Siirry sisältöön
Huoltovarmuuskeskus

Kyberuhkiin on varauduttava ennen kriisiä

Paras tapa valmistautua kriiseihin on poikkeustilanteiden harjoittelu etukäteen. Tietoevryllä kriisinhallintamalleja kehittänyt Ari Kovalainen kertoo, miten jokainen yritys voi huolehtia omasta kyvykkyydestään ennen kriisiä.

18.3.2022
kriittinen-infrastruktuurikyberturvallisuustietoturvallisuustietoyhteiskuntaturvallisuus

Miten määritellään kriisi? Kriisiksi kutsutaan vakavaa poikkeustilannetta, jota ei pystytä ratkaisemaan normaalisti käytössä olevilla prosesseilla ja toimintatavoilla. Kriisille on tyypillistä myös se, että päätöksiä pitää tehdä nopeasti. Esimerkiksi kyberhyökkäyksessä juostaan usein aikaa vastaan. Ensin havaitaan normaalista poikkeavaa toimintaa esimerkiksi tietojärjestelmässä. Sen jälkeen paljastuu, että järjestelmässä on jokin haavoittuvuus, jonka kautta hyökkääjät ovat ujuttautuneet sisään. Voi olla minuuteista kiinni, kuinka nopeasti aukot saadaan paikattua ja vahingot torjuttua. Jos reaktiot ovat hitaita, hyökkääjät ehtivät tehdä tuhojaan järjestelmässä.

“Poikkeustilanteisiin pitää varautua silloin, kun kaikki on hyvin”, muistuttaa Tietoevryn Corporate Business Continuity Manager Ari Kovalainen. Kovalainen on yksi tänä vuonna järjestettävän TIETO22-kyberturvallisuusharjoituksen kouluttajista. IT-alan teknologiayritys Tietoevry on kehittänyt perusteelliset kriisinhallintamallit oman globaalin organisaationsa sekä eri yksiköidensä tarpeisiin. Mallit perustuvat molempien organisaatioiden parhaiksi toteamiin käytäntöihin.

Kovalainen listaa kolme tärkeintä asiaa, jotka jokaisen yrityksen tulisi miettiä valmiiksi omassa varautumisessaan:

1. Kriisiorganisaatio – ketkä ovat päävastuussa, jos jokin poikkeustilanne kärjistyy kriisiksi? Kriisiorganisaatioita voi olla pienessä yrityksessä vain yksi tai isossa yrityksessä useita, esimerkiksi eri yksiköissä, paikallisesti ja globaalisti. Kriisiorganisaatiossa tulee olla ainakin nimetty kriisitilanteen johtaja, viestijä sekä operatiivisten toimintojen vastuuhenkilö. Ydintiimi kokoontuu paikalle ensimmäisenä, koordinoi toimintaa ja kutsuu mukaan tarvittavat avainhenkilöt.
2. Kriisinhallinnan prosessi – minkälaisissa vaiheissa kriisinhallinta etenee? Tyypillisesti kriisinhallinnan prosessi alkaa, kun ydintiimi päättää, että tunnistettu poikkeustila täyttää kriisin määritelmän. Seuraavaksi tiimi aktivoi kriisiorganisaation, eli hälyttää paikalle kaikki kriisin kannalta ratkaisevat henkilöt ja on yhteydessä viranomaisiin tarpeen mukaan. Aktivoinnin jälkeen siirrytään kriisin edellyttämään toimintaan. Kun kriisitilanne on ohi, kriisiorganisaatio huolehtii normaaleihin toimintatapoihin palaamisesta. Viimeisessä vaiheessa kerätään havainnot ja parannusehdotukset tulevien kriisien varalle.
3. Kriisitilanteiden ennakointi ja harjoittelu – miten toimitaan aidossa tilanteessa? Yrityksen kriisinhallintamalli voi pitää sisällään erilaisia skenaarioita todennäköisistä ja mahdollisista uhkista. Nämä skenaariot auttavat harjoittelemaan kriisinaikaista toimintaa ja varmistamaan, että vastuut, viestintäkanavat ja tarvittavat työkalut ovat käytössä tarpeeksi nopeasti. Harjoitusten avulla yritys tunnistaa puutteet omissa kriisinhallintamalleissa ja voi näin myös ehkäistä kriisien syntymistä.

