Digitaalisen ekosysteemin laajentuessa eksponentiaalisesti ja kyberrikollisten pyrkiessä hyödyntämään sen tietoturva-aukkoja, sääntelyviranomaiset painostavat yrityksiä edelleen kehittämään kattavia kyberriskistrategioita ja pitävät niitä vastuullisina, jos asiat menevät pieleen.
Koska kyberuhkat ovat monitahoisia ja luonteeltaan globaaleja, sääntelyviranomaiset omaksuvat yhtenäisemmän lähestymistavan kyberriskien noudattamiseen. Täydellinen esimerkki tästä on Euroopan unionin digitaalisen toiminnan sietokyvyn laki, joka velvoittaa koko blokin noudattamaan yhteisiä kyberturvallisuussääntöjä.
Myös kansainvälinen yhteistyö kyberuhkien sietokyvyn parantamiseksi, erityisesti tekoälyn (AI) kaltaisilla aloilla, kasvaa. Esimerkiksi syyskuussa 2024 Iso-Britannia, Yhdysvallat ja Kanada ilmoitti suunnitelmistaan tehdä yhteistyötä kyberturvallisuuden ja tekoälytutkimuksen parissa.
Yhtenäisten kyberturvallisuusmääräysten lisääntymisen vuoksi yritysten kaikilla toimialoilla odotetaan nyt kehittävän, valvovan ja arvioivan säännöllisesti kattavia IT-riskien hallintakeinoja ja -käytäntöjä. Kyberasiantuntijat varoittavat, että näitä ei voida enää tehdä yhdellä, rasti ruutuun -periaatteella.
Yhdenmukainen lähestymistapa kyberuhkien sietokykyyn
Nopeasti lisääntyvät kehittyneet kyberuhkat ja yritysten kasvava riippuvuus digitaaliteknologioista saavat globaalit sääntelyviranomaiset yhdenmukaistamaan toimintatapojaan keskeisillä osa-alueilla, kuten tietosuojassa, kyberuhkien sietokyvyssä ja riskienhallinnassa, kertoo amerikkalaisen IT-tietoturvayrityksen Qualysin vanhempi tuotepäällikkö Anu Kapil.
Hän väittää, että omaksumalla yhtenäisen lähestymistavan yksityisyyden suojaan, kyberturvallisuuteen ja tekoälyyn liittyviin määräyksiin sääntelyviranomaiset hyötyvät virtaviivaistetusta valvonnasta ja rajat ylittävän vastuuvelvollisuuden täytäntöönpanosta. Samaan aikaan yritykset voivat käyttää standardoituja kehyksiä keskitetyn vaatimustenmukaisuuden varmistamiseksi.
Samoja ajatuksia toistaen ISMS.onlinen tuotejohtaja Sam Peters huomauttaa, että sääntelyviranomaiset maailmanlaajuisesti tekevät yhä enemmän yhteistyötä eri alojen välisten kyberturvallisuussääntelyiden parissa vastauksena monimutkaisten digitaalisten uhkien lisääntymiseen, geopoliittisiin haasteisiin ja käyttäjien kasvaviin vastuullisuusodotuksiin.
Petersin mukaan sääntelyviranomaiset toivovat näin tekevänsä purkaakseen nykyisiä siiloja, joita esiintyy esimerkiksi kyberturvallisuuden, tietosuojan ja tekoälyn aloilla. Nämä siilot vaikeuttavat organisaatioiden mahdollisuuksia havaita ja lieventää kyberuhkia.
Mutta poistamalla edellä mainitut siilot, edistämällä johdonmukaisempaa IT-sääntelyä ja nojaten olemassa oleviin riskienhallintastandardeihin, kuten ISO 27001Hän uskoo, että sääntelyviranomaiset voivat auttaa nopeuttamaan monialaista innovaatiota ja vähentämään kyberriskejä.
Ei tehdä tarpeeksi
Vaikka alan standardit, kuten NIS2, DOR ja ISO 27001, ovat viime aikoina yhdenmukaistuneet, Mark Weir, kyberturvallisuusratkaisujen tarjoajan Ison-Britannian ja Irlannin aluejohtaja Check Point -ohjelmisto, viittaa siihen, että niistä on vielä matkaa kuljettavana, ennen kuin niistä tulee todella "johdonmukaisia" ja "kattavia" maailmanlaajuisesti.
