Verkostoissa kyberturvallisuuden haasteita ratkotaan yhdessä

Tietoturva Nyt!

Vaikka paperilla kaikki näyttää olevan kunnossa, kyberturvallisuuden kriisitilanteiden toimintamallit ovat usein puutteellisia. Käytännön tilanteissa toimintamallit ulottuvat kumppaniverkostossa organisaatiorajojen yli. Kyberturvallisuuskeskuksen ylijohtaja Kalle Luukkainen toivoo verkostotoimintaan mukaan enemmän yritysten ylintä johtoa.

Kalle Luukkainen, ylijohtaja, Kyberturvallisuuskeskus

Kyberturvallisuus rakentuu teknisen tiedonvaihdon lisäksi ihmisten muodostamista verkostoista, jotka ulottuvat organisaatioiden sisällä tietoturva-asiantuntijoista johtoon, ja kumppaniverkostossa organisaatiorajojen yli. Verkostoihin kuuluvat yhteisiä rajapintoja hallinnoivat ihmiset, jotka viestivät, käyvät jatkuvaa vuoropuhelua, tekevät päätöksiä ja toimivat yhdessä. Vaikka mielikuvissa kyberturvallisuus on usein teknistä, ihmisten merkitys on suuri – jopa suurin.

Olemme Suomessa verkostoituneet kyberturvallisuusasioissa ihmisten kesken poikkeuksellisen hyvin. Kansainvälisesti vertaillen meillä yhteydenpito viranomaisten ja yritysten välillä on välitöntä ja tiivistä. Alan luottamusverkostoja on useita erilaisia, ja jokaisella on oma tarkoituksensa.

TIETO20-harjoitus on yhteistoimintaa parhaimmillaan

Huoltovarmuuskeskuksen Digipoolin organisoima TIETO20-harjoitus on verkostotoimintaa konkreettisesti ja käytännönläheisesti. Siinä korostuu yhteistoiminnan merkitys: jos yksi suomalainen yritys joutuu kohteeksi, yhdessä toimimalla voimme varoittaa muita ja auttaa heitä varautumaan. Yhdessä voimme luoda menetelmiä, joilla saadaan uhriksi joutuneelle apua ja autetaan muita välttämään kyberhyökkäys tai selviämään siitä. Nopeus ja skaalautuvuus ovat valttia. Verkostotoimintaa voi verrata laumasuojaefektiin: sen sijaan, että jokainen yksin pinnistelee ja ratkaisee ongelmia, laumasuojalla tuotamme kaikille kykyä suojautua, havaita uhkia ja palautua.

TIETO20-harjoituksessa kehitetään myös kansallista laajan häiriötilanteen hallintamallia. Huomionarvoista on, että niin verkostotoiminnassa, harjoituksessa kuin kehitettävässä toimintamallissakin viestintä on todella keskeistä. Harjoitteluun on kuulunut aina oleellisesti teknisen toiminnan lisäksi muun muassa mediavalmennusta sekä asiantuntijoille että johdolle. Asiantuntijat on laitettu esimerkiksi purkamaan kompleksinen tilanne ymmärrettäväksi tilannekatsaukseksi yritysjohdolle, ja johtoa harjoitetaan tulkitsemaan tilanne, tekemään päätöksiä ja viestimään tilanteesta sidosryhmille.

Hyvin tyypillistä yrityksille ja organisaatioille on, että paperilla toimintamallit ovat kunnossa oman verkoston kanssa, mutta kun vähän ravistellaan, ne huomataan puutteellisiksi. Siksi harjoittelua oman verkoston kanssa ei korvaa mikään. TIETO-harjoitusten lisäksi tällaista harjoittelua on mahdollista toteuttaa esimerkiksi Jyväskylän ammattikorkeakoulun JYVSECTEC:in (Ulkoinen linkki) tilossa tai VTT:n War Room (Ulkoinen linkki) -testilaboratoriossa. Kyberturvallisuuskeskus (Ulkoinen linkki) tarjoaa osaamista yritykselle harjoittelun tueksi.

Verkostotoiminta kasvattaa asiantuntemusta

Hyvällä ja toimivalla verkostotoiminnalla voidaan saavuttaa merkittäviä asioita. Viranomaisvetoisten verkostojen sisäinen luottamuksellisuus mahdollistaa hyvinkin sensitiivisten aiheiden käsittelyn ja tiedonvaihdon. Henkilöistä tulee luotettuja toisilleen ja asiantuntemus kasvaa rinnakkain kulkemalla. Kokemuksia vaihtamalla voidaan löytää parhaat käytänteet esimerkiksi kyberturvallisuusasioiden esiin nostamiseksi ja viestimiseksi oman organisaation sisällä. Verkostoissa saa vertaistukea ja pääsee benchmarkkaamaan itseään muihin. Jeesaa kaveria -henki on korkealla.

Seuraava askel, jonka haluaisin verkostotoiminnassa nähdä, on saada verkostojen toimintaan mukaan yhä enemmän yritysten ylintä johtoa ja herättää kiinnostus esimerkiksi TIETO20-harjoituksen kaltaisiin yhteiskoitoksiin. Koska tosiasia on, että kyberuhilta ei voi, eikä kannata sulkea silmiään. Verkostossa asioiden oppiminen ja oivaltaminen yhdessä muiden kanssa on myös hauskempaa.

Kirjoittaja: Kalle Luukkainen, ylijohtaja, Kyberturvallisuuskeskus 

Lue lisää TIETO20-harjoituksesta