Kumppanuusverkostoissa kyberturvallisuuskin tehdään yhdessä

”Yritysten välisten verkostojen kyberturvaa ei ole juuri tutkittu, vaikka toimitusketjuihin kohdistuvat kyberhyökkäykset ovat alkaneet lisääntyä Euroopan unionin kyberturvallisuusvirasto Enisan mukaan”, sanoo apulaisprofessori Jonna Järveläinen Jyväskylän yliopistosta.

Projektissa kehitettiin konkreettisia välineitä verkostojen kyberturvallisuuden parantamiseksi. Projektin työpajoihin osallistui energia-, vesi- ja satama-alan toimijoita, ja tuloksena syntyi muun muassa kyberturvallisuuden työkirja ja ohje kyberyhteistyön aloittamiseen.

”Projektin suurimpia hyötyjä oli, että kyberyhteistyötä yritysten välillä saatiin käynnistettyä. Ainakin yksi verkostoista on jatkanut toimintaansa projektin päättymisen jälkeenkin”, Järveläinen kertoo.

Tietoturvatietoisuus ja itseluottamus paranivat

Suur-Savon Sähkö oli yksi projektiin osallistuneista yrityksistä.

”Yksi mukana olleista yrityksistä järjesti omatoimisesti ensimmäisen kyberhäiriöharjoituksen ja kutsui siihen kumppaneita mukaan. Projektiin osallistuminen lisäsi todennäköisesti heidän tietoturvatietoisuuttaan ja kasvatti itseluottamusta”, kehuu Suur-Savon Sähkön Pekka Nurmi.

Nurmen mukaan projektin myötä myös yhtiöiden johtotasolla on ryhdytty aikaisempaa aktiivisemmin keskustelemaan kyberasioista ja määrittelemään yhteistyön tavoitteita. Henkilöstö on saanut koulutusta, joka on lisännyt tietoisuutta ja luonut uudenlaista keskustelukulttuuria.

Sekä Nurmi että Järveläinen painottavat, että jos kyberyhteistyön aloitetaan vasta kriisin hetkellä, ollaan auttamatta myöhässä – sen on rakennuttava ajan kanssa.

”Yhteistyö vaatii pitkäjänteistä työtä ja säännöllisiä tapaamisia. Luottamus ei synny hetkessä”, Järveläinen muistuttaa.

Nurmen mukaan onnistunut yhteistyö vaatii myös liiketoiminnan edustajien mukanaoloa – ei vain tietoturva-asiantuntijoita.

”On tärkeää, että johto keskustelee riskeistä ja pelisäännöistä. Organisaation prosessit pitää ottaa huomioon, muuten tietoturva jää irralliseksi.”

Pienet toimijat, suuret riskit

Projektin yhteydessä nousi esiin myös rakenteellinen haavoittuvuus. Suuri osa Suomen kriittisestä infrastruktuurista on pienten toimijoiden varassa, eikä niillä aina ole resursseja vastata kasvaviin kyberuhkiin.

”Monessa kunnassa yksi henkilö vastaa useasta kriittisestä IT-toiminnosta. Tämä on valtava riski”, Järveläinen sanoo.

Hän huomauttaa, että esimerkiksi Traficomin Kyberturvallisuuskeskuksen tiedonvaihtoryhmät on suunnattu pääasiassa suurille organisaatioille, jolloin pk-yritykset ja pienet kunnat ovat jääneet helposti verkostojen ulkopuolelle.

Nurmi kertoo projektin vastanneen haasteeseen juuri oikeaan aikaan.

”Uuden kyberturvallisuuslain myötä toimitusketjun turvallisuus on noussut keskiöön. Meidän yhteistyömallimme täyttää jo monia lain vaatimuksia, kun mukana on johto, viestintä toimii ja seuranta on jatkuvaa.”

Tutkimusta ja opetusta – myös tulevaisuudessa

Järveläinen näkee projektissa valtavasti potentiaalia myös tutkimuksen ja opetuksen näkökulmasta.

”Työkirjan pedagoginen idea on itsetutkiskelu, ei ulkoa opettelu. Tällainen lähestymistapa toimii parhaiten, kun halutaan oikeasti muuttaa ajattelua.”

Tutkijalle projekti tarjosi arvokasta aineistoa, joka avaa uutta näkökulmaa arvoverkostopohjaiseen kyberyhteistyöhön – aiheeseen, joka on vasta nousussa kansainvälisessäkin tutkimuksessa.

Kyberuhat eivät koputa oveen ennen kuin iskevät. Siksi luottamus on rakennettava etukäteen – verkostoissa, joissa jokainen lenkki merkitsee.

”Tämä ei ole vain kahden organisaation välistä yhteistyötä. Kyberturva on yhä enemmän yhteispeliä laajoissa verkostoissa”, muistuttaa Järveläinen.

Teksti: Jarmo Holopainen / Kuva: Colourbox

Jyväskylän yliopiston toteuttamassa Kyberkumppani-projektissa tuettiin yhteiskunnan keskeisiä toimintoja tuottavia kumppanuusverkostoja kehittämään yhteistyötä kyberturvallisuuden hallinnassa. Yksi projektin rahoittajista on Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelma.

Projektin hankesivu Jyväskylä yliopiston verkkosivustolla