien säännösten noudattamatta jättämisestä määrätään usein raskaita sakkoja. Kaksi esimerkkiä brittiläisistä yrityksistä, jotka ovat saaneet sakkoja EU:n yleisen tietosuoja-asetuksen (GDPR) nojalla, osoittavat, mitä kustannuksia noudattamatta jättämisestä aiheutuu:
Yritys: Ticketmaster
Sakko: 1,4 miljoonaa euroa (1,2 miljoonaa puntaa).
Miksi: Riittämättömät tekniset ja organisatoriset toimenpiteet tietoturvan varmistamiseksi.
Yritys Marriott International, Inc
Sakko: 20,5 miljoonaa euroa (17,8 miljoonaa puntaa).
Miksi: Riittämättömät tekniset ja organisatoriset toimenpiteet tietoturvan varmistamiseksi.
Pelkästään vuonna 2020 GDPR:n sakot kasvoivat 19 prosenttia, ja sakkoja on määrätty yhteensä 332,4 miljoonan dollarin arvosta sen jälkeen, kun laki otettiin käyttöön vuonna 2018.
Maine- ja asiakastappiot
Lloydsin ja KPMG: n aineettomien hyödykkeiden suojaamista käsittelevässä raportissa todettiin, että viimeisten 10-15 vuoden aikana 80 prosenttia yritysten hyödykkeistä voidaan kuvata aineettomiksi - tähän kuuluvat tuotemerkit, henkinen omaisuus ja teknologiapohjaiset palvelut. Yksi tietovuodon tai tietomurron vaikeammin mitattavissa olevista seurauksista on kuitenkin maineeseen kohdistuva vaikutus ja asiakkaiden menettäminen. PwC:n tutkimuksen mukaan 87 prosenttia kuluttajista ilmoitti, että he siirtyisivät muualle, jos yritys kärsisi tietomurrosta.
Työntekijöiden ja C-suiten irtisanomiset
Viime kädessä tietoturvaloukkaus voi johtaa taitojen ja tietojen menetykseen. Radwaren State of Web Application Security -raportin mukaan 23 prosenttia yrityksistä irtisanoi johtajia tietoturvaloukkauksen jälkeen. Esimerkki on jälleen vuoden 2017 Equifax-tietomurrosta. Silloinen CIOsai 55 000 dollarin sakon ja neljän kuukauden vankeustuomion sisäpiirikaupan harjoittamisesta ennen kuin tietomurrosta ilmoitettiin yleisölle.
Seisokkikustannukset
Tietoturvaloukkauksilla on kauaskantoiset vaikutukset koko yritykseen. Edellä mainitut tietoturvaloukkauksen vaikutukset eivät sisällä muita aloja, kuten käyttökatkoksia ja henkisen omaisuuden tai yrityksen arkaluonteisten tietojen menetystä: Datto tutki kyberturvallisuusrikkomuksen jälkeisen seisokkiajan kustannuksia ja totesi niiden kasvaneen 486 prosenttia vuosien 2018 ja 2020 välillä.
Miten tietomurto voi vaikuttaa hallitukseen
Turvallisuuskulttuuri, jota edistetään huipulla vallitsevalla äänensävyllä: Kyberturvallisuus on koko organisaation vastuulla johtokunnasta työntekijöihin ja ulkopuolisiin konsultteihin ja sen jälkeen. Kukaan yksittäinen henkilö, IT-tiimi tai tietoturva-analyytikko ei voi yksin vastata kyberturvauhkiin, vaan on elintärkeää saada hallitus mukaan turvallisuuteen. Vankka ja vankka tietoturva-asetelma lähtee ylhäältä. Kun hallitus suhtautuu kyberturvallisuuteen vakavasti, syntyy turvallisuuskulttuuri, joka leviää koko organisaatioon. Tämä kulttuuri on peruskivi, jonka avulla kyberturvallisuustietoisuutta voidaan kehittää koko yrityksen verkossa.
Tiedot ovat arvokkaita: Tieto ja sen mahdollinen altistuminen on kriittinen näkökohta hallituksen valvonnassa. Tietoturvaloukkaukset ovat kalliita: Yhdistyneessä kuningaskunnassa tietoturvaloukkauksen keskimääräiset kustannukset ovat 2,8 miljoonaa puntaa (3,9 miljoonaa dollaria).
Tietoverkkoturvakoulutuksen puute johtokuntatasolla: Tietoverkkoturvallisuuden tuntemus voi olla hallituksen ongelma. Hallituksen johtajilla on harvoin tietoturvallista taustaa. Hallituksen jäsenten olisi kuitenkin saatava tietoturvatietoisuuskoulutusta organisaation muun henkilöstön tavoin. Koulutuksen olisi oltava asianmukaista ja räätälöityä heidän rooliinsa hallituksen jäseninä, eikä se saisi olla "yhden koon" lähestymistapa. Yrityksen työntekijät, joilla on tietoturvaosaamista ja erinomaiset viestintätaidot, voidaan palkata auttamaan hallituksen jäsenten kouluttamisessa.
Tietomurtojen vaikutukset osakekursseihin: Siksi hallituksen jäsenillä on velvollisuus ymmärtää tietomurtojen vaikutukset osakkeenomistajien arvoon.
Toimintaperiaatteiden allekirjoittaminen: Tietoverkkoturvallisuusperiaatteet, joista osa voi koskettaa arkaluonteisia yritystietoja, ovat olennainen osa koko yrityksen laajuista turvallisuusstrategiaa, joka hallituksen tai sen jäsenen olisi tunnustettava ja mahdollisesti allekirjoitettava.
Kollektiivinen vastuuntunto: Johtoryhmän on johdettava verkkohyökkäysten torjuntaa. C-suite ja johtokunta voivat kannustaa ja edistää yhteistä vastuuntuntoa, joka ulottuu myös tietoisuuteen vahingossa tapahtuvasta tietojen paljastumisesta ja yksinkertaisista tietoturvavirheistä, jotka voivat lisätä organisaation riskiä.
Kaikki mukaan vastuullisuuteen: Organisaatio ja sen muodostavat henkilöt ovat vastuussa kyberturvallisuushygieniasta. Hallituksen edistämä tietoisuutta kyberturvallisuudesta edistävä kulttuuri auttaa muokkaamaan koulutusta, jota tarvitaan sen varmistamiseksi, että kaikki noudattavat tietoturvahygieniaa.
Tietomurtojen ehkäisyyn mukaan pääseminen
Grant Thorntonin raportissa todettiin, että 73 prosenttia yrityksistä raportoi noin 25 prosentin tulojen menetyksistä tietoverkkomurron jälkeen. Jo tämä on merkittävä syy siihen, miksi kyberturvallisuus on tärkeällä sijalla johtoryhmässä. Tietoverkkohyökkäyksellä on merkittäviä vaikutuksia organisaation kaikkiin osa-alueisiin. Hallituksella on keskeinen rooli, kun se auttaa luomaan vankan tietoturva-asetelman ja varmistaa, että oikeiden tietoturvatoimenpiteiden ja tietoisuuskoulutuksen järjestämiseen on varattu riittävästi varoja.
Tietoturvaloukkauksen jälkiseuraamuksilla voi olla tuhoisat seuraukset organisaatioille, ja kaikkia tietoverkkotapahtumia seuraa väistämättä syyllistämispeli. Tulevassa webcast-lähetyksessämme "The Data Breach Blame Game: Employees or Employers?", 27. toukokuuta klo 15.00 BST, jossa käsitellään yhä monimutkaisempaa vastuukysymystä ja sitä, kuka on vastuussa, kun tietoturvaloukkaus tapahtuu.