Taisto on avoin digitaalisen turvallisuuden varautumisharjoitus organisaatioille, jotka haluavat testata ja kehittää turvallisesti omia toimintamallejaan kuvitteellisten häiriötilanteiden kautta. Digi- ja väestötietovirasto järjesti harjoituksen jo kuudetta kertaa marraskuussa 2023 ja Secapp oli tänä vuonna ensimmäistä kertaa mukana.
Harjoituksessa simuloidaan erilaisia ajankohtaisia uhkia, kriisejä tai poikkeustilanteita, joita mikä tahansa organisaatio voi arjessaan kohdata.
Harjoittele, havainnoi ja kehitä
Harjoittelu on tärkeä osa varautumista, ja se auttaa tunnistamaan vahvuuksia ja kehityskohteita omassa toiminnassa.
Secappilla korostamme aina asiakkaillemme harjoittelun merkitystä. Taiston kautta pääsimme myös itse testaamaan omia toimintatapojamme ajankohtaisiin kyber- ja digiturvallisuusuhkiin liittyen.
Taisto on tyypiltään ns. työpöytäharjoitus, joka on kevyt tapa harjoitella häiriöiden hallintaa ja arvioida organisaation prosessien toimintaa. Pöytäharjoitukset perustuvat simuloituihin tilanteisiin ja kirjalliseen materiaaliin tai kysymyksiin.
Secapp itsessään on myös näppärä työkalu erilaisten harjoitusten toteuttamiseen. Sen avulla voidaan koska tahansa pitää työpöytäharjoitus esimerkiksi johtoryhmälle tai vaikka koko organisaation laajuinen suuronnettomuusharjoitus. Harjoitustilanne voidaan simuloida Secappin ajastetuilla viesteillä ja siinä voidaan hyödyntää muun muassa automaattisia viestipohjia, hälytyksiä, tarkistuslistoja, ryhmäkeskusteluita ja videoneuvottelua.
Harjoituksen kulku
Secappilta osallistui harjoitukseen neljän henkilön ryhmä sekä yksi tarkkailija, joka teki havaintoja tiimin toiminnasta harjoituksen aikana. Harjoittelussa sen dokumentointi ja jälkeenpäin läpikäynti on tärkeä osa, joka auttaa tunnistamaan mikä sujuu ja missä puolestaan on parantamisen varaa.
Pienen aikapaineen alla eri osa-alueiden asiantuntijamme pääsivät yhdessä pohtimaan miten toimia erilaisissa tilanteissa, miten ja kenelle viestiä, tai miten vastata medialle sekä omien prosessien toimivuutta häiriötilanteissa.
Taisto-harjoitus oli hyvin rakennettu ja varsin opettavainen kokemus – kriisissä jokainen sekunti todella merkitsee.
Secappin Information Security Officer Antti Hämäläinen on tyytyväinen harjoituksen antiin, jossa hyödynnettiin myös omaa Secapp-tuotetta.
– Toteutimme koko harjoituksen käyttäen Secappin omaa ryhmäkeskustelua ja videoneuvotteluyhteyttä sekä harjoituksen järjestäjän tarjoamaa alustaa.
Häiriötilanteet olivat monipuolisia ja pienellä mielikuvituksella omaan organisaatioomme kuviteltavissa vaihdellen esimerkiksi entisen työntekijän aiheuttamista lööpeistä työasemien haittaohjelmakiristykseen ja alihankkijan kautta toteutettuun tietovarkauteen, Hämäläinen kertaa.
– Vaikka marraskuu oli melko kiireistä aikaa erityisesti IT-tiimillemme, saimme eri tiimeistä koostuvan osallistujajoukon mukaan puolen päivän harjoitukseen. Osallistujilla oli hyvä asenne ja he olivat aktiivisia koko harjoituksen ajan.
Harjoitustehtävissä osallistujille annettiin kymmeniä kysymyksiä, joissa esimerkkitilanteisiin reagoinnin lisäksi haastettiin analysoimaan ja parantamaan organisaation omia valmiuksia ja varautumista mihin tahansa vastaavaan tilanteeseen. Heti harjoituksen jälkeen pidimme palautekeskustelun tiimin kanssa. Koimme harjoituksen hyödyllisenä ja mielenkiintoisena monin tavoin, summaa Hämäläinen.
