Julkaistu alun perin Cyberwatch Finland -lehdessä 3/2023. Kari Aho, toimitusjohtaja, Secapp Oy
Viimeistään kiristynyt kansainvälinen ilmapiiri on tehnyt selväksi, että elämme yhä epävarmemmassa ja uhkakuvien värittämässä maailmassa. Kyberhyökkäykset, järjestelmähäiriöt, sähkökatkokset ja fyysiset turvallisuusuhkat ovat vain muutamia esimerkkejä skenaarioista, jotka voivat aiheuttaa mittavia haittoja niin yksilöille kuin organisaatioille. Tilannetta mutkistaa entisestään se, että erilaiset kriisit voivat limittyä ja vaikuttaa toisiinsa. Näiden uhkakuvien kasvaessa ja monimutkaistuessa, jokainen menetetty sekunti voi olla kallis – ei ainoastaan taloudellisesti, vaan myös ihmishenkien ja yhteiskunnallisen vakauden kannalta. Tiukentuva sääntely tai toimintaympäristön asettamat vaatimukset myös osaltaan luovat painetta tarvittaville toimenpiteille. Tässä jatkuvasti muuttuvassa ympäristössä korostuvat erityisesti varautuminen ja oikea-aikainen viestintä.
Järjestelmähäiriöistä mittavia kustannuksia ja tuotannon menetyksiä
Kansainvälisen tutkimusyhtiö Gartnerin vuonna 2021 julkaiseman tutkimuksen mukaan pelkkä IT-järjestelmähäiriö aiheuttaa keskimäärin yli 5 300 euron kustannukset jokaista häiriöminuuttia kohden. Kun lasketaan, mitä se tarkoittaa vain yhdessä tunnissa, niin summa nousee häkellyttävään 318 000 euroon. Tällaiset kustannukset voivat syntyä esimerkiksi teollisuuden tuotantolinjan
seisahduksista, elintärkeiden laitteiden toimintahäiriöistä terveydenhuollossa tai laajemmissa organisaatioissa tilanteesta, jossa yleisesti käytetyt viestintäjärjestelmät, kuten sähköposti tai pikaviestinratkaisut, eivät ole saatavilla. Tämä estää työntekijöitä suorittamasta työtehtäviään vähintään osittain ja voi johtaa mittaviin tuotannon menetyksiin. Edellä mainittua täydentää IBM:n 2023 tekemä tutkimus, jonka mukaan keskimääräinen kustannus tietovuototapauksiin liittyen on 4.25 miljoonaa euroa, jossa on 15% kasvua kolmen vuoden takaiseen tilanteeseen verrattuna.
Suojaa organisaatiotasi kohentamalla toimintavalmiutta
Olen Secapp Oy:n toimitusjohtaja, tietotekniikan tohtori, Kari Aho, ja pyrin avaamaan seuraavassa muutamia nostoja kyber- ja hybridiuhkin varautumiseen sekä kriisiviestinnän perusteisiin liittyen. Secappilla olemme jo yli kymmenen vuotta työskennelleet niin yksityisen sektorin, viranomaisten kuin julkishallinnon kanssa yhteistyössä varautumiseen, kriittiseen viestintään ja hälyttämiseen liittyvien asioiden parissa ja tuotamme niihin liittyvää SaaS-palvelua. Viime vuonna Secappilla lähetettiin yli 10 miljoonaa hälytystä erilaisiin poikkeustilanteisiin liittyen.
Kun puhutaan kyberturvallisuudesta ja mahdollisista kyberhyökkäyksistä, ajatuksemme kääntyvät usein teknisiin ratkaisuihin ja suojautumismekanismeihin, jotka ovat toki tärkeä osa kokonaisuutta. Kuitenkin vähintään yhtä tärkeässä roolissa on ihmisten varautuminen ja toimintavalmius: kuinka yksittäinen henkilö, organisaatio ja tarvittavat sidosryhmät toimivat, kun kriisitilanne ilmenee. Millaiset yleiset toimintaohjeet tilanteeseen liittyy? Miten ihmiset tavoitetaan ja tavoitettavuus varmistetaan kellonajasta riippumatta? Mitä varajärjestelyitä seurataan, kun normaalit toimintatavat tai järjestelmät eivät ole saatavilla? Kuka ottaa ohjat käsiinsä ja ohjaa toimintaa? Kenen vastuulla on viestiä tilanteesta muille sidosryhmille tai julkisuuteen? Milloin ja miten tietoa kerätään ja päivitetään? Ja kuka päättää tehtävät toimenpiteet ja sen, että poikkeustilanne on ohi ja normaaliin toimintaan voidaan palata?
