Kyberturvallisuus osana suomalaisten yritysten vuosiraportointia : Analyysi kyberturvallisuustietojen esittämisestä suomalaisten pörssiyhtiöiden toimintakertomuksissa ja vuosiraporteissa
Haavisto, Laura (2024-07-11)
Kyberturvallisuus osana suomalaisten yritysten vuosiraportointia : Analyysi kyberturvallisuustietojen esittämisestä suomalaisten pörssiyhtiöiden toimintakertomuksissa ja vuosiraporteissa
(11.07.2024)
Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
avoin
Julkaisun pysyvä osoite on:
https://urn.fi/URN:NBN:fi-fe2024072562490
https://urn.fi/URN:NBN:fi-fe2024072562490
Tiivistelmä
Kyberturvallisuuden merkitys nykymaailmassa on jatkuvassa kasvussa kyberuhkien määrän lisääntyessä jatkuvasti. Esimerkiksi Yhdysvalloissa tietovuodot ovat yli 20-kertaistuneet vuosien 2005 ja 2023 välillä. Tämä kasvattaa sidosryhmien, sijoittajien ja asiakkaiden odotuksia yritysten kyberturvallisuustoimia kohtaan, ja yritysten on tärkeää viestiä ja raportoida kyberturvallisuustoimistaan julkisesti. Yksi keskeinen keino yrityksille tällaiseen viestintään on sisällyttää tietoja kyberturvallisuudesta osaksi vuosiraportointia.
Tämän tutkielman tarkoituksena oli tarkastella suomalaisten pörssiyritysten kyberturvallisuusraportointia osana vuosien 2022 ja 2023 vuosiraportteja, ja muodostaa tätä kautta poikkileikkaava kuva kyberturvallisuusraportoinnin nykytasosta Suomessa. Aihetta on tutkittu jonkin verran maailmalla, mutta Suomessa ja Euroopassa tutkimus on edelleen vähäistä.
Empiirinen tutkimus toteutettiin laadullisena tutkimuksena, ja tutkimusmenetelmäksi valikoitui sisällönanalyysi. Tutkielman aineisto koottiin Helsingin pörssiin listautuneiden yritysten uusimmista vuosiraporteista, jotka aineiston keruuhetkellä olivat joko vuoden 2022 tai 2023 raportteja. Aineisto käytiin läpi kyberturvallisuuteen liittyvien hakusanojen avulla, ja hakusanojen osumat jaoteltiin niiden kontekstin perusteella teemoihin ja edelleen alateemoihin, jotka muodostettiin tutkimuksessa sovellettua teoreettista viitekehystä mukaillen.
Tutkimuksen tulokset ovat pitkälti linjassa teorian ja aiemman tutkimuksen kanssa. Löydökset osoittavat, että kyberturvallisuusraportointi on Suomessa samalla tasolla kuin muualla maailmassa, ja suurin osa suomalaisista pörssiyrityksistä sisällyttää tietoja kyberturvallisuudesta osaksi vuosiraportointiaan, vaikkakin toimiala- ja kokoluokkakohtaisia eroja esiintyy. Raportointi on sisällöltään melko yksinkertaista ja suppeaa. Tulevaisuudessa voi olla syytä keskittyä enemmän erityisesti raportoinnin selkeyteen, ymmärrettävyyteen ja johdonmukaisuuteen.
Tutkimustulokset tarjoavat yritysjohdolle tietoa kyberturvallisuusraportoinnin tilasta ja käytännöistä nykymarkkinoilla, minkä perusteella raportointia on mahdollista edelleen kehittää. Koska aiheen tutkimus on vielä vähäistä, tarve jatkotutkimukselle on tunnistettu, ja sitä on mahdollista toteuttaa useista eri näkökulmista.
Tämän tutkielman tarkoituksena oli tarkastella suomalaisten pörssiyritysten kyberturvallisuusraportointia osana vuosien 2022 ja 2023 vuosiraportteja, ja muodostaa tätä kautta poikkileikkaava kuva kyberturvallisuusraportoinnin nykytasosta Suomessa. Aihetta on tutkittu jonkin verran maailmalla, mutta Suomessa ja Euroopassa tutkimus on edelleen vähäistä.
Empiirinen tutkimus toteutettiin laadullisena tutkimuksena, ja tutkimusmenetelmäksi valikoitui sisällönanalyysi. Tutkielman aineisto koottiin Helsingin pörssiin listautuneiden yritysten uusimmista vuosiraporteista, jotka aineiston keruuhetkellä olivat joko vuoden 2022 tai 2023 raportteja. Aineisto käytiin läpi kyberturvallisuuteen liittyvien hakusanojen avulla, ja hakusanojen osumat jaoteltiin niiden kontekstin perusteella teemoihin ja edelleen alateemoihin, jotka muodostettiin tutkimuksessa sovellettua teoreettista viitekehystä mukaillen.
Tutkimuksen tulokset ovat pitkälti linjassa teorian ja aiemman tutkimuksen kanssa. Löydökset osoittavat, että kyberturvallisuusraportointi on Suomessa samalla tasolla kuin muualla maailmassa, ja suurin osa suomalaisista pörssiyrityksistä sisällyttää tietoja kyberturvallisuudesta osaksi vuosiraportointiaan, vaikkakin toimiala- ja kokoluokkakohtaisia eroja esiintyy. Raportointi on sisällöltään melko yksinkertaista ja suppeaa. Tulevaisuudessa voi olla syytä keskittyä enemmän erityisesti raportoinnin selkeyteen, ymmärrettävyyteen ja johdonmukaisuuteen.
Tutkimustulokset tarjoavat yritysjohdolle tietoa kyberturvallisuusraportoinnin tilasta ja käytännöistä nykymarkkinoilla, minkä perusteella raportointia on mahdollista edelleen kehittää. Koska aiheen tutkimus on vielä vähäistä, tarve jatkotutkimukselle on tunnistettu, ja sitä on mahdollista toteuttaa useista eri näkökulmista.