Siitä puhutaan lähes kaikissa valtioiden keskinäisissä tapaamisissa, talousfoorumeissa sekä lisääntyvissä määrin yritysten johtoryhmissä. Hyvä niin, sillä kyberturvallisuus on ensisijaisesti tänä päivänä strateginen asia, jossa tarvitaan johtajuutta, minkä puolestaan pitää johtaa tekoihin. Toistaiseksi on puhuttu paljon, mutta varsinaisia tekoja on liian vähän.
Toistaiseksi on puhuttu paljon, mutta varsinaisia tekoja on liian vähän."
Nostan esille kuusi keskeistä asiaa, joita yhtä lailla yhteiskunnallisten päättäjien kuin yritysjohtajien tulee huomioida pohtiessaan kyberturvallisuudessa omassa organisaatiossan – menestyäkseen. Kaiken perustana on (kyber)turvallisuuden ymmärtäminen kananmunana, joka tulee vatkata kaikkeen toimintaan sisälle, eikä vain kuorruttaa tehtyjen ratkaisujen päälle. Kybertoimintaympäristö voidaan kuvata ekosysteemiksi, jossa fyysinen ja bittien maailma ovat vahvemmin yhteenkietoutuneita. Kyberekosysteemi kattaa ja kyberturvallisuus koskettaa siis koko yhteiskuntaa sekä koko yrityksen toimintaa. Siksi kyberturvallisuus on strateginen haaste – ja mahdollisuus.
- Kybermaailma on täynnä mahdollisuuksia. Kybermaailmaa koskevassa keskustelussa ja päätöksenteossa keskitytään usein pelkkiin uhkiin ja niiden kohtaamiseen, mikä toki on tärkeää. Kybermaailma tarjoaa kuitenkin yrityksille, hallinnolle ja muille organisaatioille jatkuvasti lisää mahdollisuuksia toiminnan laajentamiseen ja tehostamiseen, uusien palveluiden kehittämiseen ja kustannusten alentamiseen. Erilaiset uhkat ja riskit muodostavat esteitä näiden mahdollisuuksien toteuttamiselle. Päättäjien tehtävänä on etsiä tasapainoa mahdollisuuksien ja uhkien välille kunkin organisaation erityispiirteet.. Uhkakeskeisen kyberstrategian rinnalle tarvitaan mahdollisuuksien kyberstrategia.
- Kyberturvallisuus koskettaa jokaista. Kyberturvallisuus on malliesimerkki kokonaisturvallisuudesta. Ensiksi, kybermaailma on kaikkialla läsnä. Yksiselitteistä jakoa fyysiseen ja bittien maailmaan ei voida tehdä, koska kyberulottuvuuden tapahtumilla on selkeitä fyysisiä seurauksia. Arkipäivämme ja yrityselämämme toimivuus on riippuvainen bittien maailmasta. Toiseksi, kaikkien (niin yksilöiden kuin kollektiivien) on oltava tietoisia kyberuhkista ja omista toimenpiteistään. Usein juuri yksittäinen tietämätön työntekijä on yrityksen suurin kyberturvallisuusriski. Ammattilaiset eivät kybermaailmassa hyökkää teknologian vaan ihmisten kautta. ”Kyberhygieniasta” kannattaa huolehtia.
- Ymmärrä uhka. Helpoin (ja valitettavan usein tehty) tapa vastata kyberuhkiin on lisätä IT-osaston määrärahoja, jotta kyetään hankkimaan uudempaa ja parempaa teknologiaa. Tämä tehdään usein ymmärtämättä minkälaisia kyberuhkia ja hyökkääjiä vastaan ollaan ylipäänsä suojautumassa. Vasta selkeän uhka-analyysin tekemisen jälkeen kannattaa alkaa miettiä puolustautumistoimenpiteitä, joihin kuuluu yhtä lailla ihmiset, prosessit kuin teknologia.
