Onnistunut kyberkriisinhallinta edellyttää saumatonta yhteistyötä organisaation eri toimintojen välillä. Johdon strateginen päätöksenteko, viestijöiden ammattitaito, IT-asiantuntijoiden tekninen osaaminen ja juridisten prosessien tuntemus tulee yhdistää sujuvaksi kokonaisuudeksi.
Kyberkriiseihin erikoistunut viestintäkonsultti Christina Forsgård korostaa varautumisessa ennen kaikkea harjoittelun ja ennakoinnin merkitystä. Myös yhteistä kieltä ja ymmärrystä pitää harjoitella, sillä viestinnän, teknologian, juridiikan ja johtamisen ammattilaiset lähestyvät kyberkriisiä usein eri näkökulmista ja eri sanastolla.
”Yhteistyön aito toimivuus edellyttää vahvaa luottamusta osapuolten välillä. On uskallettava kysyä tarvittaessa montakin kertaa uudestaan, että saa ymmärrettävän vastauksen hakemaansa tietoon. Hyvin usein ihmiset olettavat, että heidät ymmärretään heti oikein. Kun vaikkapa puhutaan arkkitehtuurista, sillä ei IT-asioiden yhteydessä tarkoiteta rakennuksia, vaikka joku alaa tuntematon voisi niin luulla.”
Harjoittelun lisäksi kaikilla asianomaisilla tulee olla selkeä ymmärrys jokaisen roolista; mitä voidaan odottaa, mitä kukin tietää tai ei tiedä. On myös tärkeä oivaltaa, että kriisiä johdetaan eri tavalla kuin arkea.
”Olemme ehkä vähän liiaksi tottuneet ennakoituun hyggeilyyn. Eteen voi kuitenkin tulla tilanne, jossa asioita täytyy tehdä ja johtaa eri tavoin kuin yleensä. Kriisintaju edellyttää harjoittelua.”
Tilannekuva on kriisijohtamisen ytimessä
Kyberkriisiä haltuun otettaessa tarvitaan vahvaa johtamista sekä jatkuvaa tilannekuvan ylläpitämistä ja jo ennakkoon sovittua vastuunjakoa.
”Koko kriisin kannalta ohjaava kysymys on, kenen luottamuksen varassa meidän toiminta on. Näitä tahoja voivat olla esimerkiksi kumppanit, asiakkaat ja yhteiskunnalliset toimijat. Teknologian osaajat taas selvittävät, mitä oikeastaan on tapahtunut ja miten järjestelmät saadaan taas toimiviksi. Juridiikan tontille puolestaan kuuluvat vaikkapa sopimuksiin liittyvien vastuiden tunteminen ja viranomaisilmoitukset.”
Mahdollisen kriisin sattuessa yhteistyö ulottuu myös oman organisaation ulkopuolelle. Verkottuneessa ja verkostoituneessa maailmassa yhden kriisi koskettaa myös montaa muuta toimijaa.
”Esimerkiksi SaaS-palveluiden kohdalla vaikutukset heijastuvat vielä asiakkaidenkin asiakkaisiin. Helposti mukana on ainakin useita muitakin organisaatioita ja jos kyberkriisin taustalla on rikos, myös viranomaisia tulee informoida. Suomessa Kyberturvallisuuskeskus ylläpitää kansallista tilannekuvaa ja joskus pieneltäkin tuntuva havainto voi muuttua merkittäväksi, jos siitä raportoidaan paljon”, Forsgård kertoo esimerkkejä.
Havahtumista nykyuhkiin tarvitaan
Forsgårdin mukaan yritysjohdolla ja hallitusammattilaisilla on edelleen melko vähän IT-osaamista. IT-infraan liittyvät päätökset eivät ole useinkaan olleet strategisia päätöksiä, joten yritysjohto voi olla niistä hyvin tietämätön. Monikaan yritysjohtaja ei myöskään kysyttäessä tiedä, onko yrityksellä esimerkiksi kyberturvallisuuteen liittyvää vakuutusta.