Kriisinhallinta on yrityksen liiketoiminnan ja asiakkuuksien jatkuvuuden turvaamista.
Ari Kovalainen, Tietoevry

Kovalainen painottaa viestinnän kasvavaa merkitystä kriisinhallinnassa. “Hyvinkin hoidettu kriisi voi näyttää ulospäin kaoottiselta, jos siitä ei ole viestitty selkeästi. Viestinnässä on huomoitava niin sisäinen, ulkoinen kuin asiakasviestintä, ja sen pitää olla läsnä kaikissa kriisinhallinnan vaiheissa.”

Mikä on Kovalaisen viesti yrityksille, jotka ovat vasta havahtumasssa kyberuhkiin ja kriisinhallinnan tarpeellisuuteen? “Kriisinhallinta on yrityksen liiketoiminnan ja asiakkuuksien jatkuvuuden turvaamista. Yhtä oikeaa mallia ei ole, mutta jonkinlainen suunnitelma tarvitaan, koska kriisissä ei ehdi alkaa sellaista rakentaa.”

Mikä on TIETO22

Helmikuussa käynnistyneessä TIETO22-kyberturvallisuusharjoituksessa noin 200 yritystä kokoontuu kehittämään omia varautumissuunnitelmiaan. Harjoitus sisältää koulutuspäiviä ja huipentuu syksyllä järjestettävään kolmipäiväiseen roolipeliin, jossa osallistujat pääsevät testaamaan taitojaan käsikirjoitetun kriisin avulla. Joka toinen vuosi järjestettäviä harjoituksia organisoi Huoltovarmuusorganisaation Digipooli.

Tänä vuonna harjoitus keskittyy finanssialan uhkiin. Harjoituksen projektipäällikkö Antti Nyqvist Digipoolista kertoo, että ohjelmassa käsitellään reaalimaailman uhkia, kuten haittaohjelmia, kiristystä ja informaatiovaikuttamista, sekä jotain vielä haastavampaa, kuvitteellista kriisiä. “Vallitseva kansainvälinen kriisi on huomioitu ja päivitämme harjoituksen käsikirjoitusta tilanteen kehittymisen mukaan”, Nyqvist sanoo.

Jaa sivu:
FacebookTwitterLinkedInSähköposti

Syvenny myös näihin aiheisiin

Close up man working on laptop sitting near coffee table with cup of hot drink tea. Workplace near window on sutset or early morning. Working at home. Back light, soft selective focus. Copy space

Kertaa vinkit tietoturvalliseen etätyöhön

Työpaikoilla on vähitellen siirrytty uuteen normaaliin, ja näyttää siltä, että etätyöt ovat täällä jäädäkseen. Etätyöskentely vapauttaa aikaa työmatkoista ja tuo lisää joustoa työelämään. Samalla on syytä huolehtia tietoturvallisesta etäilystä niin laitteiden kuin niiden käyttäjien osalta. Digipoolin koostamista ohjeista löytyy runsaasti vinkkejä molempiin.

Kyberturvaharjoittelun ylimmällä portaalla korostuu yhteispeli

Toiminta kyberhäiriötilanteessa onnistuu, kun sitä harjoittelee ennalta – sekä organisaation sisällä että oman toimialan kesken. Harjoituspolun huipulla on TIETO-harjoitus, jolla pyritään varmistamaan eri toimialojen ja viranomaisten hyvä yhteispeli häiriön sattuessa.

Sinnikäs macgyver-asenne sopii huoltovarmuuteen

Huoltovarmuusalan konkari Sauli Savisalo: Meillä ei ole hätää, Suomi on varautunut esimerkillisesti ja kehittänyt huoltovarmuustyötään vastaamaan digitalisoituneen maailman haasteisiin. Perinteisen materiaalisen varautumisen rinnalle on kehitetty toiminnallista varautumista.