Suomessa on todella monen tasoisia yrityksiä, jos vertailukohdaksi asetetaan niiden kyky jatkaa toimintaansa erikoistilanteissa. Näin toteaa Digipoolin eli Huoltovarmuuskeskuksen, Teknologiateollisuus ry:n sekä yhteiskunnan toimintakyvylle oleellisten viranomaisten ja yritysten muodostaman yhteistoimintaelimen valmiuspäällikkö Antti Nyqvist.
Nyqvistin luotsaama Digipooli tuottaa muun muassa ICT-alasta kyberkypsyysselvityksiä selvittääkseen alan nykyistä kypsyystasoa ja tukeakseen sen kehitystä. Digipoolin päätavoitteena on auttaa yrityksiä turvaamaan yhteiskunnan toiminnan kannalta keskeistä digitaalista infrastruktuuria ja informaatioprosesseja, sekä tukea niiden hyödyntämisen mahdollisuuksia yritysten kriittisissä toiminnoissa myös mahdollisissa yhteiskunnan häiriötilanteissa.
"Varautumisen tasossa on kirjoa niin ICT-alan sisällä kuin muillakin aloilla, ja haasteet ovat erilaisia. Pitkälle säänneltyjen toimialojen haasteet ovat erilaisia kuin muilla. Kiinnostus varautumiseen on kasvanut viime vuosina jo korona-pandemian vuoksi selvästi niin yritysten kuin kansalaisten keskuudessa", Antti Nyqvist sanoo.
TIETO-valmiusharjoitukset tukevat varautumista ja kriittisten toimijoiden yhteistyötä
Kriittisiä toimintoja hoitavilla yrityksillä ja yhteisöillä on hyvä tilaisuus testata laajojen ja vaarallisiksi kehittyvien erikoistilanteiden sietokykyään sekä palautumisvalmiuksiaan Digipoolin järjestämissä vuosittaisissa TIETO-harjoituksissa. Ne ovat monivaiheisia strategisen tason skenaarioharjoituksia, joissa tilanteet etenevät nopeasti ja tapahtumia kertyy lopulta niin paljon, että rakentava toiminta vaatii organisaatioiden välistä jäsentynyttä yhteistyötä sekä aktiivista tiedonvaihtoa.
"Vaikeissa tilanteissa paineet kasvavat nopeasti. Liikkeelle lähtee huhuja ja perätöntä tietoa, ja jotkut yrittävät hyötyä muiden vaikeuksista tai muuten sekoittaa pakkaa. TIETO-harjoitusten yksi pointti onkin oivalluttaa se, että tietojenvaihto kriittisten organisaatioiden välillä hyödyttää sekä itseä että muita", Nyqvist kertoo.
Vaikeissa tilanteissa paineet kasvavat nopeasti. Liikkeelle lähtee huhuja ja perätöntä tietoa.
Vahvan ja älykkään verkoston luominen ja yhteisen hyvän eteen yhdessä työskenteleminen on parhaita tapoja rauhoittaa vaikeaa tilannetta ja palauttaa sitä vaihe vaiheelta ennalleen, Nyqvist vinkkaa.
Käynnissä oleva TIETO22-harjoitus on Suomen suurin yritysten ja viranomaisten yhteistoimintaharjoitus laajojen kyberhäiriöiden varalta. DNA:lla on vastuu miljoonien ihmisten sekä yritysten ja yhteisöjen tietoliikenneyhteyksistä, ja DNA onkin jälleen mukana TIETO-harjoituksissa.
Monivaiheiseen ja useita päiviä kestävään intensiiviseen harjoitukseen osallistuminen on yritykselle iso investointi, mutta DNA:n turvallisuusjohtajan Seppo Pekosen mukaan se kannattaa ehdottomasti.
"Harjoitusten kautta pääsee näkemään oman yrityksensä roolin ja kriittisyyden yhteiskunnan palvelutuotannon koko ketjussa. Epäjatkuvuustilanne operaattorin toiminnassa voisi pahimmillaan jopa lamauttaa monia toimintoja, ja vaikeudet heijastuisivat kerrannaisvaikutuksina muualle yhteiskuntaan. Mitä pidemmälle yhteiskuntamme digitalisoituu, sitä kauaskantoisempia olisivat operaattorin toiminnan häiriöt."
Seppo Pekosen mukaan harjoitukset ovat myös silmiä avaava tilaisuus huoltovarmuustoiminnan eri sidosryhmien ja toimijoiden keskinäisen riippuvuuden tunnistamiseksi.
