Finanssiala ja sen toimintaympäristö on yksi tiukimmin säännellyistä toimialoista. Finanssialan uusia kyberturvallisuuteen liittyviä suosituksia sekä määräyksiä valmistellaan eurooppalaisissa viranomaisverkostoissa. Lakisääteisten sääntelyvaatimusten lisäksi myös asiakkaiden ja sidosryhmien odotukset kasvavat jatkuvasti. Tietojenkäsittelyn on oltava kaikissa tilanteissa tietosuojamääräyksien mukaista – tietoja on prosessoitava ja palveluja on tuotettava tietoturvallisesti alati muuttuvassa digitaalisessa ympäristössä.
Finanssitoimialan liiketoiminta perustuu luottamukseen, ja tämän varmistamiseksi toimialan on etsittävä ennakkoluulottomia keinoja asiakkaidensa tietojen turvaamiseksi. Kyberturvallisuuden ei tarvitse olla oma jalustalle nostettava yksittäinen tavoitteensa vaan osa yrityksen strategiaa, yhteiskuntavastuuta ja koko yrityskulttuuria. Kyberturvallisuuskulttuurin edistäminen edellyttää laajaa yhteistyötä yritysten eri sisäisten asiakkaiden kanssa. Tukipilareina ja yhteistyön tärkeimpinä kumppaneina ovat tietohallinnon, riskienhallinnan, viestinnän sekä lainsäädännön asiantuntijat.
Kyberturvallisuus on edelleen liian paljon kallellaan negatiivisiin teemoihin. Saamme päivittäin lukea uutisointeja negatiivista asioista, jotka liittyvät tietoturvallisuuteen – tietomurtoja, asiakkaiden tietojen varastamista tai erilaisia huijauksia. Jatkuva painiminen negaatiossa heikentää yrityksen kykyä kohdata uusia kyberturvallisuuden riskejä ja uhkia. Se, miten kyberturvallisuudesta saadaan kilpailuetu, on haaste, johon meidän kaikkien finanssialan toimijoiden tulee tarttua.
Kun johdolle ja henkilöstölle viestitään kyberturvallisuuteen liittyvistä asioista positiivisessa valossa, rakennetaan samalla luotettavaa ja asiakkaita kunnioittavaa turvallisuutta. Tämän saavuttaminen on mahdollista, mutta se vaatii uusia ajatus- ja toimintamalleja. Positiivinen asenne, läpinäkyvyys ja avoimuus auttavat rakentamaan luotettavaa yrityskuvaa ja viestimään asiakkaiden suuntaan yrityksen panostuksesta turvallisuuden ylläpitämiseen.
Kyberrikollisuus on hyvin usein opportunistista ja kohteeksi voi joutua kuka tahansa. Siirtyminen defensiivisestä kyberturvallisuudesta offensiiviseen antaa hyvät mahdollisuudet havaita ja reagoida uusimpiin riskeihin. Yritykset voivat hyökätä koemielessä omiin palveluihinsa käyttäen samoja keinoja, malleja ja työkaluja, joita verkkorikolliset hyödyntävät. Tekemiseen tulee uutta syvyyttä ja merkitystä, kun liittoudutaan toimijoiden kanssa, joilla on uusia tietoturvallisuuden ajattelumalleja. Tällaisessa offensiivisessa mallissa viuhuvat kybernörttien käsitteet kuten hyvishakkeri, oma-aloitteinen palvelunestohyökkäys, bug bounty -ohjelma, red teaming -tunkeutumisharjoitus tai esimerkiksi threat hunting. Johdon suuntaan edellä mainittujen kokonaisuuksien konkreettinen toteuttaminen muuttaa perinteistä turvallisuuden riskikarttaa, ja mikä tärkeintä johdon agendalle saadaan ripaus kyberturvallisuuden positiivista sisältöä.
Yhteinen vastuumme on ylläpitää luottamusta – myös kybermaailmassa ja tässä poikkeuksellisessa tilanteessa.
Kirjoitus on kuuluu Vastuullinen finanssiala -kolumnisarjaan, jossa Finanssiala ry:n jäsenyhtiöiden edustajat kertovat vastuullisuudesta finanssialalla.