Siirry sisältöön
Huoltovarmuuskeskus

Kyberuhkiin on varauduttava ennen kriisiä

Paras tapa valmistautua kriiseihin on poikkeustilanteiden harjoittelu etukäteen. Tietoevryllä kriisinhallintamalleja kehittänyt Ari Kovalainen kertoo, miten jokainen yritys voi huolehtia omasta kyvykkyydestään ennen kriisiä.

18.3.2022
kriittinen-infrastruktuurikyberturvallisuustietoturvallisuustietoyhteiskuntaturvallisuus

Miten määritellään kriisi? Kriisiksi kutsutaan vakavaa poikkeustilannetta, jota ei pystytä ratkaisemaan normaalisti käytössä olevilla prosesseilla ja toimintatavoilla. Kriisille on tyypillistä myös se, että päätöksiä pitää tehdä nopeasti. Esimerkiksi kyberhyökkäyksessä juostaan usein aikaa vastaan. Ensin havaitaan normaalista poikkeavaa toimintaa esimerkiksi tietojärjestelmässä. Sen jälkeen paljastuu, että järjestelmässä on jokin haavoittuvuus, jonka kautta hyökkääjät ovat ujuttautuneet sisään. Voi olla minuuteista kiinni, kuinka nopeasti aukot saadaan paikattua ja vahingot torjuttua. Jos reaktiot ovat hitaita, hyökkääjät ehtivät tehdä tuhojaan järjestelmässä.

“Poikkeustilanteisiin pitää varautua silloin, kun kaikki on hyvin”, muistuttaa Tietoevryn Corporate Business Continuity Manager Ari Kovalainen. Kovalainen on yksi tänä vuonna järjestettävän TIETO22-kyberturvallisuusharjoituksen kouluttajista. IT-alan teknologiayritys Tietoevry on kehittänyt perusteelliset kriisinhallintamallit oman globaalin organisaationsa sekä eri yksiköidensä tarpeisiin. Mallit perustuvat molempien organisaatioiden parhaiksi toteamiin käytäntöihin.

Kovalainen listaa kolme tärkeintä asiaa, jotka jokaisen yrityksen tulisi miettiä valmiiksi omassa varautumisessaan:

1. Kriisiorganisaatio – ketkä ovat päävastuussa, jos jokin poikkeustilanne kärjistyy kriisiksi? Kriisiorganisaatioita voi olla pienessä yrityksessä vain yksi tai isossa yrityksessä useita, esimerkiksi eri yksiköissä, paikallisesti ja globaalisti. Kriisiorganisaatiossa tulee olla ainakin nimetty kriisitilanteen johtaja, viestijä sekä operatiivisten toimintojen vastuuhenkilö. Ydintiimi kokoontuu paikalle ensimmäisenä, koordinoi toimintaa ja kutsuu mukaan tarvittavat avainhenkilöt.
2. Kriisinhallinnan prosessi – minkälaisissa vaiheissa kriisinhallinta etenee? Tyypillisesti kriisinhallinnan prosessi alkaa, kun ydintiimi päättää, että tunnistettu poikkeustila täyttää kriisin määritelmän. Seuraavaksi tiimi aktivoi kriisiorganisaation, eli hälyttää paikalle kaikki kriisin kannalta ratkaisevat henkilöt ja on yhteydessä viranomaisiin tarpeen mukaan. Aktivoinnin jälkeen siirrytään kriisin edellyttämään toimintaan. Kun kriisitilanne on ohi, kriisiorganisaatio huolehtii normaaleihin toimintatapoihin palaamisesta. Viimeisessä vaiheessa kerätään havainnot ja parannusehdotukset tulevien kriisien varalle.
3. Kriisitilanteiden ennakointi ja harjoittelu – miten toimitaan aidossa tilanteessa? Yrityksen kriisinhallintamalli voi pitää sisällään erilaisia skenaarioita todennäköisistä ja mahdollisista uhkista. Nämä skenaariot auttavat harjoittelemaan kriisinaikaista toimintaa ja varmistamaan, että vastuut, viestintäkanavat ja tarvittavat työkalut ovat käytössä tarpeeksi nopeasti. Harjoitusten avulla yritys tunnistaa puutteet omissa kriisinhallintamalleissa ja voi näin myös ehkäistä kriisien syntymistä.

