Muokattu 20.3.

Toimintamme turvallisuus ja luotettavuus pohjautuvat tunnettujen uhkien tunnistamiseen ja näistä syntyvien riskien hallintaan. Viimeisen parin viikon aikana moni asiantuntija on joutunut tunnustamaan, että jälleen on löytynyt se kuuluisa musta joutsen. On siis tapahtunut jokin ”erittäin epätodennäköinen tapahtuma” – nopeasti levinnyt koronavirus, joka on globaalisti vaikuttanut merkittävällä tavalla kaikilla yhteiskunnan tasoilla työelämään ja vapaa-aikaan. Muita vastaavia tapahtumia ovat olleet esimerkiksi Islannissa tapahtunut Eyjafjallajökullin tulivuorenpurkaus ja sen seurauksena lentoliikennettä haitannut tuhkapilvi, 9/11-terroristihyökkäys New Yorkissa sekä vuosien 2008-2009 finanssikriisi. Koronaviruksen vaikutuksen arvioidaan olevan suurempi kuin nämä kaikki yhdessä.

Varmista organisaatiosi kriittinen toiminta – harjoittele!

Väestörekisterikeskus on toteuttanut kahden viime vuoden aikana riskien- ja jatkuvuudenhallinnan kehittämiseksi TAISTO-harjoituksia, joihin on osallistunut yli 260 julkisen hallinnon organisaatiota. TAISTO19-harjoituksessa yhtenä ennakkotehtävänä oli tunnistaa organisaation toiminnan kannalta kriittiset palvelut ja niiden riippuvuudet muista palveluista. Lisäksi tuli varmistaa, että organisaatiolla on ajantasaiset jatkuvuus- ja valmiussuunnitelmat erilaisten häiriöiden varalle. Jos joku on aiemmin miettinyt, miksi ja milloin pitäisi harjoitella, toivottavasti ainakin nyt harjoittelun syy on näille organisaatioille selvinnyt. Jatkuvuutta tulee harjoitella siksi, että se mahdollistaa organisaation toiminnan riippumatta siitä mikä uhka toimintaan kohdistuu – olipa kyseessä kyberhyökkäys, kuormittuneet palvelut tai henkilöstö pääsy työpaikalle.

Jokainen merkittävä toimintaa häirinnyt tapahtuma tai poikkeama tulee arvioida jälkikäteen; miten ja mistä tapahtuma on johtunut, onko se etukäteen tunnistettu riskiksi ja ovatko sen hallintaan suunnitellut riskienhallintatoimet olleet riittäviä. Tämä tietysti koskee myös koronavirusta; ei niinkään se, että nopeasti leviävää virusta ei ole tunnistettu uhkana, vaan onko sen seurauksena organisaation toimintaan vaikuttavia häiriöitä ja ilmiöitä tunnistettu ja niiden vaikutuksia arvioitu. Jälkikäteisarvioinnin aika ei ole vielä, koska nyt pitää keskittyä toiminnan varmistamiseen, etenkin jos tilanne jatkuu kuviteltua pidempään.

Tiedottamisen merkitys korostuu häiriötilanteissa

Valitettavasti, mitä suuremmasta kansainvälisestä kriisistä on kyse, sitä nopeammin mukaan tulee myös tietoverkko- ja kyberrikollisuus. Tämä näkyy myös koronaviruksen ympärillä tapahtuvassa toiminnassa ja viestinnässä. Itse kukin on saanut sähköpostiinsa korona-aiheisia viestejä, joissa kaupataan maskeja, wc-paperia tai nopeasti tehtäviä kotitestejä, joista useimmat ovat huijausviestejä. Netistä löytyy myös infosivustoja, jonne käyttäjiä houkutellaan mielenkiintoisilla klikkiotsikoilla. Niiden tavoitteena on saada upotettua käyttäjien laitteille haitta- tai vakoiluohjelmia. Onhan myös näistä tiedotettu ja muistutettu henkilöstöä?

Perinteisten uhkien rinnalle uudeksi haasteeksi on nopealla aikataululla noussut henkilöstön käyttöön tarkoitetut uudet digipalvelut ja käytännöt. Kun esimerkiksi on jouduttu ohjaamaan henkilöstöä etätöihin ilman kunnon ohjeistusta ja koulutusta tai jouduttu ottamaan käyttöön korvaavia palveluita, joiden koulutus on puutteellista. Näissä tilanteissa inhimillisen erehdyksen tai virheen mahdollisuus on keskimääräistä korkeampi. Kriisitilanteessa saatamme toimia joko ylivarovaisesti tai kiireessä huolimattomasti ja virheellisesti - nämä kaikki voivat vaarantaa tietoturvallisuuden.

Lisäksi organisaatio on saattanut joutua tilapäisesti muuttamaan tietoturvallisuuteen liittyviä käytäntöjä palveluiden saatavuuden turvaamiseksi, mahdollisesti heikentäen turvallisuutta. Myös näissä tilanteissa on erittäin tärkeää, että toimenpiteistä syntyneet riskit arvioidaan ja dokumentoidaan, henkilöstölle ohjeistetaan muutokset sekä huolehditaan, että tilapäiset ratkaisut poistetaan käytöstä, kun tilanne sen sallii ja varmistetaan palveluiden turvallisuus. Harkinnanarvoisia keinoja ovat muun muassa lokien aktiivisempi läpikäynti, pääkäyttäjien ja muiden käyttäjien salasanojen pakotettu vaihtaminen sekä päätelaitteiden pakotettu ja perusteellisempi haittaohjelmatarkastus.

Varaudu ja toimi sen mukaan

Valmiuslain ollessa voimassa elämme poikkeuksellista aikaa. Otetaan tämä arvokkaana oppina ja kokemuksena, jonka avulla voimme varautua seuraavaan, mahdollisesti vielä pahempaan mustaan joutseneen. Epäilemättä seuraavien vuosikymmenien aikana sellainen on jälleen maapallollemme laskeutuva.

Tilanteen rauhoituttua on sopiva aika kartoittaa organisaation kriittiset toiminnot, laatia niiden turvaamiseksi tarvittavat suunnitelmat, harjoitella häiriötilanteiden varalta sekä huolehtia, että tarvittavat toimintaohjeet, varajärjestelyt ja viestintäsuunnitelmat ovat olemassa ja henkilöstön tiedossa silloin, kun seuraava kriisi osuu kohdalle.