Takaisin ajankohtaisiin

Jatkuvuutta ja riskienhallintaa – kyberillä ja ilman

Tammikuu 28, 2013 at 10:30

Kansallisen kyberturvallisuusstrategian julkaisupäivänä otsikoi Helsingin Sanomat STT:a lähteenään käyttäen seuraavasti: Helsingin rautatieasemat pimentänyt vika johtui möhläyksestä. Jutun mukaan Helsingin ja Pasilan rautatieasemat 9.1.2013 pimentänyt sähkövika johtui ohjeistuksen laiminlyönnistä maankairaustöissä. Syylliseksi tapahtuneeseen jutussa mainittiin maankairaaja, joka ei ollut asianmukaisesti selvittänyt kaapelien sijaintitietoja.

Lehtitietojen mukaan sähkövika pimensi Helsingin ja Pasilan asemat tunneiksi, keskeytti lippujen myynnin ja esti Liikenneviraston kuulutukset ja infojärjestelmän toiminnan useilla asemilla eri puolilla Suomea. Ja tuon tuhansiin ihmisiin vaikuttaneen poikkeustilanteen aikaansaamiseen ei tarvittu vieraan valtion kyberhyökkäystä. Työmaallaan urakoinut kairanpyörittäjä riitti.

Mikäli tuoreen kyberpuolustusstrategian merkitys yrityksille ja yhteiskunnalle tuntuu vielä epäselvältä, voisi yksinkertaisena lämmittelyharjoituksena miettiä riskejä, jotka uhkaavat toiminnan jatkuvuutta jo ihan normaalioloissakin.

Jokaiseen järjestelmään ja prosessiin vaikuttaa uhkia, jotka toteutuessaan voivat aiheuttaa vakavia häiriöitä tai jopa kokonaan keskeyttää toiminnan.

Mitä tapahtuneesta sähkökatkosta sitten olisi syytä oppia?

Ainakin se, että mm. kaikkien liiketoimintavastuullisten, prosessinomistajien, palveluntuottajien ja järjestelmien omistajien on syytä varmistua, että erilaisiin riskeihin on varauduttu riittävästi. Sähkönsyöttö kriittisille järjestelmille ei saa katketa, vaikka kaapeli katkeaisikin. Erityisesti pitemmän ajan kuluessa vaiheittain kehitetyt järjestelmät voivat olla haavoittuvia, koska selkeää kokonaiskuvaa tilanteesta ei välttämättä ole kenelläkään eikä kattavaa riskien arviointia toteutuksesta ole välttämättä koskaan tehty.

Yrityksissä onkin erittäin suositeltavaa

  • Tehdä liiketoiminnan vaikutusanalyysi, eli käydä järjestelmällisesti läpi organisaation koko toiminta ja tunnistaa liiketoimintakriittiset palvelut ja järjestelmät 
  • Suorittaa riskien arviointi, eli tunnistaa riskit ko. palvelujen ja järjestelmien toimivuudelle 
  • Käydä läpi suunnitelmat ja toteutus, eli kartoittaa kohdat, jossa yksittäisen komponentin aiheuttama häiriö pystyy haittaamaan toimintaa
  • Laatia jatkuvuussuunnitelma ja määritellä ratkaisut havaittujen riskien pienentämiseksi siedettävälle tasolle
  • Testata varajärjestelmien toiminta säännöllisesti ja parantaa suunnitelmia saatujen kokemusten perusteella

Kaikki tämä on myös hyvää pohjatyötä kansallisen kyberturvallisuusstrategian toteuttamisen kannalta. Mietittäessä liiketoiminnan jatkuvuusriskejä päästään samalla hyvään alkuun kyberuhkien torjunnassakin.