Mitä harjoituksesta opittiin?
Toimiva, luotettava ja selkeä viestintä on tärkeässä roolissa silloin, kun jotain poikkeavaa tapahtuu. Mitä paremmin viestintä on suunniteltu erilaisia kriisejä, häiriöitä tai poikkeustilanteita varten, sitä sujuvammin pystytään toimimaan.
Oli kyseessä sitten kommentointi medialle, sosiaalisen median julkaisut ym., sisäinen ja ulkoinen viestintä ja niihin liittyvät prosessit on hyvä suunnitella etukäteen. Secappin valmiit viestipohjat ja tehtävälistat tehostavat toimintaa huomattavasti. Niiden hyödyllisyyden havaitsimme myös omassa harjoituksessa.
Suosittelemme kaikille viestipohjien ja vastaanottajaryhmien pitämistä ajan tasalla, oli se sitten Secappissa tai jossain muualla. Se nopeuttaa toimintaa paljon silloin, kun tarvitaan nopeaa reagointia. Varsinkin kun oikeassa häiriötilanteessa stressi ja kiire kasvaa, jolloin on myös vaikeampaa antaa selkeitä toimintaohjeita.
Samaten kun henkilöillä on selkeät vastuualueet ja osaaminen kirjattu esimerkiksi Secappiin, saadaan nopeasti kokoon tilanteen vaatima asiantuntijatiimi. Reaaliaikaista tilannekuvaa voidaan jakaa turvallisesti Secappissa viestien, ryhmäkeskustelujen ja videoneuvotteluyhteyden avulla ja pitää kaikki avainhenkilöt ajan tasalla sekä tarvittaessa hälyttää nopeasti muita.
Parannettavaa toimintatavoissa löytyy aina, ja juuri sen vuoksi jatkuva harjoittelu, testaaminen ja prosessien kehittäminen on tarpeen jokaisessa organisaatiossa. Organisaation valmius toimia on juuri niin hyvä kuin mitä sen heikoin lenkki on.
Seuraavaan Taisto-harjoitukseen pyrimme kokoamaan vielä isomman tiimin ja ottamaan jälleen siitä irti kaiken mahdollisen hyödyn.
Taisto on avoin digitaalisen turvallisuuden varautumisharjoitus organisaatioille, jotka haluavat testata ja kehittää turvallisesti omia toimintamallejaan kuvitteellisten häiriötilanteiden kautta. Digi- ja väestötietovirasto järjesti harjoituksen jo kuudetta kertaa marraskuussa 2023 ja Secapp oli tänä vuonna ensimmäistä kertaa mukana.
Harjoituksessa simuloidaan erilaisia ajankohtaisia uhkia, kriisejä tai poikkeustilanteita, joita mikä tahansa organisaatio voi arjessaan kohdata.
Harjoittele, havainnoi ja kehitä
Harjoittelu on tärkeä osa varautumista, ja se auttaa tunnistamaan vahvuuksia ja kehityskohteita omassa toiminnassa.
Secappilla korostamme aina asiakkaillemme harjoittelun merkitystä. Taiston kautta pääsimme myös itse testaamaan omia toimintatapojamme ajankohtaisiin kyber- ja digiturvallisuusuhkiin liittyen.
Taisto on tyypiltään ns. työpöytäharjoitus, joka on kevyt tapa harjoitella häiriöiden hallintaa ja arvioida organisaation prosessien toimintaa. Pöytäharjoitukset perustuvat simuloituihin tilanteisiin ja kirjalliseen materiaaliin tai kysymyksiin.
Secapp itsessään on myös näppärä työkalu erilaisten harjoitusten toteuttamiseen. Sen avulla voidaan koska tahansa pitää työpöytäharjoitus esimerkiksi johtoryhmälle tai vaikka koko organisaation laajuinen suuronnettomuusharjoitus. Harjoitustilanne voidaan simuloida Secappin ajastetuilla viesteillä ja siinä voidaan hyödyntää muun muassa automaattisia viestipohjia, hälytyksiä, tarkistuslistoja, ryhmäkeskusteluita ja videoneuvottelua.
Harjoituksen kulku
Secappilta osallistui harjoitukseen neljän henkilön ryhmä sekä yksi tarkkailija, joka teki havaintoja tiimin toiminnasta harjoituksen aikana. Harjoittelussa sen dokumentointi ja jälkeenpäin läpikäynti on tärkeä osa, joka auttaa tunnistamaan mikä sujuu ja missä puolestaan on parantamisen varaa.
