Cyber Risks and the Responsibilities of Corporate Boards (Available in Finnish)
22 March 2021
Author: Johannes Husa
Originally published on Directors' Institute Finland's blog on 24 February 2021.
Kyberriskit ja osakeyhtiön hallituksen vastuu
Erilaiset liiketoimintaan liittyneet kyberriskit ovat lisääntyneet viime vuosien aikana yritysten ollessa samaan aikaan enenevässä määrin riippuvaisia erilaisista sähköisistä palveluista ja järjestelmistä. Kyberturvallisuus on samalla noussut yhä perustellummin hallitustason agendalle. Lisääntyneet kyberhyökkäykset meneillään olevan koronapandemian aikana sekä viimeaikaiset esimerkit ovat osoittaneet, ettei mikään liiketoiminta ole immuuni kyberriskeille vaan nämä voivat toteutua riippumatta yhtiön liiketoiminnasta. Esimerkiksi ransomware-hyökkäykset ovat aiheuttaneet vakavia häiriöitä erilaisten yritysten toiminnassa, toimitusketjuissa tai kriittisten tietojen saatavuudessa. Yrityksiin kohdistuneet tietomurrot Suomessa ja ulkomailla ovat samoin osoittaneet, että kyberriskien realisoitumisella voi olla merkittävä vaikutus yhtiön liiketoimintaan, osakekurssiin tai pahimmillaan koko yhtiön tulevaisuudelle. Tämä voi ilmetä esimerkiksi mainehaittoina, GDPR- ja muuhun sääntelyyn liittyvänä vastuuna, vahingonkorvausvelvollisuutena.
Tietoisuus kyberriskeistä on onneksi kasvamassa ja myös kyberriskit mielletään paremmin hallitustason asiaksi, jotka tulee huomioida samalla tavoin muiden liiketoiminnan riskien ohella. Kyberriskit tiedostetaan yhä paremmin liiketoimintaan vaikuttaviksi olennaisiksi riskeiksi samoin kuin esimerkiksi riskit asiakassuhteissa tai toimitusketjuissa. Suomessa myös esimerkiksi Liikenne ja viestintävirasto Traficomin alainen Kyberturvallisuuskeskus on 2020 julkaissut oppaan hallituksen jäsenille kyberturvallisuuteen liittyen[1]. Kyberriskeille ominaista on myös laajemmin informaatioteknologiaan liittyvä kehityksen nopeus. Yhtiön toimintaan liittyviä kyberriskejä on seurattava ja uusia riskejä arvioitava tasaisin väliajoin, jotta riskiarvioissa ja uhkakuvissa on mahdollista pysyä kehityksen tahdissa.
Osakeyhtiölain mukaan yhtiön hallitus vastaa yhtiön toiminnan asianmukaisesta järjestämisestä. Hallituksen tulee samoin lain periaatteiden mukaan huolellisesti edistää yhtiön etua. Hallitustyöskentelyä ohjaavat näin osaltaan osakeyhtiölain huolellisuus- ja lojaliteettivelvoite. Yhtiön liiketoimintaa koskevat strategisen linjaukset kuuluvat myös hallitustyöskentelyn ytimeen. Toiminnan järjestämiseen kuuluu samoin yhtiön liiketoimintaa koskevien riskien tunnistaminen, näiden analysointi sekä huolehtiminen riittävistä varautumistoimenpiteistä. Kyberturvallisuus voidaan mieltää yhtenä organisaation strategiaa tukevista palasista ja että yhtiön strategiset tavoitteet on suojattu myös kyberriskeiltä. Osa hallitustyöskentelyä on luoda yhtiölle tarpeellinen organisaatio ja varmistaa liiketoiminnan jatkuvuus muun muassa allokoimalla tarpeelliset resurssit myös kyberturvallisuudelle.
Kuten yhtiön muun riskienhallinnan osalta, hallituksen ensisijaisena tehtävänä on varmistaa ja valvoa, että riskienhallinta on toteutettu asianmukaisesti. Hallitustyöskentelyssä ensisijaiseksi voidaan katsoa riittävän ymmärryksen hankkiminen myös kyberriskeistä sekä kyky ohjata toimivaa johtoa ja tarvittaessa haastaa uhkakuvien tunnistamista ja näihin varautumista. Hallituksen edistäessään yhtiön etua tulisikin kysyä oikeat ja kriittiset kysymykset johdolta ja henkilöstöltä myös kyberturvallisuuden suhteen ja tarvittaessa ohjeistaa johtoa varautumisen täytäntöönpanossa. Hallitustyöskentelyn kannalta olennaisia kysymyksiä voivat olla esimerkiksi, miten kyberriskit on tiedostettu liiketoiminnassa, millainen yhtiön yleinen kyberriskiprofiili on, onko yhtiön ns. data assetit tunnistettu ja suojattu asianmukaisesti, miten hallitus on kyberriskien osalta ohjeistanut toimitusjohtajaa ja onko yhtiöllä riittävät resurssit ja toimintasuunnitelmat kyberuhkiin liittyen. Lisäksi kyberriskien osalta on tiedostettava se mahdollisuus, että riippumatta yhtiön toimenpiteistä, tietomurto voi tapahtua. Varautumiseen kuuluvat tässä mielessä myös toimintasuunnitelmat tietomurron varalta.
Kuten muussa hallitustyöskentelyssä, asioiden valmistelua voidaan tehostaa erillisissä valiokunnissa, jotka mahdollistavat asioiden valmistelun ja näihin syvemmän perehtymisen. Monessa listayhtiössä kyberriskien arviointi on esimerkiksi osoitettu tarkastusvaliokunnalle ja mahdollisesti tämän alaiselle erilliselle riskienhallintakomitealle. Valiokuntatyöskentely voi mahdollistaa myös hallituksen jäsenten paremman perehtymisen myös kyberriskeihin ja näiden vaikutuksesta yhtiön strategiaan ja liiketoimintaan.
Kyberriskejä kuvaa yleinen informaatioteknologian kehityksen nopeus ja erilaiset uhkakuvat voivat muuttua nopealla aikataululla. Hallitustyöskentelyn kannalta olennaista on, että yhtiön kyberriskejä koskeva seuranta on jatkuvaa ja varmistaa riskien ja näihin varautumisesta raportointi hallitukselle säännönmukaisesti. Hyvän hallinnon mukaisesti yhtiöön ja sen liiketoimintaan kohdistuvat riskit tulee tunnistaa ja arvioida ja varautuminen näihin järjestää asianmukaisesti. Kyberriskeihin varautuminen ja kyberturvallisuus voikin toimia myös hyvänä indikaattorina yhtiön hyvästä hallinnoinnista ja johdon tasosta.
[1] https://www.kyberturvallisuuskeskus.fi/fi/julkaisut/kyberturvallisuus-ja-yrityksen-hallituksen-vastuu-opas