Merenkulussa pelastautumiskoulutus on rutiinia – miksi yritykset eivät vaivaudu treenaamaan kyberturvan hätätilanteita varten?
Ari Saarelainen
Viestintäkonsultti
Aallot kuohuvat ympärilläni, tuuli kohisee. Missä päin on purjevene, josta putosin? Kääntyilen. Kylmä sade ryöppyää naamalleni vaakasuorassa. Sitten erotan veneen ja kaksi hahmoa kannella. Yritän saada otteen suuntaani heitetystä pelastusvaljaasta. Selviänkö? Huh. Onneksi kyse on harjoituksesta.
Äskettäin käymäni veneilijän pelastautumiskurssi antoi rankkaa oppia siitä, miten toimia erityisesti mies yli laidan -tilanteessa, eli silloin, kun joku on pudonnut veneestä. Suuressa altaassa oli oikea purjevene, aaltokoneen nostattama aallokko, tuulikoneen puhuri ja keinotekoinen sade. Hurjimpia hetkiä olivat kiipeäminen köysiverkkoa ”laivan” kannelle viisi metriä pystysuoraa seinää, hyppy takaisin altaaseen, nosto pelastuslenkillä ”helikopteriin” yhdeksän metriä altaan ylle ja kaksi minuuttia hypotermiaharjoitusta.
Koko päivän intensiivinen kurssi valoi luottamusta siihen, että muiden ja oman hengen pelastaminen merellä onnistuu. Samantyyppinen, mutta vaativampi ja kattavampi harjoittelu samassa paikassa kuuluu merenkulun ammattilaisten säännöllisiin rutiineihin.
Kybersimulaatio antaa valmiuksia selvitä kyberkriisistä
Sain äskettäin kokea myös ihan toisenlaisen, mutta hyvin todentuntuisen simulaation. Olin mukana sisäisessä koulutuksessa, jossa saimme yhdessä maistaa, millainen on asiakkaille tuotettava kyberkriiseistä selviytymisen H72-harjoitus.
Kybersimulaatio alkoi arkisissa tunnelmissa turvallisten rutiinien ohjatessa tekemistä. Pikkuhiljaa eri suunnista alkoi kuitenkin tihkua viestejä, jotka poikkesivat normaalista. Ensin sain kuulla, että yhden kollegani puhelin oli kadonnut. Hmm. Tuumin, että sen seurauksena jotakin olisi varmaan syytä tehdä, mutta mitä tarkalleen ja missä järjestyksessä? Päädyimme pitämään nopean sisäisen palaverin, informoimaan johtoa ja pirauttamaan IT-tukeen.
Mutta ei siinä vielä kaikki. Tunnelma tiheni edelleen, kun somekanavat kertoivat, että firman nettisivu suoltaa kamalaa roskaa. Mitä ihmettä?! Yhdessä päätimme ilmoittaa oitis asiakkaille, että sivumme on kaapattu, ja rauhoitella heitä kertomalla, että asiaa tutkitaan. Teimme myös rikosilmoituksen.
Hetki hetkeltä hermostutti yhä pahemmin. Pelotti, että tilanne ei ehkä olekaan hallinnassa. Etenkin, kun tiedotusvälineissä alkoi pulpahdella uutisia ja eri mediat soittivat. Ei aikaakaan, kun tv-uutisissa haukuttiin, että firmani suojaa surkeasti asiakkaiden tietoja. Klup! Tässähän on maine kohta mennyttä…
Lopuksi itse harjoitusta seurasi purkusessio arvosteluineen. Tiimimme selvisi keskivertoa paremmin erityisesti yhteisessä päätöksenteossa ja viestinnässä niin sisäisesti kuin ulkoisesti, eikä isoja kehityskohteita noussut esiin. Parannettavaa toki löytyi. Huojentava tulos!
Hätätilanne vaarantaa liiketoiminnan ja maineen
Veneilijälle pelastautumiskurssi on vapaaehtoinen ja vain ani harvat käyvät sellaisen. Vapaaehtoisia ovat kaikki muutkin turvallisuuden tekijät, alkaen siitä, että veneily on sallittua kaikille ilman mitään muodollista pätevyyttä tai edes vesiliikenteen sääntöjen tuntemusta.
Sen sijaan ammattimaisessa merenkulussa hätätilanteiden toistuva harjoittelu on pakollista. Sen avulla varaudutaan pahimmillaan kamppailuun elämästä ja kuolemasta, mutta monesti vaarantuvat myös liiketoiminnan jatkuvuus ja alan toimijan maine.
Kyberkriisi aiheuttaa yrityksen liiketoiminnalle vastaavanlaisia vaaroja. Tuntuukin kummalliselta, miksi niin harvat yritykset varautuvat kyberuhkiin harjoittelemalla tilanteita, joissa uhka realisoituu. Aivan kuin yritykset olisivat huviveneilijöitä, joiden varautuminen riippuu viitseliäisyydestä.
Onko ehkä niin, että monet yritykset tuudittautuvat oletukseen, että kybersuojaukset ovat kunnossa eikä oma firma kiinnosta kyberhyökkääjiä? Huono juttu, jos näin olisi. Ei ammattimaisessa merenkulussakaan tyydytä siihen, että alukset on rakennettu vankasti ja varusteltu pelastusveneillä, -lautoilla ja -liiveillä. Vesillä ollessa ei voi olettaa, etteikö merihätä koskaan osuisi omalle kohdalle.
Nyt viimeistään EU:n NIS2-sääntely luo pakkoa ja painetta harjoitella kyberkriisejä. Se velvoittaa testaamaan ja kehittämään valmiuksia sekä kouluttamaan henkilöstöä. NIS2 asettaa selvät aikarajat, miten pian esimerkiksi tietomurrosta pitää viestiä viranomaisille ja sidosryhmille. Poikkeaman havaitsemisesta pitää tehdä ilmoitus 24 tunnin kuluessa. Jos yritys ei ole viestinyt millään tavalla 72 tunnin kuluessa, seuraukset voivat olla vakavia.
Ilman harjoittelua prosessin vaatimuksista on hyvin vaikea selvitä. Kyberkriisisimulaatio onkin käytännössä ainoa keino koetella, kuinka organisaatio pärjäisi tosipaikan tullen ja kehittää toimivat valmiudet. Netprofilen toteuttama, nopeasti etenevä simulaatio räätälöidään aina organisaation tarpeisiin. Taustalla on kehittämämme kansainvälisestikin käytössä oleva H72-kyberkriisin hallintamalli.
Varaudu kyberin yllättäviin käänteisiin nyt. Ota yhteyttä ja toteuta H72-kyberkriisisimulaatio!
