Valtakunnallinen harjoitus antoi kokemusta kyberuhkien varalle
Tänä päivänä kyberturvallisuus on tärkeämpää kuin koskaan, sillä monenlaiset turvallisuusuhat ovat yleistyneet. Tietojenkalastelu, haittaohjelmien hyökkäykset ja erilaiset palvelunestohyökkäykset ovat jo kasvava yhteiskunnallinen ongelma. Suomen SD Worx osallistui TIETO22 -kyberturvallisuusharjoitukseen, josta saimme arvokasta kokemusta tietoturvauhkien torjumiseen dokumentoitujen suunnitelmien perusteella.
TIETO22 on vuoden 2022 aikana touteutettu laaja kyberturvallisuusharjoitus, jossa Suomen huoltovarmuuden kannalta kriittiset yritykset harjoittelevat yhdessä toimintaa häiriötilanteissa. Tämä tarkoittaa kaikkia niitä yrityksiä, joita tarvitaan yhteiskunnan toiminnan varmistamiseen kriisin sattuessa.
Tapahtumaan osallistui yli 120 suomalaista yritystä ja lisäksi viranomaisia. Kaikkiaan osallistujia oli satoja.
SD Worx vastaa monen suomalaisen yrityksen palkkahallinnosta ja kuuluu siten huoltovarmuuskriittisiin yrityksiin. Harjoituksessa oli mukana yrityksiä useilta eri toimialoilta, kuten elintarvike, finanssi, pankki, ict ja kuljetus. Tapahtumaan osallistuvat myös poliisi, Huoltovarmuuskeskus ja Kyberturvallisuuskeskus.
Yleensä yritykset harjoittelevat itsenäisesti toimintamalleja tietoturvariskien varalle. Isoja valtakunnallisia harjoituksia järjestetään joka toinen vuosi. Harjoitusten historia ulottuu vuosikymmenten taakse 1970-luvulle. Tuolloin Puolustusvoimat aloitti käytännön, jossa harjoiteltiin laajojen häiriötilanteiden varalle.
Harjoittelua simuloidussa pelitilanteessa
Suomen SD Worxilta osallistui tapahtumaan kolme henkilöä. Yksi heistä oli Jussi Wallendahr, SD Worxin tietoturvapäällikkö. Tapahtuma kesti kolme päivää.
Harjoittelu alkoi kuitenkin jo paljon ennen syyskuun yhteistoimintaharjoitusta. Yritysten edustajat osallistuivat vuoden aikana useaan koulutuspäivään, joissa käytiin läpi eri aihealueita liittyen yritysten jatkuvuus- ja valmistautumissuunnitelmiin. Lisäksi osallistujat tekivät koulutupäivien välissä valmistelevia tehtäviä.
Kyberturvallisuusharjoitus herätti huomiota maailmanlaajuisesti, joten myös muista maista oli ihmisiä tutustumassa harjoitukseen.
Harjoitus toteutettiin kokonaan etänä eriytetyssä peliympäristössä, jossa pelaajat pystyivät kommunikoimaan keskenään. Harjoituksessa harjoiteltiin yhteistoimintaa myös sellaisten viranomaisten kanssa, joihin yritykset ovat harvoin yhteydessä.
Taustalla oli hyvä tarina
Kuten missä tahansa pelissä, tässäkin harjoituksessa oli taustalla tarina, jota elävöitettiin ”oikeasta” elämästä tutuilla elementeillä. Harjoituksessa oli mukana oma sosiaalisen median alusta, ja tiedotusvälineet tekivät harjoituksessa uutislähetyksiä ja julkaisuja sekä haastatteluja pelin tapahtumista. Näin TIETO22-harjoitus toimi samalla harjoituksena useille median edustajille, joilla oli omat joukkueet mukana harjoittelemassa omaa toimintaansa häiriötilanteissa.
Käytännössä tapahtuma simuloi oikeaa toimintaympäristöä. Harjoituksessa oli kuvitteelliset yritykset, joihin osallistujat jaettiin joukkueina. Joukkueet edustivat aidon kaltaisia yrityksiä, jotka olivat sijoittuneet eri puolille virtuaali-Suomea.
– Kaikki osallistujat jaettiin eri joukkueisiin. SD Worx ei toiminut siellä keskenään, vaan me olimme kaikki hajautuneet eri yrityksiin. Saimme kokemuspohjaa muista yrityksistä ja heidän toimintamalleistaan, Wallendahr kertoo.
Arvokasta kokemusta tulevaisuuden varalle
Wallendahrin mukaan harjoitus oli mielenkiintoinen ja silmiä avaava kokemus. Hänen mielestään erityisesti viranomaistoiminta oli tärkeä osa-alue.
– Yhteistoimintaa viranomaisten kanssa on tärkeää harjoitella, koska heidän kanssaan olemme normaalisti hyvin harvoin tekemisissä. Missä vaiheessa ilmoitetaan viranomaisille, millaisia tietoja he tarvitsevat ja miten niitä käsitellään, jos tulee oikea tilanne. Kun tiedetään, mitä tietoja viranomaiset tarvitsevat, ne voidaan sisällyttää meidän omiin ohjeisiin. Kaikki pystytään infoamaan kerralla eteenpäin, jolloin myös viranomaisten oma työ helpottuu ja nopeutuu, Wallendahr toteaa.
Wallendahr korostaa, että SD Worxilla on hyvät ja tarkoin dokumentoidut prosessit ja suunnitelmat erilaisia häiriötilanteita varten. Harjoituksessa kuitenkin huomaa, että häiriötilanteissa tieto ei aina välttämättä ole tarkkaa, tai se tulee ripotellen.
–Tässä oppii, miten toimintamallien ja ohjeiden perusteella oikeasti toimitaan. Näin saadaan kaikupohjaa siitä, miten suunnitelmien perusteella kohdataan tilanteita. Onneksi tosielämässä kuitenkin harvoin joudutaan tällaisiin tilanteisiin, Wallendahr päättää.
Lisätietoa aiheesta: SD Worx Suomi osallistui valtakunnalliseen TIETO22-harjoitukseen
Lue seuraavaksi
Webinar recording: Data Processing – How can we ensure a secure Data Protection Program?
GDPR is a topic that many businesses still have insecurity about. How effective is our Data Protection program? How sure can we be that our processors are treating the data lawfully? Or, do we have sufficient security measured to safeguard our personal data?
Yleinen tietosuoja-asetus henkilöstö- ja palkkahallinnossa
Maksuton opas
Totuttujen toimintatapojen muuttaminen suuri haaste GDPR-työssä
Uusi yleinen tietosuoja-asetus (GDPR) vaikuttaa suuresti henkilöstö- ja palkkahallinnon työntekijöiden arkeen, sillä henkilötietojen käsittely on oleellinen ja erittäin tärkeä osa työtä. Sääntöjen asianmukaisen noudattamisen takaamiseksi pitkällä aikavälillä monien osatekijöiden on toimittava hyvin yhteen. Randstadin henkilöstöpäällikkö Camilla Campelo painottaa päivittäisten työrutiinien muuttamisen tärkeyttä.