Kuitenkin valitettava fakta on, että edelleen 51% prosenttia organisaatioista suunnittelee lisäävänsä investointeja varautumiseen, harjoitteluun, kouluttamiseen ja tarvittaviin työkaluihin vasta sen jälkeen, kun jokin uhkakuva on kertaalleen realisoitunut. Tässä on kuitenkin lyhyt viiden kohdan muistilista siitä, millaisia asioita teknisten työkalujen ja suojausmekanismien lisäksi olisi hyvä huomioida osana varautumista:
1. Suunnittele etukäteen:
Kriisi- ja häiriötilanteissa tapahtuu helposti inhimillisiä virheitä ja unohduksia, joten suunnittele toimintaohjeet ja esimerkiksi viestintäryhmät eri tilanteita varten etukäteen. Näin varmistat, että kaikki olennaiset henkilöt saavat kriisitilanteessa oikeellisen tiedon oikea-aikaisesti ja osaavat toimia tilanteen vaatimalla tavalla.
2. Varmista tavoitettavuus:
Varmista ihmisten tavoitettavuus ja yhteystietojen ajantasaisuus riippumatta millaista viestintävälinettä tai -teknologiaa he käyttävät. Osalla on varmasti edelleen se vanha nokialainen siinä missä toisella viimeisin älylaite. Kotisohvalla ei välttämättä myöskään ole se päivystyspuhelin mukana, vaikka henkilö olisi tärkeää tavoittaa. Myöskään häiriötilanteissa ei voida aina luottaa, että kaikki teknologiat toimisivat, joten huomioi yhteystiedoissa ja -tavoissa myös mahdolliset varanumerot tai -yhteydenottotavat. Unohtamatta myöskään yhteystietojen turvallista käsittelyä niin, että ne eivät joudu kolmansien osapuolien saataville.
3. Varmista että vain asiaankuuluvilla henkilöillä on pääsy tietoihin:
Viestinnän sisältö voi olla hyvin arkaluonteista ja sen joutuminen vääriin käsiin voi itsessään aiheuttaa esimerkiksi vaaratilanteita tai mainehaittaa. Tiedonkulun varmistaminen, tilannekuvan muodostaminen ja tilanteen dokumentointi ovat kuitenkin ensiarvoisen tärkeitä tilanteen ratkaisemiseksi. Varmista siis, missä tietosi sijaitsevat ja että niihin pääsevät käsiksi vain asiaankuuluvat henkilöt. Jos hallinta ei ole keskitettyä tai automatisoitua, niin helposti mukaan voi jäädä vaikkapa ex-työntekijä tai kääntäen siitä voi jäädä ulkopuolelle joku toiminnan kannalta olennainen henkilö.
4. Selvitä kuinka prosesseja voidaan automatisoida:
Jokainen sekunti merkitsee kriisitilanteissa. Teknologian ei tulisi viedä noita arvokkaita sekunteja, vaan asioiden täytyy tapahtua yksinkertaisimmillaan automatisoidusti tai vähintään napin painalluksella. Tutki siis mahdollisuuksia, mitä prosesseja tai toimintatapoja olisi mahdollista automatisoida tai nopeuttaa, jotta avainhenkilöillä on aikaa keskittyä kriisitilanteessa itse tilanteen ratkaisemiseen esimerkiksi puhelimessa olemisen sijaan
5. Muistuta, harjoittele, kannusta:
Muistuta sovituista toimintaohjeista toistuvasti, harjoittele ja kannusta ihmisiä antamaan kehitysideoita kriisitoiminnan parantamiseksi. Näin ollen toimintamallit pysyvät tuoreessa muistissa ja niitä viedään koko ajan kehittyneempään suuntaan.
Vaikka teknologia on keskeinen osa varautumista, ihmisten toiminta, kommunikaatio ja yhteistyö ovat vähintään yhtä tärkeitä. Organisaatioiden on ymmärrettävä sekä tekniset että inhimilliset näkökulmat, ja ne on koulutettava ja varustettava oikeilla työkaluilla ja protokollilla toimimaan tehokkaasti ja turvallisesti. Työkalujen näkökulmasta Secapp on esimerkki modernista ratkaisusta, joka auttaa kehittämään varautumista ja tuo tehokkaat työkalut nopeaan monikanavaiseen ihmisten tavoittamiseen. Onpa yksi asiakkaamme sanonut, että Secapp vähentää heillä jopa 90% tarvittavaa aikaa ihmisten tavoittamiseen. Voin sanoa olevani ylpeä siitä, miten Secapp auttaa tekemään maailmasta osaltaan turvallisemman paikan. Jokainen sekunti todella merkitsee.
Kari Aho
- Secapp Oy:n toimitusjohtaja ja perustaja.
- Secapp auttaa organisaatioita hallitsemaan kriisejä, pelastamaan ihmishenkiä ja turvaamaan päivittäistoimintoja.
