Verkkorikollisten motiivit vaihtelevat aatteesta rahaan, teollisuusvakoilusta poliittiseen vaikuttamiseen. Organisaation riskiin vaikuttavat hyökkäyksen tavoite ja yrityksen toimiala. Mutta yksikään yritys ei ole niin pieni tai huomaamaton, että se olisi hyökkääjien tutkan alapuolella ja turvassa.
– Uhka ei välttämättä kohdistu suoraan pääkohteeseen, sillä usein helpompi väylä saattaa löytyä kumppaniverkostosta tai sidosryhmistä. Yrityksen on ymmärrettävä oman toimialansa erityispiirteet ja tunnettava koko toimintaympäristö. Yritysten varautuminen vaihtelee. Riskit usein ymmärretään, mutta osataanko arvioida vaikutuksia ja ymmärtääkö johto, että liiketoiminta on riippuvainen kyberturvallisuudesta, JYVSECTEC:n Chief Technology Officer Marko Vatanen kysyy.
Liiketoiminnan jatkuvuuden takaamiseksi on tärkeää tunnistaa organisaation toimintaan liittyvät riskit ja liiketoiminnan haavoittuvuudet sekä varmistaa ydinliiketoimintojen toipuminen kriisin jälkeen. Pitkät riippuvuusketjut eri palveluiden tai toiminteiden välillä tekevät ympäristöstä monimutkaisen ja vaikeuttavat poikkeamatilanteiden vaikuttavuuden arvioimista liiketoiminnalle.
Kyberturvallisuuspoikkeamalla saattaa olla fyysisiä vaikutuksia tai se vaikuttaa ainoastaan digitaaliseen ulottuvuuteen.
Kyberriskeihin voi varautua
Kyberharjoitus on tehokas väline sekä organisaation kybervalmiuden ja häiriönsietokyvyn arviointiin että organisaation kriittisten toiminteiden turvaamisen kehittämiseen.
Kyberturvallisuusharjoituksessa saadaan käytännön kokemusta poikkeamatilanteiden hallinnasta ja tunnistetaan kehityskohteita realistisessa ja eristetyssä ympäristössä.
Tavoitteena on parantaa osallistuvien organisaatioiden mahdollisuuksia havaita oman toimintansa ja järjestelmiensä haavoittuvuuksia ja kyberturvallisuuspoikkeamia sekä estää tai lieventää niiden vaikutusta liiketoiminnalle. Lisäksi harjoitus kehittää henkilöstön osaamista ja organisaation häiriönsietokykyä. Ihmiset, prosessit ja teknologia integroidaan suojaamaan tehokkaasti yrityksen kriittisiä tietoja, palveluita ja resursseja.
Harjoitukselle asetetut tavoitteet määrittävät harjoiteltavat osa-alueet sekä harjoituksen muodon. Eri harjoitustyypit palvelevat eri tavoitteita organisaation toimintakyvyn kehittämisessä. Harjoituksien tuloksena organisaatio tunnistaa heikkouksia ja osaamiskapeikkoja, kasvattaa henkilöstön osaamista, lisää tietoisuutta eri uhista ja mahdollistaa yhteistoiminnan harjoittamisen eri kumppaneiden ja alihankkijoiden kanssa.
– Kyberharjoitukset toimivat kuten valmiusharjoitukset tai pelastautumisharjoitukset, ne vahvistavat organisaation kokonaisvaltaista varautumisvalmiutta digitaalisen maailman uhkia vastaan, Marko Vatanen muistuttaa.
