Oletko tietämättäsi tietoturvariski?

Toimintaympäristön digitalisoituminen on luonut uudenlaisia haasteista tietoturvaan ja varautumiseen. Me Apotissa olemme myös itse toteuttamassa muutosta asiakkaillemme ja koko yhteiskunnalle. Tietoturvan on pysyttävä muutoksen mukana ja mielellään hiukan sen edellä.

Kyberturvallisuuden merkitys on kasvanut valtavasti digitalisaation ja toimintaympäristön muutoksen myötä. Sähköiseen toimintaympäristöön kohdistuu uudenlaisia uhkia, kuten informaatio-, hybridi- ja kybervaikuttaminen. Näiden uhkien toteutumisella on yhä laajempia vaikutuksia sekä organisaatiotasolla että yhteiskunnan kannalta.

Digitaalisessa turvallisuudessa keskeiseksi asiaksi nousee riskienhallinta. Se on keskeinen osa kaikkien organisaatioiden, myös Apotin, jokapäiväistä toimintaa. Digitaalinen turvallisuus sisältää kaikkiaan viisi osa-aluetta:

• tietoturvan
• kyberturvallisuuden
• tietosuojan
• riskienhallinnan
• jatkuvuuden hallinnan ja varautumisen

Kaikki osa-alueet liittyvät kiinteästi toisiinsa, eivätkä niiden väliset rajat ole aina kovinkaan tarkkaan määriteltyjä. Esimerkiksi Apotin toiminnassa kaikkien viiden pitää toimia saumattomasti kokonaisuutena, jotta voidaan varmistaa käsittelemiemme tietojen ja niiden käsittely-ympäristöjen vaatimustenmukaisuus.

Ehkä merkittävin digitaalisen turvallisuuden osa-alue näistä viidestä nykyhetkessä on jatkuvuuden hallinta ja varautuminen. Osa-alueella varmistetaan kyky selviytyä niistä riskeistä, jotka ennakoinnista huolimatta toteutuvat. Jatkuvuuden hallintaan ja varautumiseen liittyvien prosessien tehtävänä on huolehtia kaikista häiriöistä; ei vain tietoturva- tai tietosuojapoikkeamista.

Varautuminen on meidän kaikkien asia. Varautuminen ja erilaisten kyberhäiriöiden hallinta edellyttää kiinteää yhteistyötä erilaisten sidosryhmien kanssa. Tätä Apotti oli esimerkiksi harjoittelemassa TIETO22-harjoituksessa yhdessä muiden yhteiskuntamme kriittiseen infrastruktuuriin kuuluvien organisaatioiden kanssa.

Maailmantilanne myllerryksessä – vaikutuksia myös tietoturvaan

Turvallisuusviranomaiset arvioivat, että kriittiseen infrastruktuuriin kohdistuu kohonnut vaikuttamisen uhka. Käytännössä tämä tarkoittaa esimerkiksi digitaaliseen toimintaympäristöön kohdistuvaa häirintää ja tiedustelua, joka voi ilmetä sekä fyysisessä että kybertoimintaympäristössä. Siksi toiminnan jatkuvuuden varmistaminen, varautuminen häiriötilanteisiin, valmius toimia niissä sekä kyky toipua niistä ovat nyt tiiviin tarkastelun kohteina.

Apotissa esimerkiksi pyrimme kasvattamaan sietokykyä toimintaan kohdistuvia uhkia ja toiminnassa ilmeneviä häiriöitä vastaan varautumismenettelyjen avulla. Verkostoituneen toimintaympäristön tuntemus, kriittisten resurssien tunnistaminen ja turvaaminen, muutostenhallinta, riskienhallinta ja kiinteä yhteistyö sidosryhmien kanssa luovat perustan digitaaliselle turvallisuudelle. Teknisiä tietoturva- ja kyberturvallisuuspalveluita sekä kontrolleja tarvitaan, mutta ne muodostavat vain yksittäisiä kerroksia kokonaisuudessa.

Kokonaistilanteen ymmärrys ja viestintä tärkeitä tulevaisuudessakin

Viestintä on olennainen osa digitaalista turvallisuutta. Jokaisen pitää tiedostaa roolinsa digitaalisen turvallisuuden varmistamisessa, koska uhkien kohtaaminen on osa nykyhetken arkipäivää. Perehdyttäminen on avainasemassa oikeiden toimintatapojen omaksumisessa työsuhteen alussa tai työtehtävien muuttuessa ja osaamisen ylläpito vaatii aktiivista viestintää.

Merkittävien muutosten keskellä tilannekuvan viestintä ja tilannetietoisuuden ylläpito ovat korvaamattomia. Johtaminen ja päätöksenteko vaikeutuvat huomattavasti, mikäli ajantasaista tilannetietoa ei ole saatavilla. Tilannekuva ei nimestään huolimatta ole kuva tai graafinen esitys, vaan yleensä kooste useista eri kanavista kerätyistä tiedoista, joista muodostetaan mahdollisimman yhtenäinen käsitys tilanteesta. Tilannekuva rakentuu viestinnästä ja viestintä toimintona tarvitsee tilannekuvaa, varsinkin kriisitilanteissa.

Digitaalinen turvallisuus on monitahoinen joukko toisiinsa liittyviä ja toisistaan riippuvia hallinnollisia ja teknisiä prosesseja, jotka muodostavat jatkuvasti muuttuvan ja elävän kokonaisuuden. Mikään yksittäinen taho ei voi hallita tätä kokonaisuutta, vaan kaikilla meillä on loppupeleissä vastuu sen toteutumisesta.

Blogin kirjoittaja Henry Kylänlahti on Apotin tietoturvajohtaja.

Kuuntele myös Apotin Tarinoita sote-kentältä -podcastin jakso, jossa keskustellaan kyberturvallisuudesta. Kurkkaa jakso täältä.