Kyberuhkiin on varauduttava ennen kriisiä

Miten määritellään kriisi? Kriisiksi kutsutaan vakavaa poikkeustilannetta, jota ei pystytä ratkaisemaan normaalisti käytössä olevilla prosesseilla ja toimintatavoilla. Kriisille on tyypillistä myös se, että päätöksiä pitää tehdä nopeasti. Esimerkiksi kyberhyökkäyksessä juostaan usein aikaa vastaan. Ensin havaitaan normaalista poikkeavaa toimintaa esimerkiksi tietojärjestelmässä. Sen jälkeen paljastuu, että järjestelmässä on jokin haavoittuvuus, jonka kautta hyökkääjät ovat ujuttautuneet sisään. Voi olla minuuteista kiinni, kuinka nopeasti aukot saadaan paikattua ja vahingot torjuttua. Jos reaktiot ovat hitaita, hyökkääjät ehtivät tehdä tuhojaan järjestelmässä.

“Poikkeustilanteisiin pitää varautua silloin, kun kaikki on hyvin”, muistuttaa Tietoevryn Corporate Business Continuity Manager Ari Kovalainen. Kovalainen on yksi tänä vuonna järjestettävän TIETO22-kyberturvallisuusharjoituksen kouluttajista. IT-alan teknologiayritys Tietoevry on kehittänyt perusteelliset kriisinhallintamallit oman globaalin organisaationsa sekä eri yksiköidensä tarpeisiin. Mallit perustuvat molempien organisaatioiden parhaiksi toteamiin käytäntöihin.

Kovalainen listaa kolme tärkeintä asiaa, jotka jokaisen yrityksen tulisi miettiä valmiiksi omassa varautumisessaan:

1. Kriisiorganisaatio – ketkä ovat päävastuussa, jos jokin poikkeustilanne kärjistyy kriisiksi? Kriisiorganisaatioita voi olla pienessä yrityksessä vain yksi tai isossa yrityksessä useita, esimerkiksi eri yksiköissä, paikallisesti ja globaalisti. Kriisiorganisaatiossa tulee olla ainakin nimetty kriisitilanteen johtaja, viestijä sekä operatiivisten toimintojen vastuuhenkilö. Ydintiimi kokoontuu paikalle ensimmäisenä, koordinoi toimintaa ja kutsuu mukaan tarvittavat avainhenkilöt.
2. Kriisinhallinnan prosessi – minkälaisissa vaiheissa kriisinhallinta etenee? Tyypillisesti kriisinhallinnan prosessi alkaa, kun ydintiimi päättää, että tunnistettu poikkeustila täyttää kriisin määritelmän. Seuraavaksi tiimi aktivoi kriisiorganisaation, eli hälyttää paikalle kaikki kriisin kannalta ratkaisevat henkilöt ja on yhteydessä viranomaisiin tarpeen mukaan. Aktivoinnin jälkeen siirrytään kriisin edellyttämään toimintaan. Kun kriisitilanne on ohi, kriisiorganisaatio huolehtii normaaleihin toimintatapoihin palaamisesta. Viimeisessä vaiheessa kerätään havainnot ja parannusehdotukset tulevien kriisien varalle.
3. Kriisitilanteiden ennakointi ja harjoittelu – miten toimitaan aidossa tilanteessa? Yrityksen kriisinhallintamalli voi pitää sisällään erilaisia skenaarioita todennäköisistä ja mahdollisista uhkista. Nämä skenaariot auttavat harjoittelemaan kriisinaikaista toimintaa ja varmistamaan, että vastuut, viestintäkanavat ja tarvittavat työkalut ovat käytössä tarpeeksi nopeasti. Harjoitusten avulla yritys tunnistaa puutteet omissa kriisinhallintamalleissa ja voi näin myös ehkäistä kriisien syntymistä.

Kovalainen painottaa viestinnän kasvavaa merkitystä kriisinhallinnassa. “Hyvinkin hoidettu kriisi voi näyttää ulospäin kaoottiselta, jos siitä ei ole viestitty selkeästi. Viestinnässä on huomoitava niin sisäinen, ulkoinen kuin asiakasviestintä, ja sen pitää olla läsnä kaikissa kriisinhallinnan vaiheissa.”

Mikä on Kovalaisen viesti yrityksille, jotka ovat vasta havahtumasssa kyberuhkiin ja kriisinhallinnan tarpeellisuuteen? “Kriisinhallinta on yrityksen liiketoiminnan ja asiakkuuksien jatkuvuuden turvaamista. Yhtä oikeaa mallia ei ole, mutta jonkinlainen suunnitelma tarvitaan, koska kriisissä ei ehdi alkaa sellaista rakentaa.”