Suomen hybridiuhat – mihin yritysten syytä varautua?
Venäjän hyökkäyssota Ukrainassa ja kiristynyt kansainvälinen tilanne lisäävät hybridivaikuttamisen ja kyberhyökkäysten riskiä. EK:n järjestämässä webinaarissa keskiviikkona 13. huhtikuuta heräteltiin yrityksiä tunnistamaan oman toimintansa haavoittuvuudet ja ryhtymään varautumistoimiin. Tietoturvan lisäksi tilaisuudessa käsiteltiin informaatiovaikuttamista ja siltä suojautumista.
Hybridivaikuttamisessa yhdistyvät perinteiset ja uudet vaikuttamisen keinot. Siinä käytetään monenlaisia psykologisia, poliittisia, taloudellisia, teknisiä, humanitaarisia ja sotilaallisia keinoja. Tyypillistä hybridivaikuttamiselle on psykologinen vaikuttaminen henkilöihin, sisäisten sekaannusten aiheuttaminen sekä informaatiovaikuttaminen, esimerkiksi kyberhyökkäykset tai harhaanjohtavan tiedon levittäminen. Hybridivaikuttaminen ei siis tapahdu ainoastaan verkossa. Myös esimerkiksi sotilaallinen uhittelu ja vaikkapa toistuvat tahalliset rajaloukkaukset sopivat hyvin hybridivaikuttamisen piiriin.
Suomessa kansallisen turvallisuuden tilanne on rauhallinen, mutta jo lähikuukausina meihin kohdistuu todennäköisesti erilaista hybridivaikuttamista. Tuolloin suomalaisen yhteiskunnan – myös yritysten – on syytä olla valmiina torjumaan erilaisia uhkia. Suojelupoliisin mukaan Suomi on valmistautunut tilanteeseen ja olemme yhteiskuntana globaalisti parhaasta päästä torjumaan tämäntyyppisiä uhkia. Suomella on varsin laaja ymmärrys turvallisuudesta, ja uhkiin on varauduttu.
Kaikkia hybridiuhkia mahdoton ennustaa – valppaus ja varautuminen kannattavat
Elämme sumussa, joten lähikuukausien mahdollisia hybridivaikuttamisen keinoja on mahdoton ennustaa etukäteen tarkasti. Minkäänlaiseen paniikkiin ei kuitenkaan ole aihetta. Asiantuntijoiden mukaan meidän on varauduttava etenkin digitaalisen maailman kautta tapahtuvaan informaatiovaikuttamiseen ja kyberhyökkäyksiin. Kriittisestä infrastruktuurista, joka on pääsääntöisesti yksityisen sektorin hallinnassa, on pidettävä huolta. Kaikkein korkeinta valmiutta juuri tässä hetkessä on syytä ylläpitää: energian jakelussa, energian tuotannossa, terveydenhuollon järjestelmissä, finanssimaailmassa, tietoliikenneyhteyksistä vastaavissa yrityksissä ja mediassa.
Koko suomalaisessa yhteiskunnassa – myös yrityksissä − on tärkeää nostaa turvallisuuden ja reagoinnin valmiustasoa. Erityisesti hybridivaikuttamisesta puhuttaessa on hyvä muistaa, että ”kun yhtäällä räsähtää, muistetaan katsoa myös toisaalle”. Tämä tarkoittaa sitä, että jos yhtäällä tapahtuu vaikkapa palvelunestohyökkäys, huomio kiinnittyy verkkosivujen toimimattomuuteen, jolloin varsinainen tietomurto tapahtuukin toisaalla.
Varautuminen: Ymmärretään uhat ja riskit -> varaudutaan niihin -> tarvittaessa nostetaan valmiustasoa.
Entä kun asiat eivät suju suunnitellusti? ->Miten reagoidaan ja toimitaan?
Edellä mainitut asiat yrityksen omistajien, sen hallituksen ja johdon kannattaa miettiä etukäteen.