Julkaistu alun perin Cyberwatch Finland -lehdessä 3/2023. Kari Aho, toimitusjohtaja, Secapp Oy
Viimeistään kiristynyt kansainvälinen ilmapiiri on tehnyt selväksi, että elämme yhä epävarmemmassa ja uhkakuvien värittämässä maailmassa. Kyberhyökkäykset, järjestelmähäiriöt, sähkökatkokset ja fyysiset turvallisuusuhkat ovat vain muutamia esimerkkejä skenaarioista, jotka voivat aiheuttaa mittavia haittoja niin yksilöille kuin organisaatioille. Tilannetta mutkistaa entisestään se, että erilaiset kriisit voivat limittyä ja vaikuttaa toisiinsa. Näiden uhkakuvien kasvaessa ja monimutkaistuessa, jokainen menetetty sekunti voi olla kallis – ei ainoastaan taloudellisesti, vaan myös ihmishenkien ja yhteiskunnallisen vakauden kannalta. Tiukentuva sääntely tai toimintaympäristön asettamat vaatimukset myös osaltaan luovat painetta tarvittaville toimenpiteille. Tässä jatkuvasti muuttuvassa ympäristössä korostuvat erityisesti varautuminen ja oikea-aikainen viestintä.
Järjestelmähäiriöistä mittavia kustannuksia ja tuotannon menetyksiä
Kansainvälisen tutkimusyhtiö Gartnerin vuonna 2021 julkaiseman tutkimuksen mukaan pelkkä IT-järjestelmähäiriö aiheuttaa keskimäärin yli 5 300 euron kustannukset jokaista häiriöminuuttia kohden. Kun lasketaan, mitä se tarkoittaa vain yhdessä tunnissa, niin summa nousee häkellyttävään 318 000 euroon. Tällaiset kustannukset voivat syntyä esimerkiksi teollisuuden tuotantolinjan
seisahduksista, elintärkeiden laitteiden toimintahäiriöistä terveydenhuollossa tai laajemmissa organisaatioissa tilanteesta, jossa yleisesti käytetyt viestintäjärjestelmät, kuten sähköposti tai pikaviestinratkaisut, eivät ole saatavilla. Tämä estää työntekijöitä suorittamasta työtehtäviään vähintään osittain ja voi johtaa mittaviin tuotannon menetyksiin. Edellä mainittua täydentää IBM:n 2023 tekemä tutkimus, jonka mukaan keskimääräinen kustannus tietovuototapauksiin liittyen on 4.25 miljoonaa euroa, jossa on 15% kasvua kolmen vuoden takaiseen tilanteeseen verrattuna.
Suojaa organisaatiotasi kohentamalla toimintavalmiutta
Olen Secapp Oy:n toimitusjohtaja, tietotekniikan tohtori, Kari Aho, ja pyrin avaamaan seuraavassa muutamia nostoja kyber- ja hybridiuhkin varautumiseen sekä kriisiviestinnän perusteisiin liittyen. Secappilla olemme jo yli kymmenen vuotta työskennelleet niin yksityisen sektorin, viranomaisten kuin julkishallinnon kanssa yhteistyössä varautumiseen, kriittiseen viestintään ja hälyttämiseen liittyvien asioiden parissa ja tuotamme niihin liittyvää SaaS-palvelua. Viime vuonna Secappilla lähetettiin yli 10 miljoonaa hälytystä erilaisiin poikkeustilanteisiin liittyen.
Kun puhutaan kyberturvallisuudesta ja mahdollisista kyberhyökkäyksistä, ajatuksemme kääntyvät usein teknisiin ratkaisuihin ja suojautumismekanismeihin, jotka ovat toki tärkeä osa kokonaisuutta. Kuitenkin vähintään yhtä tärkeässä roolissa on ihmisten varautuminen ja toimintavalmius: kuinka yksittäinen henkilö, organisaatio ja tarvittavat sidosryhmät toimivat, kun kriisitilanne ilmenee. Millaiset yleiset toimintaohjeet tilanteeseen liittyy? Miten ihmiset tavoitetaan ja tavoitettavuus varmistetaan kellonajasta riippumatta? Mitä varajärjestelyitä seurataan, kun normaalit toimintatavat tai järjestelmät eivät ole saatavilla? Kuka ottaa ohjat käsiinsä ja ohjaa toimintaa? Kenen vastuulla on viestiä tilanteesta muille sidosryhmille tai julkisuuteen? Milloin ja miten tietoa kerätään ja päivitetään? Ja kuka päättää tehtävät toimenpiteet ja sen, että poikkeustilanne on ohi ja normaaliin toimintaan voidaan palata?