Pienen aikapaineen alla eri osa-alueiden asiantuntijamme pääsivät yhdessä pohtimaan miten toimia erilaisissa tilanteissa, miten ja kenelle viestiä, tai miten vastata medialle sekä omien prosessien toimivuutta häiriötilanteissa.
Taisto-harjoitus oli hyvin rakennettu ja varsin opettavainen kokemus – kriisissä jokainen sekunti todella merkitsee.
Secappin Information Security Officer Antti Hämäläinen on tyytyväinen harjoituksen antiin, jossa hyödynnettiin myös omaa Secapp-tuotetta.
– Toteutimme koko harjoituksen käyttäen Secappin omaa ryhmäkeskustelua ja videoneuvotteluyhteyttä sekä harjoituksen järjestäjän tarjoamaa alustaa.
Häiriötilanteet olivat monipuolisia ja pienellä mielikuvituksella omaan organisaatioomme kuviteltavissa vaihdellen esimerkiksi entisen työntekijän aiheuttamista lööpeistä työasemien haittaohjelmakiristykseen ja alihankkijan kautta toteutettuun tietovarkauteen, Hämäläinen kertaa.
– Vaikka marraskuu oli melko kiireistä aikaa erityisesti IT-tiimillemme, saimme eri tiimeistä koostuvan osallistujajoukon mukaan puolen päivän harjoitukseen. Osallistujilla oli hyvä asenne ja he olivat aktiivisia koko harjoituksen ajan.
Harjoitustehtävissä osallistujille annettiin kymmeniä kysymyksiä, joissa esimerkkitilanteisiin reagoinnin lisäksi haastettiin analysoimaan ja parantamaan organisaation omia valmiuksia ja varautumista mihin tahansa vastaavaan tilanteeseen. Heti harjoituksen jälkeen pidimme palautekeskustelun tiimin kanssa. Koimme harjoituksen hyödyllisenä ja mielenkiintoisena monin tavoin, summaa Hämäläinen.
Mitä harjoituksesta opittiin?
Toimiva, luotettava ja selkeä viestintä on tärkeässä roolissa silloin, kun jotain poikkeavaa tapahtuu. Mitä paremmin viestintä on suunniteltu erilaisia kriisejä, häiriöitä tai poikkeustilanteita varten, sitä sujuvammin pystytään toimimaan.
Oli kyseessä sitten kommentointi medialle, sosiaalisen median julkaisut ym., sisäinen ja ulkoinen viestintä ja niihin liittyvät prosessit on hyvä suunnitella etukäteen. Secappin valmiit viestipohjat ja tehtävälistat tehostavat toimintaa huomattavasti. Niiden hyödyllisyyden havaitsimme myös omassa harjoituksessa.
Suosittelemme kaikille viestipohjien ja vastaanottajaryhmien pitämistä ajan tasalla, oli se sitten Secappissa tai jossain muualla. Se nopeuttaa toimintaa paljon silloin, kun tarvitaan nopeaa reagointia. Varsinkin kun oikeassa häiriötilanteessa stressi ja kiire kasvaa, jolloin on myös vaikeampaa antaa selkeitä toimintaohjeita.
Samaten kun henkilöillä on selkeät vastuualueet ja osaaminen kirjattu esimerkiksi Secappiin, saadaan nopeasti kokoon tilanteen vaatima asiantuntijatiimi. Reaaliaikaista tilannekuvaa voidaan jakaa turvallisesti Secappissa viestien, ryhmäkeskustelujen ja videoneuvotteluyhteyden avulla ja pitää kaikki avainhenkilöt ajan tasalla sekä tarvittaessa hälyttää nopeasti muita.
Parannettavaa toimintatavoissa löytyy aina, ja juuri sen vuoksi jatkuva harjoittelu, testaaminen ja prosessien kehittäminen on tarpeen jokaisessa organisaatiossa. Organisaation valmius toimia on juuri niin hyvä kuin mitä sen heikoin lenkki on.
Seuraavaan Taisto-harjoitukseen pyrimme kokoamaan vielä isomman tiimin ja ottamaan jälleen siitä irti kaiken mahdollisen hyödyn.