Konkreettiset keinot käyttöön kyberuhkia vastaan
Yhteiskunnan keskeiset toiminnot ovat riippuvaisia digitaalisista järjestelmistä ja -infrastruktuurista. Digitaalisen tietoyhteiskunnan resilienssiä ja varautumista kehitetään esimerkiksi Huoltovarmuuskeskuksen (HVK) Digitaalinen turvallisuus 2030 -ohjelmassa sekä erilaisten harjoitusten avulla. Edelleen tehostettuja kyberturvallisuuden toimenpiteitä tarvitaan, jotta yhteiskunnan kriittisiä toimintoja ylläpitävät toimijat kykenevät vastaamaan jatkuvasti kasvaviin uhkiin.
Yksi merkittävimmistä digitaalisen tietoyhteiskunnan resilienssiä kehittävistä harjoituksista on TIETO-harjoitus, joka järjestetään joka toinen vuosi. Kehitystä täytyy kuitenkin tapahtua joka vuosi. Mutta mitä yrityksissä ja HVK:ssa on viime aikoina tehty kyberturvallisuuden eteen? Ja mitä toisaalta kannattaisi tehdä? Tätä avaavat Vivictan (ent. Tietoevry Tech Services) turvallisuusjohtaja Jari Pirhonen sekä HVK:n Digitaalinen turvallisuus 2030 ohjelman johtaja Juha Ilkka.
Miten Vivictassa on kehitetty varautumista?
Vivictan turvallisuusjohtaja Jari Pirhonen kuvaa, miten ulkoiset kriisit ovat nostaneet yritysten varautumista uudelle tasolle.
”Aina kun jotain isompaa tapahtuu maailmalla, asiakkaatkin kysyvät meiltä, mitä tämä tarkoittaa meille ja heille. Yritysjohdossa kiinnitetään enenevässä määrin huomiota toimintojen jatkuvuuteen ja tietoturvaan”, Pirhonen kertoo.
Vivictassa on tehty useita konkreettisia varautumistoimia. Yrityksen sisällä on panostettu muun muassa tietoliikenneyhteyksien varmistukseen ja ylimmän johdon osallistumista on tiivistetty riskinhallintatyöpajojen ja päivitettyjen tietoturvan KPI-mittareiden avulla.
Lisäksi Vivictan irtautuminen Tietoevrystä itsenäiseksi yritykseksi velvoitti varmistamaan koko tietoturva- ja jatkuvuudenhallinnan toimivuuden.
Henkilöstön tietoisuutta on kasvatettu koulutusten lisäksi säännöllisillä tietojenkalastelusimulaatioilla, jotka ylläpitävät henkilöstön jatkuvaa tietoturva-ajattelua.
”Olen myös korostanut henkilökunnalle sitä, että on erittäin tärkeää raportoida, kun näkee jotain outoa. Parempi on, että kaikki epäilyttävä raportoidaan ja tutkitaan”, Pirhonen korostaa.
Tekoälyn tuomiin haasteisiin on vastattu nopeasti ottamalla käyttöön tekoälyn hallintamalli. Mallin avulla arvioidaan myös tietoturva- ja eettiset asiat aina ennen uusien työkalujen käyttöönottoa.
Varautumisen toimenpiteitä testattiin käytännössä, kun Vivictan laaja tiimi osallistui TIETO24-harjoitukseen. Tämä vahvisti, että yrityksen reagointimalli oli toimiva. Lisäksi päästiin kehittämään viranomaisyhteistyötä, mikä yleensä jää puuttumaan yrityksen omista simuloinneista.
Tehokkaan tiedonvaihdon ja roolien täsmentämisen tärkeys
Kyberturvallisuuden merkitys on yleisesti tunnistettu ja varautumista tehdään monella tasolla. Juha Ilkka nostaa kuitenkin tässä kohtaa esiin myös HVK:n roolin: EU:n säädöksiin perustuva lainsäädäntö asettaa varautumiselle perusvaatimukset, mutta HVK:ssa tähdätään perustason ylittämiseen.
”Elinkeinoelämän kanssa tiiviissä yhteistyössä tehtävä varautumistyö perustuu huoltovarmuuspäätöksen tavoitteisiin, jotka pyrkivät turvaamaan yhteiskunnan toimintakyvyn myös ääritilanteissa. Siten keskitymme toimenpiteissä perustason parantamisen lisäksi myös tilanteisiin, joita toivottavasti ei tarvitse koskaan kohdata.”
Koska kybervarautumisen tasoa on nostettava jatkuvasti kasvavien uhkien vuoksi, Ilkka suosittelee erityisesti pienille yrityksille vaikuttavia ja kustannustehokkaita toimenpiteitä.
“Yritysten on saatava kuntoon kyberhygienian perusasiat, kuten päivitykset, varmistukset, pääsynhallinta ja henkilöstön koulutus. Lisäksi on laadittava toiminnan jatkuvuuden ja palautumisen suunnitelmat, jotta tiedetään, kenelle soitetaan ja miten toimitaan häiriötilanteessa. Myös toimitusketjujen ja kumppaneiden riskien hallintaan on kiinnitettävä huomiota”, Ilkka konkretisoi toimenpiteitä.
Myös Pirhonen kiteyttää varautumisen perusidean: ”Jatkuvuussuunnitelmaohjeita tärkeämpää on itse prosessi. Eli se, että pohditaan, mitä tehtäisiin konkreettisesti, jos jotain tapahtuu.”
Ensi vuonna harjoitellaan taas
Ensi vuonna järjestettävän TIETO26-harjoituksen tavoitteena on kehittää yhteistyöhön perustuvaa toimintakulttuuria, tiedolla johtamista ja yhteistoimintamalleja – myös poikkeusolojen varalta. Samalla tunnistetaan konkreettisia kyberturvallisuuden häiriötilanteissa toimimisen kehitystarpeita, joita tullaan viemään arjen käytäntöihin osallistuvissa yrityksissä ja esimerkiksi Digitaalinen turvallisuus 2030 -kehitysohjelmassa.
TIETO26:n teema keskittyy tällä kertaa elintarvikehuollon toimitusketjuihin ja niihin olennaisesti kytköksissä oleviin toimialoihin. Potentiaalisia osallistujaorganisaatioita on tunnistettu osana harjoituksen suunnittelua, ja kutsuprosessi on aloitettu loppuvuodesta.
HVK tulee viestimään sekä TIETO-harjoituksesta että muista digitaalisen turvallisuuden teemoista läpi vuoden 2026.
Lue lisäää TIETO26-harjoituksesta.
Teksti: Jarmo Holopainen / Kansikuva: Colourbox /Jari Pirhosen kuva: Vivicta / Juha Ilkan kuva: Meeri Utti