Kuitenkin valitettava fakta on, että edelleen 51% prosenttia organisaatioista suunnittelee lisäävänsä investointeja varautumiseen, harjoitteluun, kouluttamiseen ja tarvittaviin työkaluihin vasta sen jälkeen, kun jokin uhkakuva on kertaalleen realisoitunut. Tässä on kuitenkin lyhyt viiden kohdan muistilista siitä, millaisia asioita teknisten työkalujen ja suojausmekanismien lisäksi olisi hyvä huomioida osana varautumista:
1. Suunnittele etukäteen:
Kriisi- ja häiriötilanteissa tapahtuu helposti inhimillisiä virheitä ja unohduksia, joten suunnittele toimintaohjeet ja esimerkiksi viestintäryhmät eri tilanteita varten etukäteen. Näin varmistat, että kaikki olennaiset henkilöt saavat kriisitilanteessa oikeellisen tiedon oikea-aikaisesti ja osaavat toimia tilanteen vaatimalla tavalla.
2. Varmista tavoitettavuus:
Varmista ihmisten tavoitettavuus ja yhteystietojen ajantasaisuus riippumatta millaista viestintävälinettä tai -teknologiaa he käyttävät. Osalla on varmasti edelleen se vanha nokialainen siinä missä toisella viimeisin älylaite. Kotisohvalla ei välttämättä myöskään ole se päivystyspuhelin mukana, vaikka henkilö olisi tärkeää tavoittaa. Myöskään häiriötilanteissa ei voida aina luottaa, että kaikki teknologiat toimisivat, joten huomioi yhteystiedoissa ja -tavoissa myös mahdolliset varanumerot tai -yhteydenottotavat. Unohtamatta myöskään yhteystietojen turvallista käsittelyä niin, että ne eivät joudu kolmansien osapuolien saataville.
3. Varmista että vain asiaankuuluvilla henkilöillä on pääsy tietoihin:
Viestinnän sisältö voi olla hyvin arkaluonteista ja sen joutuminen vääriin käsiin voi itsessään aiheuttaa esimerkiksi vaaratilanteita tai mainehaittaa. Tiedonkulun varmistaminen, tilannekuvan muodostaminen ja tilanteen dokumentointi ovat kuitenkin ensiarvoisen tärkeitä tilanteen ratkaisemiseksi. Varmista siis, missä tietosi sijaitsevat ja että niihin pääsevät käsiksi vain asiaankuuluvat henkilöt. Jos hallinta ei ole keskitettyä tai automatisoitua, niin helposti mukaan voi jäädä vaikkapa ex-työntekijä tai kääntäen siitä voi jäädä ulkopuolelle joku toiminnan kannalta olennainen henkilö.
4. Selvitä kuinka prosesseja voidaan automatisoida:
Jokainen sekunti merkitsee kriisitilanteissa. Teknologian ei tulisi viedä noita arvokkaita sekunteja, vaan asioiden täytyy tapahtua yksinkertaisimmillaan automatisoidusti tai vähintään napin painalluksella. Tutki siis mahdollisuuksia, mitä prosesseja tai toimintatapoja olisi mahdollista automatisoida tai nopeuttaa, jotta avainhenkilöillä on aikaa keskittyä kriisitilanteessa itse tilanteen ratkaisemiseen esimerkiksi puhelimessa olemisen sijaan
5. Muistuta, harjoittele, kannusta:
Muistuta sovituista toimintaohjeista toistuvasti, harjoittele ja kannusta ihmisiä antamaan kehitysideoita kriisitoiminnan parantamiseksi. Näin ollen toimintamallit pysyvät tuoreessa muistissa ja niitä viedään koko ajan kehittyneempään suuntaan.
Vaikka teknologia on keskeinen osa varautumista, ihmisten toiminta, kommunikaatio ja yhteistyö ovat vähintään yhtä tärkeitä. Organisaatioiden on ymmärrettävä sekä tekniset että inhimilliset näkökulmat, ja ne on koulutettava ja varustettava oikeilla työkaluilla ja protokollilla toimimaan tehokkaasti ja turvallisesti. Työkalujen näkökulmasta Secapp on esimerkki modernista ratkaisusta, joka auttaa kehittämään varautumista ja tuo tehokkaat työkalut nopeaan monikanavaiseen ihmisten tavoittamiseen. Onpa yksi asiakkaamme sanonut, että Secapp vähentää heillä jopa 90% tarvittavaa aikaa ihmisten tavoittamiseen. Voin sanoa olevani ylpeä siitä, miten Secapp auttaa tekemään maailmasta osaltaan turvallisemman paikan. Jokainen sekunti todella merkitsee.
Kari Aho
- Secapp Oy:n toimitusjohtaja ja perustaja.
- Secapp auttaa organisaatioita hallitsemaan kriisejä, pelastamaan ihmishenkiä ja turvaamaan päivittäistoimintoja.