Hän sanoo erityisesti, että virallisten tekoälyohjeiden ja -hallinnon puute vaikeuttaa organisaatioiden mahdollisuuksia käyttää tätä teknologiaa asianmukaisesti. Esimerkiksi taiteilijat ovat huolissaan siitä, että tekoäly voisi loukata heidän tekijänoikeuksiaan, ellei teknologiaa säännellä asianmukaisesti.
Mutta syyllisiä eivät ole vain sääntelyviranomaiset. Vaikka alan elimet, kuten National Cyber Security Centre, varoittavat kyberuhkien kasvavasta riskistä ja antavat ohjeita niiden torjumiseksi, Weirin mukaan monet organisaatiot eivät toteuta niitä käytännössä. Hän on erityisen huolissaan kybersimulaatioiden ja -harjoittelun puutteesta yritysten kyberturvallisuussuunnitelmissa.
Hän kertoo ISMS.online-sivustolle: ”Ilman ennakoivaa suunnittelua ja säännöllistä testausta kyberhyökkäyksestä toipumisen onnistumisen todennäköisyys pienenee merkittävästi, mikä usein johtaa palvelukatkoksiin, tietojen menetykseen ja asiakkaiden luottamuksen rapautumiseen.”
Mitä yhentyneet kybersäännökset tarkoittavat yrityksille
Selvää on, että uusien toimialakohtaisten säännösten ilmaantuessa ja olemassa olevien käytäntöjen lähentyessä yrityksillä ei ole muuta vaihtoehtoa kuin ottaa sääntelyyn liittyvät velvoitteensa vakavasti. Petersille tämä tarkoittaa riittävien IT-riskienhallinnan toimenpiteiden toteuttamista, niiden vankkaa hallintaa ja vastuullisuutta, kun asiat menevät pieleen.
Kyber- ja tekoälyuhkien noustessa nopeasti yritysten ei ole varaa käsitellä vaatimustenmukaisuutta "kertaluonteisena tarkistuslistana". Sen sijaan niiden on kehitettävä jatkuvan parantamisen kulttuuri varmistaakseen, että niiden kyberturvallisuussuunnitelmat ovat todella tehokkaita.
Petersin mukaan yritykset, jotka suhtautuvat kyberuhkien sietokykyyn "strategisena" ja "jatkuvana" harjoituksena kaikissa osastoissa, menestyvät parhaiten. Hän selittää: "Ne, jotka tekevät sen oikein, saavat kilpailuedun: nopeamman markkinoille tulon, vahvemman asiakkaiden luottamuksen ja pienemmän altistumisen sääntelysakoille tai mainehaittautumisille."
Kapil on samaa mieltä siitä, että yhdentyvien kyberturvallisuusmääräysten valossa organisaatiot altistavat itsensä epäonnistumiselle, jos ne eivät jatkuvasti noudata vaatimuksia. Hän kannustaa yrityksiä laatimaan mukautuvia kyberturvallisuuskäytäntöjä, seuraamaan niitä säännöllisesti ja olemaan valmiita vastaamaan sääntelyviranomaisten odottamattomiin tarkastuspyyntöihin.
Hän kertoo ISMS.online-sivustolle: ”Jotta tämä olisi tehokasta, yritykset voivat automatisoida todisteiden keräämisen, arvioida kontrollin puutteita ennakoivasti ja pysyä ajan tasalla kehittyvien määräysten kanssa useilla eri aloilla.”
Älykkäämpi ja integroitu kyberturvallisuuslähestymistapa
Kun on kyse kyberturvallisuusmääräysten yhdenmukaistamista koskevien lisääntyneiden sääntelyvaatimusten täyttämisestä ja kyberpuolustuksen vahvistamisesta, Peters kehottaa yrityksiä korvaamaan manuaaliset ja pirstaloituneet vaatimustenmukaisuusmenetelmät älykkäämmillä ja integroidummilla lähestymistavoilla.
Käytännössä Petersin mukaan tämä tarkoittaa riskien, vaatimustenmukaisuuden ja hallinnon keskittämistä yhteen ympäristöön, joka on helposti skaalattavissa, ottaa huomioon nykyiset ja uudet alan säännökset ja tarjoaa näkemystä riskeistä eri liiketoiminnan osa-alueilla.
Yksi tapa tehdä tämä on Petersin mukaan ottaa käyttöön tietoturvallisuuden hallintajärjestelmä, joka noudattaa tunnustetun alan standardin, kuten ISO 27001:n, vaatimuksia. Hän selittää, että tällaiset standardit eivät ole ainoastaan tarkoituksella luotuja, vaan ne on myös suunniteltu helpottamaan rajat ylittävää kyberturvallisuusvaatimustenmukaisuutta jäsennellyllä ja mukautuvalla tavalla.