- Yhteistyö on välttämättömyys. Kybermaailma on verkottunut maailma, jossa eri toimijat ovat vahvasti tahtomattaankin verkottuineita toisistaan. Verkottuneisuudesta johtuen yksikään toimija ei kykene itsenäisesti vastaamaan kaikkiin kyberturvallisuuden haasteisiin. ”Potero-ajattelulla” (yksin omissa asemissa) ei kybermaailmassa pärjää, vaan on pakko tehdä aktiivista, niin kansallista kuin kansainvälistä yhteistyötä.
- Kyky oikean tilannekuvan muodostamiseen. Tämän päivän turvallisuusympäristössä mahdollisimman hyvä tilannetietoisuus, niin fyysisen kuin bittien maailman osalta, on hyvin oleellista oikeiden johtopäätösten tekemisen, ja siten päätöksenteon ja johtamisen kannalta. Mitä paremmin kykenee havaitsemaan esimerkiksi omiin järjestelmin kohdistuvat (tai siellä jo sisällä olevat) uhkatekijät, sitä paremmin kykenee niihin vastaamaan. On myös tärkeää, että tilannekuvan muodostamisessa käytettäviin tietoihin voidaan luottaa. Tilannetietoisuuden kehittäminen (esimerkiksi niin yrityksen sisällä kuin yhteistyössä muiden yritysten ja yhteiskunnan kanssa) on välttämätöntä, jotta pystymme vastaamaan tämän päivän turvallisuusympäristön sisältämiin haasteisiin.
- Resilienssin kehittäminen on tärkeintä. Kybermaailmaan, kuten ei fyysiseenkään maailmaan, ole mahdollista luoda ratkaisuja, joilla voitaisiin taata 100 prosentin absoluuttinen turvallisuus. Erilaisia häiriötilanteita, tahallisesti tai tahattomasti aiheutettuja, tulee kybermaailmassa esiintymään aina, ja hyvä niin, sillä suomalainen yhteiskunta tuntuu ajoittain luottavan liiaksikin bittien toimivuuteen. Tarvitaan siis myös suunnitelma B, kun biittien maailma ei toimikaan.
Keskeiseksi kysymykseksi suomalaisen yhteiskunnan ja yritysten kyberturvallisuuden kehittämisessä nousee resilienssi (sietokyvyn) kehittäminen. Resilienssi tarkoittaa kykyä selvitä erilaisista normaalitilanteista poikkeavista häiriötilanteista ja kykyä palauttaa toiminnat mahdollisimman nopeasti häiriötilannetta edeltäneelle tasolle. Resilienssiin kuuluu keskeiseltä osaltaan myös henkinen kriisinsietokyky, joka on valitettavasti heikentynyt Suomessa viimeisen vuosikymmenen aikana. Meidän tulee niin yksilöinä, yrityksinä kuin yhteiskuntana olla paremmin varautuneita sietokyvyltämme häiriötilanteisiin.
Johtajan täytyy ymmärtää, mitä organisaatio tai yritys tavoittelee kyberturvallisuuteen panostamalla."
Johtajan täytyy ymmärtää, mitä organisaatio tai yritys tavoittelee kyberturvallisuuteen panostamalla. Kyse on johtajan kyvystä strategiseen ajatteluun sekä kyvystä sitouttaa koko organisaatio mukaan. Ilman strategista osaamista ja ymmärrystä kyberturvallisuudesta on johdon mahdotonta sitoutua ja ennen kaikkea ohjata kyberturvallisuutta organisaatiossaan. Toisaalta, hyvin johdettu ja tekojen kautta hoidettu kyberturvallisuus voi olla yritykselle hyvin vahva kilpailuetu. Välttämättömyys se on joka tapauksessa.
Jarno Limnéll on kyberturvallisuuden professori Aalto-yliopistosta, jolla on yli 20 vuoden kokemus turvallisuusasioiden parissa toimimisesta. Hän kouluttaa Aalto EE:n ja Aalto PRO:n monissa ohjelmissa kuten Turvallisuusjohdon koulutusohjelmassa, jonka keskeisiä teemoja ovat strategia, johtaminen, turvallisuus ja riskienhallinta. Jalosta tietosi viisaudeksi ja paremmaksi johtajuudeksi.