"Operaattorin on tärkeää tunnistaa ja huomioida huoltovarmuuden kannalta kriittiset toimijat esimerkiksi omien varautumissuunnitelmiensa teossa. Mukana on monia erilaisia teollisuuden ja palveluiden aloja, ja kaikilla on omanlaisensa kyvykkyydet huoltovarmuuden varmistamiseksi. Monet alat ovat osaltaan riippuvaisia operaattoritoiminnasta, ja operaattorit ovat osaltaan riippuvaisia monesta muusta alasta".
Operaattorin on tärkeää tunnistaa ja huomioida huoltovarmuuden kannalta kriittiset toimijat.
Pekonen ja Nyqvist peräänkuuluttavat avointa keskustelua sopimussuhteiden merkityksestä sopimusosapuolille.
Trendinä kyberhuijausten määrän kasvu
Antti Nyqvist toteaa tämän hetken kybertilannekuvasta häiriöiden määrän selkeän kasvutrendin, joka on jatkunut pitkään: sekä yrityksiin että yksityishenkilöihin kohdistuvien kyberhuijausyritysten ja -häirinnän määrä on noussut jo pitkän aikaa. Mitään yleistrendistä poikkeavaa ei ole viime päivinä havaittu, mutta Nyqvistin mukaan on hyvä varautua siihenkin mahdollisuuteen, että pian nähdään entistä enemmän huijausyrityksiä ja mahdollisesti suoria vaikuttamisyrityksiä.
Seppo Pekosen mukaan tietojenkalastelun eli phishingin määrä monikymmenkertaistui koronapandemian alkuvaiheessa vuonna 2020. Tietojenkalastelu ja muut huijaustavat ovat siitä alkaen jatkaneet kasvuaan tasaisesti. Huijauspuheluihin ja -tekstiviesteihin toimintansa perustavat kyberhuijarit ovat olleet erityisen aktiivisia, ja näissä tapauksissa tavoitteena on useammin välitön rahallinen hyöty kuin tietojen kerääminen.
Pandemiatilanne on huijareille otollinen muun muassa siksi, että aiempaa huomattavasti useampi on työskennellyt etäyhteyksien päässä, eikä esimerkiksi työnantajan IT-tuki ole ollut helposti saatavilla. Lisäksi pandemia lisäsi kaikkea verkkoasiointia, ja digipalveluiden ääreen on tullut paljon uusia käyttäjiä.
Kyberhyökkäykset kehittyvät ja muuttavat muotoaan, mikä tekee niiden tunnistamisesta aina hankalampaa.
Sepon nostot huoltovarmuuskriittisen yrityksen varautumistoimintaan
- Ota kyberturvallisuus- ja jatkuvuussuunnittelu osaksi kaikkea toiminnan suunnittelua. Jatkuvuuden varmistaminen on huomioitava päätöksen tekokriteerinä esimerkiksi uusia palvelu- ja tuotantoketjuja suunniteltaessa.
- Tunnista kriittisimmät ydintoiminnot, ja varmista niiden palautumiskyky mahdollisissa epäjatkuvuustilanteissa koko tuotantoketjussa.
- Harjoittele. Luokaa kuvitteellinen mutta toiminnassanne mahdollinen kriisitilanne ja käykää se riittävän laajalla osallistujajoukolla läpi. Saat hyvän tuntuman esimerkiksi siihen, kuinka hyvin kriittisimmät prosessinne ovat organisaatioon jalkautuneet ja mikä on palautumiskykynne.
Antin nostot huoltovarmuuden edistämiseksi
- Vaali ja kehitä organisaatiosi keskusteluyhteyksiä ja yhteistyötä muiden tärkeiden organisaatioiden ja hallinnon eri alojen kanssa. TIETO-harjoituksissa nähdään toistuvasti kuinka puutteellinen tiedonjako ja siitä johtuva tilannekuvan eriytyminen hankaloittaa tilanteissa pärjäämistä ja olosuhteiden palautumista.
- Tunnista huoltovarmuuden kannalta tärkeimmät sidosryhmäsi ajoissa ja ylläpidä kontakteja. Mieti mitkä alat ovat riippuvaisia organisaatiosi toiminnasta, ja minkä alojen toiminnasta sinun organisaatiosi toiminta on riippuvainen.
- Huoltovarmuustoiminnassa lähtökohtana on varmistaa ensisijaisesti kansainvälisten palveluiden saatavuus myös erilaisissa häiriötilanteissa. Huomioi toiminnassasi, että palvelun fyysinen sijainti Suomessa, esimerkiksi kansainvälisen toimijan Suomeen sijoittama data center, ei ole tae siitä, että kyseinen palvelu olisi poikkeusoloissa käytettävissä Suomessa.
Lisää tietoa Digipoolista Huoltovarmuuskeskuksen sivuilta.
Yleistä tietoa DNA:n tietoturva- ja tietosuojatyöstä.
Lisää tietoa Tieto22-harjoituksesta Digipoolin sivuilta.