”Käyttämällä ISO 27001 -standardin perustaksi yritykset saavat systemaattisen tavan tunnistaa, arvioida ja lieventää riskejä. Mikä tärkeintä, sen rakenne tukee lisäkehysten sisällyttämistä, olipa kyse sitten yksityisyydestä, tekoälyn etiikasta, resilienssistä tai toimialakohtaisista mandaateista”, Peters sanoo.
Hän lisää, että ISMS-alustan käyttöönoton jälkeen yritykset voivat integroida muiden viitekehysten – kuten ISO 22301 -standardin liiketoiminnan jatkuvuuden varmistamiseksi ja/tai ISO 42001 -standardin tekoälyn varmistamiseksi – suositukset erilaisiin vaatimustenmukaisuustoimiinsa. Hän lisää: ”Tämä yksinkertaistaa hallintaa ja helpottaa vaatimustenmukaisuuden osoittamista useiden standardien ja alueiden välillä.”
Petersin tavoin Kapil varoittaa yrityksiä käsittelemästä erilaisia IT- ja kyberturvallisuusmääräyksiä erikseen, koska se johtaa "tehottomiin ja riskialttiisiin" siiloihin. Hän suosii keskitettyä lähestymistapaa, jossa yritykset kehittävät osastojen välisiä käytäntöjä, jotka ovat linjassa NIST:n, ISO:n ja GDPR:n kaltaisten viitekehysten kanssa.
Koska sääntelyyn liittyvät velvoitteet kehittyvät jatkuvasti, hän korostaa käytäntöjen jatkuvan valvonnan tärkeyttä – tehtävää, jota voidaan tehostaa automaatiotyökalujen avulla. Hän lisää: ”Integroidun käytäntötarkastusmenetelmän avulla he voivat vähentää manuaalista työtä, parantaa tarkkuutta ja yhdenmukaistaa riski- ja vaatimustenmukaisuustoimet yhden alustan alle.”
Kybersääntelyn tulevaisuus
Kapil odottaa tulevaisuudessa alan sääntelyn tiukentuvan entisestään nopeasti laajenevan ja yhä raivokkaamman kyberuhkakentän edessä. Hän uskoo, että yrityksiin kohdistuu kasvavaa painetta todistaa, että ne torjuvat näitä riskejä jatkuvasti ja reaaliajassa integroidun kyberriskistrategian avulla. Tämän aloittaminen nyt auttaa niitä tulemaan "ketterämmiksi, auditointivalmiimmiksi ja paremmin suojatuiksi sääntely- ja kyberriskejä vastaan", hän lisää.
Alan Jones, tietoturvallisen viestinnän tarjoajan YEO Messagingin toimitusjohtaja ja yksi perustajista, on samaa mieltä siitä, että kyberriskien noudattaminen tulevaisuudessa on integroidumpaa. Hän odottaa yhä useampien yritysten omaksuvan tämän trendin todentamalla käyttäjät reaaliajassa ja ottamalla käyttöön nollaluottamusarkkitehtuureja.
Kun yhä useammat organisaatiot kehittävät, ottavat käyttöön ja käyttävät tekoälyjärjestelmiä, Satish Swargam, sovellustietoturvayrityksen DevSecOpsin ja tietoturvakehityksen pääkonsultti Musta ankka, ennustaa, että tulevat kyberturvallisuusmääräykset ja vaatimustenmukaisuuskäytännöt suunnitellaan tämän teknologian ympärille.
Alan sääntelyllä ei ainoastaan pyritä lieventämään tekoälymallien aiheuttamia uhkia, vaan mallit itsessään voisivat myös tehostaa kyberturvallisuusvaatimustenmukaisuutta. Itse asiassa Swargam sanoo, että tekoälyllä on valta "puuttua turvallisuusriskeihin oikeassa kontekstissa".
Yritykset hyötyvät suuresti uusista teknologioista, kuten tekoälystä, mutta ne kohtaavat myös merkittäviä eettisiä ja kyberturvallisuusriskejä, jotka kasvavat ja kehittyvät jatkuvasti. Tästä syystä yritysten on arvioitava näitä riskejä asianmukaisesti suojellakseen työntekijöitään, asiakkaitaan ja jopa mainettaan. Näin toimimalla sääntelyviranomaiset pysyvät tyytyväisinä.
