Kauppaa ei olisi tehty, jos [Intera] olisi tiennyt tietomurroista ja puutteista tietoturvassa ja asiakastietojen suojauksessa.
Näin totesi Helsingin Sanomat suomalaisen pääomasijoittajan Intera Partnersin todenneen Vastaamo-kaupoista (7.11.2025). Yrityskauppoja tehtäessä kyberturvallisuusriskit jäävät valmistelussa liian usein huomiotta tai pinnallisiksi. Perinteisessä Due Diligence -prosessissa kyberturvallisuuden arviointi ei pääsääntöisesti ole mukana. Asiaan ollaan nyt kiinnitetty enemmän huomiota.
Miksi perinteinen due diligence ei riitä?
Juridisessa due diligence -auditoinnissa tarkastetaan sopimukset ja vastuut, taloudellinen auditointi kampaa luvut ja kassavirran, ja operatiivinen auditointi arvioi prosessit ja henkilöstön. Kaikki ovat tärkeitä: ne eivät kuitenkaan kerro ostettavan kohdeyhtiön järjestelmien ja kyberturvallisuuden tilaa.
Tekninen velka ja kyberriskit, sanoisinko turvallisuusvelka, eivät näy taseessa ennen kuin on liian myöhäistä.
Mitä kyberturvallisuuden due diligence -arviointi sisältää?
Kyberturvallisuuden due diligence -arviointi, Cyber Due Diligence, tuttavallisesti Kyber-DD – tarkastelee teknistä toteutusta ja -ympäristöä sekä tietoturvallisuuden johtamista kokonaisvaltaisesti. Listaan alla sen tyypillisiä osa-alueita:
Teknisen auditoinnin alueita ovat →
- Tekninen infrastruktuuri. Järjestelmien rakenne, haavoittuvuudet, konfiguraatiot ja tekniset puutteet kartoitetaan systemaattisesti.
- Pääsynhallinta. Käyttöoikeuksien hallinta, salasanakäytännöt, monivaiheinen tunnistautuminen ja ylläpitäjäoikeuksien valvonta arvioidaan.
- Lokitus ja seuranta. Onko järjestelmissä riittävän tasoinen lokien keruu ja seuranta, jotta poikkeamat havaitaan ja niihin voidaan reagoida?
- Varmuuskopiointi ja palautumiskyky. Miten organisaatio selviää kriisitilanteesta, ovatko varmuuskopiot toimivat ja testatut?
Johtamisen ja hallinnon alueella auditoidaan →
- Politiikat ja prosessit. Mitä tietoturvapolitiikkoja on olemassa ja toteutuvatko ne käytännössä? Onko organisaatiossa selkeät vastuut ja toimintamallit?
- Aiemmat kyberturvallisuuspoikkeamat. Onko kohdeorganisaatiossa tapahtunut kyberturvallisuuspoikkeamia, miten niihin on reagoitu ja miten on varmistettu että vastaavia poikkeamia ei enää tapahtuisi?
- Henkilöstö ja tietoturvatietoisuus. Ymmärtääkö henkilöstö kyberturvallisuuden merkityksen ja omat vastuunsa?
- Kolmannet osapuolet. Miten alihankkijat ja kumppanit hallitaan tietoturvan näkökulmasta? (esimerkiksi NIS2-vaateet)
- Regulaatiovaatimukset. Täyttääkö kohdeyhtiö NIS2-direktiivin, GDPR:n ja muut sovellettavat vaatimukset?
Inton Kyber-DD -auditoinnissa ostaja saa selkeän kuvan siitä, missä kunnossa kohdeyhtiön kyberturvallisuus on, ja josko korjaustoimia vaaditaan.
Kyberturvallisuuden due diligence -arviointi suojaa investointia ja yhtiön arvoa
Kyber-DD on tärkeää investoinnin suojaamisen ja arvon tunnistamisen näkökulmista. Yritysten arvonmääritys ei ole allekirjoittaneen substanssialuetta, mutta sen yhteys tietoturvallisuuden auditointiin on minulle hyvin selkeä.
Kyber due diligencessä selvitetään kohdeyrityksen kyberturvallisuusprosessien kattavuutta sekä teknisen kyberturvallisuuden tilaa. Usein selvityksen tuloksena voidaan havaita näihin liittyviä käytännön haasteita ja kehityskohteita.
Tavoitteena on välttyä kalliilta yllätyksiltä, kuten Interakin olisi varmasti toivonut. Jos kohdeyhtiössä on jo tapahtunut tietomurto tai sen järjestelmissä on kriittisiä haavoittuvuuksia, ne tulevat vastaan ennemmin tai myöhemmin. Korjauskustannukset, sakot ja mainehaitat voivat olla moninkertaiset ostohintaan nähden. Pelkästään NIS2-direktiivin mukaiset sakot voivat nousta miljooniin. Vastaamon tapauksessa ostettu yritys ajautui konkurssiin.
Kyber-DD auttaa ostajaa neuvottelemaan hinnan oikein. Jos tietoturvassa on puutteita, ne vaativat investointeja. Nämä kustannukset halutaan huomioida kauppahinnassa tai ainakin varmistaa, että myyjä korjaa puutteet ennen kauppaa.
Lisäksi auditoinnilla voidaan parhaassa tapauksessa tunnistaa tulevaisuuden mahdollisuuksia kyseisen yhtiön kanssa. Hyvin hoidettu kyberturvallisuus voi tietyillä toimialoilla muodostua kohdeyhtiön kilpailueduksi ja arvon lähteeksi.
Kyber-DD maksaa itsensä takaisin
NIS2-direktiivi toi jo mukanaan tiukemmat vaatimukset ja kovemmat sanktiot. Yhä useampi yritys joutuu raportoimaan tietoturvapoikkeamista ja noudattamaan tiukkoja teknisiä vaatimuksia. Jos kohdeyhtiö ei täytä näitä vaatimuksia, ostaja perii ongelman.
Samaan aikaan asiakkaat ja kumppanit vaativat yhä enemmän. Tietoturvasta on tullut osa liiketoiminnan luotettavuutta. Yritys, jolla ei ole asiat kunnossa, menettää kauppoja ja kumppanuuksia.
Auditointi antaa ostajalle varmuuden siitä, mitä on ostamassa, auttaa tekemään perustellun päätöksen ja suojaa investointia. Rohkenen väittää, että tämä investointi maksaa itsensä takaisin. Epävarmuus vähenee eli tässä kohtaa tieto ei lisää tuskaa vaan vähentää sitä.
Kysymys ei ole ”onko meillä varaa tehdä Kyberturvallisuuden due diligence -arviointi?”, vaan ”etenetkö hullunrohkeana ilman tarkempaa tietoa?”
Intolla ollut kunnia päästä auttamaan pääomasijoittajia tässä työssä, ole yhteydessä jos haluat kuulla lisää.
Ville