Miksei tietoturvaan voi sijoittaa kuten matalaan hiiliriskiin?

Yritysten tietoturva, osa 1 - Miksei tietoturvaan voi sijoittaa kuten matalaan hiiliriskiin?

Olen aikeissa sijoittaa uuteen rahastoon. Vertailen tuottoa, riskiä ja kuluja. Voin valita sijoittavani vain matalan hiiliriskin rahastoon ja karsia pois toimialoista esimerkiksi eläinkokeet, palmuöljyn ja tupakan. Miksi en voi yhtä näppärästi valita, että haluan sijoittaa tietoturvan hyvin hoitaneisiin yhtiöihin? Entäpä osakkeet sitten? Talouslukuja piisaa ja arvoiksi on listattu asiakaslähtöisyys ja rehellisyys. Tietoturvasta harva yritys kertoo yhtään mitään.

Älä käsitä nyt väärin. Ilmastonmuutoksen suitsiminen, globaalin kansanterveyden parantaminen ja eettisten työolojen edistäminen ovat äärimmäisen tärkeitä. Ja jos nyt valita pitää, menee ilmastonmuutos tietoturvan edelle. Toisaalta näiden vastakkainasettelu kuin vertailisi hellaa jääkaappiin - kumpikin ovat kodinkoneita, mutta niiden käyttötarkoitus on aivan eri.

Koska markkinoilla voi kuitenkin valita sijoituskohteensa melko mielivaltaisesti, niin miksei voisi sijoittaa myös tietoturvan perusteella:

Tietoturva vaikuttaa sijoituksen arvoon

Sijoituksen arvoon voi vaikuttaa merkittävästi, onko tietoturva hoidettu hyvin, huonosti vai hyvin huonosti.

Comparitech tutki tietomurtojen vaikutusta 28 New Yorkin pörssiin listatun yrityksen osakkeiden hintaan. Tutkimus tehtiin ensimmäisen kerran 2017 ja sitä on päivitetty 2018 ja 2019. Comparitechin mukaan osakekurssi putoaa heti tietomurron jälkeen, mutta lyhyellä aikavälillä kurssi palaa samoihin lukemiin tai jopa nousee. Pitkällä aikavälillä tietomurron kohteiden osakekurssin kehitys ei pysy NASDAQ-indeksin vauhdissa. Osakkeen arvon kehitykseen voivat tietenkin vaikuttaa muutkin tekijät. Lienee silti selvää, että tietomurron laajuuden selvittäminen, järjestelmien uudelleenasennus ja tietojen palautus, viestintä, mahdolliset sakot ja korvaukset ovat selvää rahanmenetystä, näkyipä se sitten osingoissa tai lovena tuotekehitysbudjetissa.

Tietomurtoalennus näkyy myös yritysostoissa. Verizon laski Yahoon ostohintaa 350 miljoonalla Yhdysvaltain dollarilla kahden paljastuneen tietomurron seurauksena. Marriott-hotelliketjun tapauksessa ostetun Starwood-ketjun tietojärjestelmien tietoturvaongelmat paljastuivat jälkikäteen ja Marriottille mätkähti mittavat sakot ja vuosien selvittelytyö.

Tietoturvallisuus ja tietosuoja ovat arvoja

Entäpä arvot? Matala hiiliriski tai sotateollisuuden ja pornon rahoittamisen välttäminen kytkeytyvät arvoihin. Minun arvomaailmassani tietoturvallisuus ja tietosuoja ovat korkealla. En halua rahoittaa bisnestä, jossa kääritään nopeat voitot perävalotakuulla ja hupsista vaan, vuodettiin samalla sadantuhannen henkilön tiedot tai satojen firmojen yrityssalaisuudet. En usko olevani yksin. Esimerkiksi Whatsapp-käyttöehtojen muutos vuoden 2021 alussa sai massat liikkeelle ja siirtymään Signal- ja Telegram-sovellusten käyttäjiksi.

Tietoturva kiinnostaa kuluttajaa

Tietoturva ja tietosuoja ovat tärkeitä kuluttajille uusia palveluita ja tuotteita ostettaessa. Esimerkiksi älylaitteiden ja pilvipalveluiden hankintaa koskeneen Traficomin kuluttajatutkimuksen mukaan suurin osa kuluttajista on kiinnostunut laiteidensa ja pilvitallennus- ja viestintäpalveluidensa tietoturvasta. Marraskuussa 2018 toteutetun tutkimuksen perusteella kolme neljäsosaa suomalaisista kuluttajista olisi myös valmis maksamaan enemmän, jos tietäisi palvelun tai tuotteen olevan tietoturvallinen.

Ciscon tietosuojaa koskevan vuoden 2019 kuluttajatutkimuksen vastaajista 48% oli vaihtanut palveluntarjoajaa tai yritystä, koska tiedonkäsittely- ja jakamiskäytännöt eivät miellyttäneet.

Siis: vaikka firma ei olisikaan pörssissä, huonosti hoidetun tietomurron negativissävytteisen uutisoinnin aiheuttama mainehaitta voi jäädä kummittelemaan pitkäksi aikaa ja aiheuttaa asiakaskatoa. Toisaalta, ehkä nykyaikana on jopa epäilyttävää, jos yritys ei kerro kohdanneensa edes yhtä tietomurron yritystä eikä tietoturvasta mainita sanallakaan. Silloin voi tulla mieleen, että ehkäpä havainnointikyky on puutteellinen tai tietoturva ei kiinnosta tippaakaan.

Tietoturva painaa vaakakupissa palvelutoimittajan valinnassa

Tietoturva ja tietosuoja ovat tärkeitä myös yrityksille palvelutoimittajaa ja kumppania valittaessa. Joillain aloilla tietoturva on äärimmäisen tärkeää koska esimerkiksi palvelunestohyökkäyksen tai sähkökatkon aiheuttama palvelukatko voi uhata henkiä. Jos hissi ei liiku, sähköä ei tule tai maksaminen ei onnistu, on digitaalisuuteen nojaava yhteiskuntamme ongelmissa. Jos tavara ei liiku, raha ei virtaa tai yhteistyö on jatkuvaa vianselvitystä, sopimuskauden päätyttyä valinta ei ehkä enää kohdistu sinun firmaasi.

Mistä sitten tietää, onko yrityksen tietoturva hoidettu hyvin vai huonosti? Selvittäminen on toistaiseksi aika vaikeaa. Onneksi yritysten avoimuus tietoturva-asioissa vaikuttaa kasvavan. Ehkäpä tulevaisuudessa saan valita sijoituskohteeni Morningstar-rankingin lisäksi tietoturvasta kertovan securitystarin mukaan.

Tämä blogi aloittaa yritysten tietoturvaa ja tietoturvatietoisuutta käsittelevän blogisarjan. Sarjan seuraavassa osassa käsitellään, millaisia tietoturvauhkia yritys voi kohdata ja mitä yritysten kannattaa ymmärtää niistä.