Kriisinhallinta on yrityksen liiketoiminnan ja asiakkuuksien jatkuvuuden turvaamista.
Ari Kovalainen, Tietoevry

Kovalainen painottaa viestinnän kasvavaa merkitystä kriisinhallinnassa. “Hyvinkin hoidettu kriisi voi näyttää ulospäin kaoottiselta, jos siitä ei ole viestitty selkeästi. Viestinnässä on huomoitava niin sisäinen, ulkoinen kuin asiakasviestintä, ja sen pitää olla läsnä kaikissa kriisinhallinnan vaiheissa.”

Mikä on Kovalaisen viesti yrityksille, jotka ovat vasta havahtumasssa kyberuhkiin ja kriisinhallinnan tarpeellisuuteen? “Kriisinhallinta on yrityksen liiketoiminnan ja asiakkuuksien jatkuvuuden turvaamista. Yhtä oikeaa mallia ei ole, mutta jonkinlainen suunnitelma tarvitaan, koska kriisissä ei ehdi alkaa sellaista rakentaa.”

Mikä on TIETO22

Helmikuussa käynnistyneessä TIETO22-kyberturvallisuusharjoituksessa noin 200 yritystä kokoontuu kehittämään omia varautumissuunnitelmiaan. Harjoitus sisältää koulutuspäiviä ja huipentuu syksyllä järjestettävään kolmipäiväiseen roolipeliin, jossa osallistujat pääsevät testaamaan taitojaan käsikirjoitetun kriisin avulla. Joka toinen vuosi järjestettäviä harjoituksia organisoi Huoltovarmuusorganisaation Digipooli.

Tänä vuonna harjoitus keskittyy finanssialan uhkiin. Harjoituksen projektipäällikkö Antti Nyqvist Digipoolista kertoo, että ohjelmassa käsitellään reaalimaailman uhkia, kuten haittaohjelmia, kiristystä ja informaatiovaikuttamista, sekä jotain vielä haastavampaa, kuvitteellista kriisiä. “Vallitseva kansainvälinen kriisi on huomioitu ja päivitämme harjoituksen käsikirjoitusta tilanteen kehittymisen mukaan”, Nyqvist sanoo.

Jaa sivu:

FacebookTwitterLinkedInSähköposti

Syvenny myös näihin aiheisiin

Testissä Suomen selviytyminen vakavista kyberhyökkäyksistä

Vakavassa kyberhäiriötilanteessa tietoa häiriön aiheuttajasta ja laajuudesta saattaa olla vähän, mutta silti pitäisi pystyä toimimaan nopeasti ja tehokkaasti.  TIETO22-harjoituksen intensiivivaiheessa testattiin huoltovarmuuskriittisten organisaatioiden toimintaa tällaisesta painetilanteessa. Kävimme harjoituksessa seuraamassa, mitä osallistujat kolmen pelipäivän aikana oppivat.
hernekeittohylly

Hamstraus taklataan tiedolla

Suomessa eivät sen enempää ruoka kuin vessapaperikaan hevin lopu. Siitä pitää huolen päivittäistavarahuollon hiottu toimitusketju. Niinpä hamstraukseen johtavaa paniikkia tuotteiden loppumisesta on turha lietsoa. Hamsteri-opas antaa vinkkejä muun muassa siihen, miten kauppa ja media voivat estää hamstrausilmiön syntymisen.

Turvallinen arki kuntien vetovoimana

Kunnissa varautumisen pitää olla toiminnan ytimessä, jotta yllätyksistä selvitään. Myrskylän kunnanjohtaja ja Kuntaliiton edustaja kertovat, mitä se tarkoittaa.