Kyberturvallisuudesta puhutaan nykyään joka puolella, mutta harva pysähtyy miettimään, mitä sillä oikeasti tarkoitetaan. Vielä harvempi on törmännyt sanaan "kyberresilienssi" ilman, että olisi samalla pyöritellyt silmiään.
Uusia muodikkaita pöhinätermejä syntyy kuin sieniä sateella, mutta myönnetään, että tällä termillä on oikeasti järkevä sisältö.
Mitä kyberresilienssi sitten käytännössä tarkoittaa?
Kyberresilienssi ei ole vain kykyä torjua hyökkäyksiä, vaan myös taitoa palautua niiden jälkeen ja pitää bisnes pyörimässä – vaikka joku yrittäisi vetää mattoa jalkojen alta. Se tarkoittaa, että kyberuhkiin on valmistauduttu kuin nyrkkeiljä otteluun: iskuja satelee, joten on etukäteen mietitty miten osan niistä voi välttää, kuinka suojaudutaan niiltä jotka osuvat, sekä harjoitellaan myös selviämään niistä, jotka pääsevät läpi. Vaikka häviäisi ottelun, niin varmistetaan, että ura jatkuu.
Kyberresilienssi on kuin digitaalinen versio varavoimakoneesta: kun uhka iskee, sähkö katkeaa, ja normaalin toiminnan voi unohtaa – ellei varavoimakone käynnisty ajoissa. Ja kyllä, vaikka kyseessä saattaa kuulostaa siltä, että joku konsultti on keksinyt tämän uuden hienon sanan, todellisuudessa kyberresilienssi on yhtä arkinen asia kuin palovakuutus tai turvavyön käyttäminen autossa.
Se tarkoittaa, että yrityksellä on kykyä ottaa iskuja vastaan, toipua niistä ja jatkaa matkaa ilman suurempia vaurioita.
SensorFu Oy:n perustaja Mikko Kenttälä sanoo asian suoraan: "Kukaan ei voi täysin välttyä kyberuhilta, mutta kyberresilienssi on se, mikä voi pelastaa yrityksen toiminnan." Tämä ei ole pelottelua, vaan arkirealismia. Sama pätee moneen muuhun riskiin, joihin yritykset varautuvat päivittäin – tämä on vain yksi lisälenkki siinä ketjussa.
Millaisia riskejä yritykset oikeasti kohtaavat?
Kyberrikolliset eivät ole mielikuvituksen tuotetta, mutta ei heidän toimintansa myöskään ole mitään Hollywood-elokuvien scifi-tarinaa. Todellisuudessa uhkakuvat ovat harvoin kohdennettuja iskuja, mutta automatisoitujen hyökkäysten kohteeksi joutuu jatkuvasti suurempi määrä yrityksiä: teknologian kehittyessä rikollisten on entistä halvempaa koettaa onneaan ja etsiä suojaamattomia kohteita, joihin murtautua. Hyökkääjien tavoitteena on yleensä rahastus kiristämällä, tai sen epäonnistuessa sabotaasi.
Kaikki yritykset – koosta riippumatta – voivat joutua näiden hyökkäysten kohteeksi.
Kenttälä painottaa, että uhat eivät ole vain suurten kansainvälisten yritysten ongelma, vaan ne koskettavat myös suomalaisia pk-yrityksiä. "Usein ajatellaan, että meidän järjestelmä on turvassa, kunnes toisin todistetaan," hän toteaa. Eli kun verkkohyökkäys yllättää, se saattaa osua myös juuri siihen kohtaan, jota ei tullut edes ajatelleeksi.
Verkkojen eristäminen – mitä se tarkoittaa ja kenelle se on tärkeää?
Verkkojen eristäminen on yksi keskeisistä kyberresilienssin toimenpiteistä. Yksinkertaistettuna se tarkoittaa, että yrityksen eri verkot ja järjestelmät pidetään erillään toisistaan, jotta yksi kaatuminen ei romahduttaisi koko toimintaa.