Kyberturvallisuudesta huolehtiminen kannattaa aina – ja etenkin tässä hetkessä:
- Muuttunut tilannekuva ja uhka-arvio, jatkuvan seurannan tarpeellisuus (Seuraa aktiivisesti luotettavien toimijoiden, esimerkiksi Hybridikeskus, Suojelupoliisi, Kyberturvallisuuskeskus nettisivut ja tiedotteet)
- Varautuminen kuntoon, aiempaa vakavammin ja prioriteettina (nostetaan tarvittaessa tasoa, budjetointi)
- Omien järjestelmien auditointi ja paikkaukset (heikkouksien etsiminen etukäteen)
- Henkilöstön kouluttaminen (motivointi positiivisen kautta)
- Huolehditaan: päivityksistä, tunnistautumisesta ja kumppanien toiminnasta
- Havainnointikyky (poikkeamat ja lokitiedot – havaitaan mahd. nopeasti)
- Jatkuvuus- ja toipumissuunnitelma (viestintä, johtaminen, harjoittelu)
- Kyky nopeaan reagointiin (kellonajasta, viikonpäivästä riippumatta)
- Hyökkäyksistä ja niiden epäilyistä ilmoittaminen (lisätään tilannekuvaa yhteistyön voimin)
- Ymmärrys jatkuvasta toiminnasta ja turvallisuuden psykologisesta puolesta (huolehditaan turvallisuuden tunteesta, johon esim. työyhteisö vaikuttaa)
Jokainen yritys voi joutua kyberhyökkäyksen kohteeksi riippumatta siitä, miten kansallisesti strategista toimintaa yritys harjoittaa. Pahimmillaan riskit voivat johtaa jopa koko liiketoiminnan menetykseen.
Lopuksi vielä:
- Jokaisen on syytä ymmärtää vastuunsa kyberuhkien ja hybridiuhkien torjunnasta organisaatiossa (hallituksen puheenjohtaja, toimitusjohtaja, työntekijä)
- Koulutuksella lisättävä tietämystä
- Kyberturvallisuuskeskuksen oppaista hyvää käytännön tietoa aiheesta
- Mediakritiikki, medialukutaito
- Tunne asiakkaasi, yhteistyökumppanisi, rahoittajasi. (Yrityksen rikosoikeudellisen vastuun kannalta tärkeää tuntea vastapuolet, joiden kanssa tehdään yhteistyötä kansainvälisessä kaupassa)
Tekstin lähteenä: EK:n webinaari, jossa puhuivat Jukka Savolainen, johtaja Euroopan hybridiosaamiskeskus; Antti Pelttari, päällikkö, Suojelupoliisi; Jarno Limnéll, Vice president, Innofactor Oyj ja Aalto-yliopiston työelämäprofessori; Petri Vuorio, johtaja, Elinkeinoelämän keskusliitto EK, BusinessEuropen Venäjä-työryhmän puheenjohtaja
Katso EK:n tallenne täältä.
Hyödyllistä tietoa:
Kaupan liitto: Venäjän sotatoimet ja kauppa
EK: Venäjä-pakotteiden hyötytietoa yrityksille
Kyberturvallisuuskeskus tarjoaa yrityksille ja organisaatioille hyödyllistä tietoa tietoturvasta:
Ohjeita ja oppaita tietoturvasta | Kyberturvallisuuskeskus
Tietoturvaohjeita yrityksille | Kyberturvallisuuskeskus
Pienyritysten kyberturvallisuusopas | Kyberturvallisuuskeskus
Etätyön tietoturva – ohjeita organisaatioille ja yrityksille | Kyberturvallisuuskeskus
Kyberturvallisuus ja yrityksen hallituksen vastuu (kyberturvallisuuskeskus.fi)
Jos teihin on kohdistunut tietoturvaloukkaus tai epäilette sellaista – ottakaa yhteyttä!
Suojautuminen Microsoft Office 365 -tunnusten kalastelulta ja tietomurroilta