Julkaisemme Netvisor-blogissa kolmen blogikirjoituksen sarjan, jossa käydään läpi niitä toimenpiteitä, jotka pk-yritysten tulisi käydä läpi oman yrityksensä sekä asiakkaidensa ja kumppaneidensa suojaamiseksi. Sarjan ensimmäisessä osassa käytiin läpi miten yritysten kannattaa lähteä liikkeelle oman tietoturvan parantamisessa.

Hyvin tehty tietoturvasuunnitelma voi ennaltaehkäistä tietomurtoja.

Tässä osassa aiheena on varautuminen poikkeustilanteisiin ja blogisarjan viimeisessä osassa käsitellään sitä, miten omaa henkilökuntaa kannattaa kouluttaa tietoturvaan ja tietosuojaan liittyen.

Yrityksen kannattaa varautua poikkeustilanteisiin ja liikkeelle pääsee seuraavien neljän vaiheen kautta:

4. Opi ymmärtämään, mitä et tiedä
5. Varmista, että organisaatio tietää kuinka toimia poikkeustilanteessa
6. Hanki kontaktit ja yhteistyökumppanit valmiiksi
7. Varmista, että tietoturvasuunnitelmaa päivitetään säännöllisesti

4. Opi ymmärtämään, mitä et tiedä

Tietoturvan maailmankuva tuntuu olevan jatkuvaa kilpajuoksua hyökkääjien ja puolustajien välillä. Asiat muuttuvat äärimmäisen nopealla syklillä ja käytännössä päivittäin tulee tietoon uusia haavoittuvuuksia ja tapoja, joilla taitava hyökkääjä voi pyrkiä murtautumaan yrityksen järjestelmiin.

Tästä ei kannata masentua, vaan keskittyä siihen, että ymmärrät itse, mitä tiedät ja mitä et tiedä. Kun esimerkiksi yrityksen www-sivujen palvelinohjelmistossa löydetään uusi haavoittuvuus, ei useinkaan ole yrityksen toimitusjohtajan asia sitä korjata, vaan asialle laitetaan joko www-sivujen ylläpidosta vastaava henkilö tai vaikka yrityksen IT-toimittaja.

Oleellista on ymmärtää, mihin kaikkeen yrityksen omat resurssit ja tietotaito riittävät ja pystyvät. Lohdullista on kuitenkin myös se tieto, että suurin osa tietoturvahyökkäysten tekijöistä käyttää alan vanhimpia kikkoja, eli yrittää hyödyntää heikkoja salasanoja tai huijata käyttäjiä tekemään jonkin toimenpiteen, joka organisaation vaarantaisi.

Tietoturva koostuu lopulta kuitenkin pienistä, yksinkertaisista asioista, joita vain sattuu olemaan älyttömän paljon. Se, että ymmärrät oman organisaatiosi ympäristön ja tunnet sen pahimmat riskit, on tärkeä vaihe kohti tietoisuutta siitä, mitä et tiedä. Ymmärrys siitä, mitä et tiedä, auttaa varautumaan ja toimimaan poikkeustilanteissa.

5. Varmista, että organisaatio tietää kuinka toimia poikkeustilanteessa

Mitä työntekijäsi tekevät, jos toimistorakennuksessa syttyy tulipalo? Palovaroitin alkaa huutaa ja työntekijät havahtuvat tähän. Yksi työntekijä aloittaa alkusammutuksen ja toinen soittaa hätäkeskukseen hälyttääkseen paikalle palokunnan. Joku käy kiertämässä toimiston läpi ja varmistamassa, että kaikki työntekijät siirtyvät rauhallisesti ulos ennalta sovitulle kokoontumispaikalle.

Palokunnan sammutettua palonalun, työntekijät siirtyvät takaisin sisälle ja tarkastavat, mitä vahinkoa tulipalo on saanut aikaiseksi. Mitä jos tuo tulipalo onkin kyber-tulipalo?

Tulipalossa toimimista iskostetaan ihmisille jo kouluajoista lähtien, mutta tietoturva-asioissa monella voi tositilanteessa mennä sormi suuhun. Tämän vuoksi on erityisen tärkeää, että organisaatiolla on ennalta mietittynä vastaava malli, miten eri henkilöiden tulee toimia ja mitkä ovat tärkeimmät toimenpiteet tilanteen sattuessa.

Tulipalossa toimimista iskostetaan ihmisille jo kouluajoista lähtien, mutta tietoturva-asioissa monella voi tositilanteessa mennä sormi suuhun

Tämä toimintamalli tulee ottaa huomioon henkilöstön koulutuksessa ja toimintaohjeet tulee olla myös saatavilla, mikäli yrityksen tietojärjestelmät eivät ole käytettävissä. Hyviä kysymyksiä, joihin yrityksen tulisi pystyä poikkeustilanteissa vastaamaan:

  1. Miten organisaatio saa hälytyksen siitä, että tietoturvaongelma on tapahtunut?
  2. Mihin ongelmatilanteesta ilmoitetaan?
  3. Kuka/ketkä organisaatiossa ottavat vastuun toiminnan koordinoinnista ongelmatilanteessa?
  4. Mitä yksittäisen työntekijän tulee itse osata ongelmatilanteessa tehdä?
  5. Miten selvitetään, mitä vahinkoja tilanne on yritykselle aiheuttanut?
  6. Miten varmistetaan, ettei vastaavaa pääse tapahtumaan enää uudelleen?