Tämä voi kuulostaa tekniseltä, mutta SensorFu:n Mikko Kenttälä tarjoaa selkeän esimerkin:
"Kuvitellaan teollisuusyritys, jonka tuotantoprosessi on verkottunut ja johon kuuluu kymmenkunta kriittistä järjestelmää. Yksi tietomurto yhdessä osassa voisi keskeyttää koko tuotannon, ja jos tuotantokatko maksaa yritykselle vaikka 100 000 euroa päivässä, puhutaan jo tuntuvasta riskistä. Tällaisessa ympäristössä ei yksinkertaisesti ole varaa yllätyksiin."
Verkkojen eristämiseen investoiminen voi tuntua isolta kululta, mutta kun vertaa sitä potentiaalisiin tappioihin, alkaa hinta yhtäkkiä tuntua järkevältä.
"Verkkojen eristäminen on vähän kuin laittaisi useamman oven lukkoon," Kenttälä vertaa. "Jos yksi ovi murretaan, seuraavat lukot hidastavat tai estävät tunkeutujan etenemisen pidemmälle. Tämä antaa yritykselle aikaa reagoida ja minimoida vahingot."
Vakavan tietomurron sattuessa on myös yrityksen kaikkien vastuullisten henkilökohtainen etu, että kyberresilienssiin on kiinnitetty huomiota. NIS2-direktiivin myötä viranomainen on myös määritellyt vastuulle konkreettiset lukuarvot.
Kustannusten ja riskien suhteen arvioiminen on bisneksessä arkipäivää, ja samaa järkeä kannattaa käyttää myös kyberresilienssin kohdalla. Riskien hallinta on investointi, jonka tuotto-odotus on juuri siinä, että pahimman sattuessa kohtalokkaat seuraukset voidaan välttää ja vahingot pysyvät hallittavina.
Mitä johtajan tulisi tehdä nyt?
Kyberresilienssin kehittäminen ei ole monimutkaista, mutta se vaatii järkevää suunnittelua ja päätöksentekoa. Ei tarvitse heittäytyä teknologiauskovaiseksi, vaan kyse on kylmän rationaalisesta riskienhallinnasta. Yritysjohtajien tulisi miettiä, onko nykyisillä kyberturvaratkaisuilla oikeasti merkitystä, kun homma osuu tuulettimeen.
"Tärkeintä on aloittaa jostain," Kenttälä neuvoo. "Kyberresilienssi ei synny yhdessä yössä, mutta jokainen askel vie lähemmäs sitä, että yritys on valmis kohtaamaan nykypäivän haasteet."
Kyse on investoinnista, jolla voi olla suuri tuotto-odotus, kun sitä vertaa riskeihin, joita se auttaa välttämään. Ensimmäiseksi kannattaa määritellä mitkä järjestelmät tai sovellukset ovat liiketoiminnan jatkuvuuden kannalta kriittisiä ja aloittaa luomalla niille palautumiskyky.
Jos esimerkiksi hyökkääjä pääsisi kryptaamaan kaiken datasi, ei vahinko ole massiivinen jos voit yksinkertaisesti palauttaa eilisen varmuuskopion ja lähettää kiristäjälle keskisormi-emojin. Tämä on kyberresilienssin keskiössä: on kallista ja vaikeaa - ellei mahdotonta - tehdä yrityksestäsi haavoittumaton, mutta perustason palautumiskyvyn luominen on varsin suoraviivaista.
Kyberresilienssi on enemmän kuin trendisana
SensorFu:n ja Remodin kaltaiset ketterät kumppanit voivat auttaa yrityksiä navigoimaan näissä kysymyksissä. Yhteistyöllä voimme luoda yrityksestäsi ympäristön ja toimintakulttuurin, jossa kyberuhat kohdataan rohkeasti ja tehokkaasti – ja ennen kaikkea resilienssillä.
Kyberresilienssi on kuin huolellisesti laadittu vakuutuspolitiikka, mutta ilman paperinmakua. Se on kokonaisvaltainen lähestymistapa, joka on välttämätön nykypäivän yrityksille.
Se vaatii oikeanlaisten teknisten ratkaisujen lisäksi myös järkevää ajattelua ja johdon sitoutumista. Tämä on se viesti, jonka Mikko Kenttälä ja me Remodilla haluamme välittää: kyberresilienssi ei ole vain trendisana, vaan rationaalinen ja järkevä investointi yrityksen tulevaisuuteen.
