Open search

    Kyberresilienssi on yhteinen asia

    Muuttuneessa turvallisuusympäristössä kyberresilienssin ylläpitäminen ja kehittäminen on tärkeämpää kuin koskaan. Aukotonta kyberturvallisuutta ei olekaan, joten suojautumisen lisäksi on ensisijaisen tärkeää kehittää organisaation kykyä ennakoida, varautua ja toipua mahdollisista kyberiskuista.

    Ideaalitilanteessa resilienssiä rakennetaan sekä henkilö- että organisaatiotasolla ja yhteistyössä koko yrityksen arvoverkoston sekä valtionhallinnon kriittisen turvallisuuden toimijoiden kanssa.

    Kyberresilienssi on yhdistelmä digitaalista ja fyysistä turvallisuutta sekä hyvää suunnittelua

    Kyberresilienssin kehittäminen lähtee siitä, että vallitseva uhkatilanne tunnistetaan ja tilanteeseen suhtaudutaan sen edellyttämällä vakavuudella. Ymmärretään, että uhkat voivat oikeasti realisoitua ja siksi vahingoilta tulee suojautua. Pelon sijaan uhkiin kannattaa suhtautua rauhallisesti, arvioida niiden todennäköisyys ja todelliset vaikutukset. Uhakatilannekuvan kehittymistä kannattaa seurata reaaliaikaisesti esimerkiksi SOC:n (Security Operatios Center) kautta ja varmistaa koko ajan reaaliaikainen viestintä ylimmän johdon kanssa. Muuttunut tilanne ja jopa kybersodan uhka koskee meitä kaikkia, eikä siltä tule sulkea silmiä. Henkinen kybersietokyky korostuu turvattomuuden ja tuntemattoman edessä.

    Tilannekuvan ylläpitämisen lisäksi on varmistuttava siitä, että digitaaliseen turvallisuuteen liittyvät perusasiat ovat kunnossa. Esimerkiksi ulkopuolisen tahon suorittamat kyberturvatarkastukset ja –testaukset ovat tehokas keino tunnistaa kyberturvallisuuden hallintaan ja ylläpitoon liittyvät heikkoudet ja kehittämistarpeet.

    Digitaalisen turvallisuuden rinnalla myös fyysinen turvallisuus on olennainen osa kyberresilienssiä. Nyt jos koskaan esimerkiksi kriittistä infraamme vakoillaan ulkoisten toimijoiden kautta. Tämä saattaa ilmetä esimerkiksi siten, että organisaation työntekijää kiristetään uhkaamalla hänen perhettään, etenkin jos perhe asuu toisessa maassa. Tällaista uhkaa vastaan tulee varautua yhdessä viranomaisten kanssa. Vallitsevassa maailmanpoliittisessa tilanteessa vakoilu ja tiedustelu ovat arkipäivää ja on hyvä ymmärtää, että tietyillä toimialoilla on maalitettuja henkilöitä. Hybridivaikuttamista tekevien tahojen tiedonkeruu perustuu toimintatapaan, jossa eri lähteistä saatavaa informaatiota yhdistetään isoksi kokonaiskuvaksi ja lopulta hyödynnetään vaikuttamistarkoituksissa. Näin ollen jokaisen on kiinnitettävä huomiota siihen, mistä puhuu, missä puhuu ja kenelle puhuu. Ulkomailla myös puhelimia saatetaan hyvinkin kuunnella.

    Myös omien identiteettitietojen suojasta on pidettävä huolta, eikä niitä tule missään tilanteessa antaa kolmannelle osapuolelle. Tämän pitäisi olla itsestään selvää, mutta erilaisten verkkoihin aiheutettavien katkosten ohella identiteettivarkaudet ovat tälläkin hetkellä tyypillisimpiä kyberrikollisten keinoja. Medianlukutaito on tärkeä kansalaistaito, mutta tässä ajassa se on korvaamatonta: se mikä vaikuttaa epäilyttävältä, todennäköisesti on sitä. Vahva ja monivaiheinen käyttäjän tunnistaminen verkkopalveluissa parantavat kyberturvaa huomattavasti.

    Aina varovaisuus ei kuitenkaan riitä, joten liiketoiminnan jatkuvuussuunnittelu on yksi kyberresilienssin tärkeimmistä työkaluista, josta vastuu on yrityksen operatiivisella johdolla. Tositilanteessa kiire voi pahimmillaan sumentaa ajattelua ja altistaa virheille, mutta kun askelmerkit on ennakolta päätetty, toimiminen on helpompaa ja iskusta toipuminen nopeampaa. Oman organisaation vastuiden ja toimenpiteiden lisäksi on tärkeää pohtia, tarvitaanko tueksi myös kumppaneita, keitä he ovat ja kuka heihin ottaa yhteyttä. Jatkuvuussuunnittelu on kuin matkavakuutus: kultaakin arvokkaampi, kun sitä tarvitaan.

    Kyberresilienssiä ei voi rakentaa tyhjiössä

    Kun toimenpiteet oman organisaation kyberresilienssin kehittämiseen on tehty, on hyvä katsoa kauemmas. Pienten resurssiensa vuoksi pk-yritykset ovat kaikkein haavoittuvammassa asemassa, vaikka niihin kohdistuvilla hyökkäyksillä voi olla kauaskantoisia seurauksia muun muassa alihankintaketjuissa. Ei ole ennennäkemätöntä, että isoihin toimijoihin pyritään vaikuttamaan niiden arvoketjujen ja niistä löytyvien heikkojen kohtien kautta. Näin ollen isoilla organisaatioilla on tärkeä tehtävä auttaa mahdollisuuksiensa mukaan myös verkostonsa pienempiä toimijoita. Kyberresilienssi ei tunne organisaatio- tai maarajoja, eikä vastuita.

    Yksittäisten organisaatioiden ponnistusten lisäksi kyberresilienssin kehittäminen on yksi tärkeimmistä valtionhallinnon tehtävistä. Suomella on jo nyt hyvä ja vahva brändi kyberosaajana, mutta sitä tulee ylläpitää myös jatkossa muun muassa huolehtimalla osaajien saatavuudesta ja kyberturvallisuuden valtiontason johtamisesta mahdollisimman yhtenäisesti. Vain siten varmistetaan, että pärjäämme muuttuvassa maailmassa, jossa kyberomavaraisuus on tärkeämpää kuin koskaan.

    Näin kehität kyberresilienssiä

    Varmista, että organisaation hallitus sekä operatiivinen johto ymmärtävät tilanteen vakavuuden ja heillä on hyvä kyberturvallisuuden reaaliaikainen tilannekuva.

    1. Perehdytä ja kouluta koko henkilöstö ymmärtämään kyberturvallisuusuhkia sekä työssä että yksityiselämässä.
    2. Huolehdi siitä, että digitaalisen turvallisuuden perusasiat ovat kunnossa. Hyödynnä tarvittaessa ulkopuolista kumppania.
    3. Varmista, että fyysinen turvallisuus ja pääsynhallinta ovat hyvin hallinnoituja.
    4. Pidä jatkuvuussuunnitelmat ajan tasalla. Nimeä tärkeimmät vastuut sekä kumppanit tositilannetta varten ja harjoittele tilanteita tulevaisuuden varalle.
    5. Tarkastele myös arvoketjujen turvallisuutta. Auta ketjussasi toimivia kumppaneitasi, he ovat osa sinun kyberresilienssiäsi.
    6. Harjoittele etukäteen uhkakuvan mukaisiin tilanteisiin skenaariopohjaisesti.

    Kirjoittaja

    Jari Mielonen