”Kokonaisuutta täytyy miettiä nykyään entistä laajemmin. Erityisesti hybridiriskit ovat todennäköisempiä kuin koskaan aikaisemmin. Epävarmuus on tullut osaksi arkea ja joudumme pohtimaan jatkuvuutta eri tavalla sekä varautumaan moneen sellaiseen riskiin, jota ei ole tarvinnut aiemmin miettiä.”
Geopoliittiselta tilanteelta tai maailmanpolitiikan myrskyiltä ei kannata Forsgårdin mukaan ummistaa silmiään.
”Monesti yrityksissä ymmärrys digitaalisista haavoittuvuuksista ja erityisesti hybridiuhista on edelleen puutteellista. Uskotaan kuin pukki suuriin sarviin, että kyllä IT-infra ainakin pelaa. Jostain syystä IT-infraa pidetään edelleen kuin itsestäänselvyytenä, johon ei tarvitse puuttua. Aina yrityksen johdossa ei esimerkiksi tiedetä, onko Itämerellä poikki menneellä merikaapelilla vaikutusta omaan liiketoimintaan vai ei.”
Yksi hyvä alkusysäys kriiseihin varautumiseen on auditointi, jossa sopivan kysymyspatteriston kautta selvitetään vastauksia oleellisiin asioihin. Tätä seuraa luontevana osana kyberkriisinhallintasuunnitelma ja käytännön harjoittelu.
”Organisaatiot ovat totta kai yleensä rakennettu jotain muuta funktiota varten kuin erilaisiin uhkakuviin varautumista varten. Kuitenkin on jo ihan arjen jatkuvuuden turvaamisen kannalta järkevää olla nykyistä huomattavasti tietoisempia siitä, mitä ne meitä uhkaavat todelliset riskit ovat ja varautua niihin”, Forsgård summaa.
Nykyään monet regulaatiot ohjaavat organisaatioiden turvallisuuden kehittämistä. Esimerkiksi kyberturvallisuusdirektiivi NIS2 asettaa riskienhallinnan vaatimuksia yhteiskunnan jatkuvuuden kannalta kriittisille toimijoille.
”NIS2 edellyttää sen piiriin kuuluvilta organisaatioilta muun muassa dokumentaatiota, läpinäkyvyyttä ja henkilöstön kouluttamista. Kyberkriiseihin on varauduttava ja kyvykkyyksiä nostettava.”
Yleiset haasteet organisaatioiden kyberkriiseihin varautumisessa liittyvät harmaisiin alueisiin. Nämä ovat kohtia, joiden osalta ei ole ihan selvää, kenen vastuulla ne ovat. Kriisinhallintamallia sekä harjoituksia tehdessä tällaiset epäselvät vastuualueet nousevat hyvin esille. Monet läpikäytävät asiat ovat hyvin käytännönläheisiä; keitä kutsutaan kriisin sattuessa koolle tai mitä viestintävälineitä käytetään, jos Teams ei toimikaan ja niin edelleen.
”Vastuu ja roolitukset tulee sopia tarkasti. Myös kaikenlaista kriisinhallintaa helpottavaa työtä voi tehdä ennakkoon, kuten valmiita postituslistoja tai vaikkapa kapasiteetin riittävyyden testaamista.”
Forsgårdilla on kokemusta lukuisten organisaatioiden valmentamisesta kyberturvakriisien varalle sekä toteutuneiden kriisien hoitamisesta. Oleellista on häneen mukaansa viedä varautumisajattelu mahdollisimman pitkälle.
”Happotestaaminen on todella tärkeä asia. Tositilanteessa joudutaan tekemään jatkuvasti päätöksiä ja myös vaikeita sellaisia. Tähän on hyvä olla varautunut.”
Christina Forsgård on keynote-puhujana mukana syksyn 2025 Industry Dayssa.
Täältä löydät lisätietoja tapahtumasta
PS. Haluaisitko sähköpostiisi tietoa ajankohtaisista aiheista? Kiinnostaako turvallisuusratkaisut tai AI & data vai kenties digitaaliset palvelut? Voit tilata uutiskirjeen juuri sinua kiinnostavista teemoista. Meidän uutiskirjeessä on Loihdetta!