Mieti millainen tilanne olisi, jos organisaatiossanne ei kukaan tietäisi miten toimia tulipalon sattuessa. Yksittäisen työntekijän havaitessa savua, hän ryhtyisi etsimään tietoa, mihin tässä kohtaa täytyisi soittaa. Avun saapuessa viimeinkin paikalle, tilanne voi olla jo ryöstäytynyt käsistä ja vahingot kasvaneet merkittävästi verrattuna tilanteeseen, jossa työntekijät osaavat toimia ennalta määritellyn toimintamallin mukaan.

6. Hanki kontaktit ja yhteistyökumppanit valmiiksi

Erityisesti PK-yrityksillä, joissa ei välttämättä ole resursseja tai osaamista hoitaa itse yrityksen IT-tarpeita, usein paras vaihtoehto on käyttää ammattitaitoista kumppania, joka pystyy järjestämään yritykselle turvalliset laitteet, ohjelmistot ja yhteydet.

Monilla yrityksillä onkin pitkäaikainen suhde IT-toimittajaansa ja he pystyvät kääntymään toimittajan puoleen myös mahdollisessa poikkeustilanteessa. Oman IT-toimittajan kanssa onkin hyvä käydä keskustelu siitä, miten he pystyvät organisaatiotanne auttamaan erilaisissa tietoturvahaasteissa.

Kannattaa miettiä etukäteen, että millaista apua mahdollisessa tietomurtotilanteessa yritys voi kaivata. Suomessa on lukuisia tietoturvaan keskittyneitä yrityksiä, joilla on valmiit toimintamallit esimerkiksi tietomurtotilanteiden selvitykseen ja on suositeltavaa etsiä itselle sopiva tietoturvakumppani jo ennen kuin tositilanne iskee kohdalle.

Kaikista kyberrikoksista kannattaa myös tehdä rikosilmoitus Poliisille

Näin myös tietoturvakumppanin yhteystiedot sekä toimintamalli ovat selvillä ja yrityksen on helpompi ohjeistaa henkilökuntaansa kuinka esimerkiksi saastuneen tietokoneen kanssa tulee toimia.

Myös viranomaisyhteistyön osalta voi ja kannattaa miettiä kontaktit valmiiksi. Kyberturvallisuuskeskuksella on tietoturva-ammattilaisia, jotka voivat tarvittaessa tarjota apua tietoturvaloukkauksen selvittämisessä ja tutkimisessa sekä koordinoida poikkeustilanteen hallintaan tarvittavia toimenpiteitä. Näihin toimenpiteisiin kuuluu mm. tiedon jakaminen, yhteistyökumppanien ja -verkostojen kontaktointi, tekninen analyysi sekä lainopillinen neuvonta.

Kaikista kyberrikoksista kannattaa myös tehdä rikosilmoitus Poliisille. Tietoturvakumppani pystyy auttamaan viranomaisten kanssa kommunikoinnissa ja tästä kannattaakin keskustella jo ennen kuin mitään tapahtuu.

7. Varmista, että tietoturvasuunnitelmaa päivitetään säännöllisesti

Yritysten tietotekninen ympäristö muuttuu koko ajan. Uusia ohjelmistoja ja palveluja otetaan jatkuvasti käyttöön, henkilöstön tarpeet muuttuvat säännöllisesti ja esimerkiksi globaali pandemia voi aiheuttaa kaikkien työntekijöiden siirtymisen etätöihin. Kannattaa palata säännöllisin väliajoin yrityksen oman tietoturvasuunnitelman pariin ja käydä läpi muuttuneet osat ja päivittää näihin liittyvät ohjeistukset ja toimintamallit.

Suosittelen varaamaan säännöllisen ajan esimerkiksi kerran kvartaalissa, jolloin tietoturvasuunnitelma käydään sopivien henkilöiden toimesta läpi ja tehdään tarvittavat muutokset. Tämän lisäksi toki tulee miettiä, miten näistä muutoksista viestitään yrityksen eri sidosryhmille, kuten yrityksen omalle henkilökunnalle tai IT-toimittajalle.

Poikkeustilanteisiin varautuminen tulee olla mukana tietoturvasuunnitelmassa. Aivan kuten toimiminen palovaroittimen hälyttäessä, henkilöstön täytyy pystyä toimimaan tietoturvahaasteissa nopeasti ja tehokkaasti, jotta suurimmilta vahingoilta vältytään.

Blogi-sarjan ensimmäisessä osassa opastettiin laittamaan perusasiat kuntoon ja kolmannessa osassa käsitellään henkilökunnan merkitystä tietoturvalle.


Riku Tarkiainen toimii Visma Solutionsin IT Managerina. Tietoturvasta ja tekniikasta innostuva tiiminvetäjä pitää huolen, että yrityksemme työntekijöillä on käytössään parhaat työkalut ja organisaatiomme pysyy turvassa.