Julkisen alan työeläkevakuuttaja Keva varautuu systemaattisesti kyberuhkiin Nixun tuella
Suomen suurin eläkevakuuttaja Keva on sitoutunut kehittämään valmiuksiaan varautua ja reagoida kyberuhkiin. Nixun toteuttama kyberharjoitus toi varmuutta yhtiön toiminnalle tulevien, yllättävien tilanteiden varalle. Harjoituksen keskiössä oli kokonaisvaltainen ymmärrys kriisitilanteen hallinnasta – aina päätöksenteosta viestintään.
Keva huolehtii kunta-alan, valtion, kirkon, Kelan henkilöstön ja Suomen Pankin eläkeasioista. Yhteensä 1,3 miljoonaa julkisen sektorin työntekijää ja eläkkeensaajaa palveleva toimija pitää huolen julkisen alan työeläkevakuutuksista, kunta-alan henkilöstön eläkkeiden rahoittamisesta ja eläkevarojen sijoittamisesta. Lisäksi Kevalla on noin 2 000 työnantaja-asiakasta, kuten kuntaorganisaatioita, valtion työnantajia ja seurakuntayhtymiä – tarve tietoturvalle on siis suuri.
Tietoturvan uhkatilanteiden ennaltaehkäisyssä harjoittelulla on erittäin merkittävä rooli. Nixun järjestämän kyberharjoituksen avulla Kevassa päästiin kunnolla treenaamaan oikeaoppista toimintaa kriisitilanteessa.
Kyberharjoittelu on viisasta varautumista
Nixun harjoituksissa kyberhyökkäystä simuloidaan luomalla kuvitteelliset olosuhteet, joissa häiriön vaikutuksia ja niistä toipumista voidaan harjoitella ja testata. Näin voidaan varmistaa, että poikkeustilanteiden varalle luodut toimintatavat ovat hyviä, tehokkaita ja tarkoituksenmukaisia.
Sen lisäksi että harjoitusten avulla voidaan tunnistaa organisaation vahvuuksia ja heikkouksia, toimivat ne myös kriisiohjeistusten mieleen palauttajina. Koska kriisitilanteet ovat ihmismielelle stressaavia, voi sovittujen toimintatapojen vieminen käytäntöön tuottaa hankaluuksia. Ongelmatilanteissa tulee useita päätöksentekohetkiä, joita varten vastuunjaon ja roolituksen tulee olla selkeää ja tarkkaan harkittua. Tämän vuoksi harjoituksissa korostuvat myös viestintä ja johtaminen.
Kevan kyberharjoituksen keskiöön valikoitui poikkeamanhallintaprosessi IT- ja viestintätiimien kesken. Harjoituksen ensisijaisena tavoitteena oli tunnistaa omaan toimintaan liittyvistä prosesseista, päätöksenteosta ja viestinnästä heikkoja kohtia – ja korjata ne tulevaisuutta varten. Harjoitusskenaariona käytettiin kuvitteellista laajavaikutteista kyberhyökkäystä organisaation järjestelmiin.
Lopputuloksena kirkastunut viestintä ja tehokkaammat prosessit
Harjoituksen tuloksena Keva sai varmistuksen sille, että liiketoiminnan jatkuvuus pystytään turvaamaan myös tietoturvapoikkeamissa ja häiriötilanteissa. Keva sai harjoituksesta muitakin merkittäviä hyötyjä. Sen avulla onnistuttiin parantamaan ymmärrystä laajojen häiriötilanteiden vaikutuksista, kehittämään sisäistä ja ulkoista viestintää sekä selkeyttämään päätöksentekoa ja vastuualueita.
Harjoituksessa tunnistettiin myös kehityskohteita – esimerkiksi yhteistyökumppaneiden ja viranomaisten valtuuttaminen kommunikoimaan keskenään ilman välikäsiä, mikä nopeuttaa päätöksentekoa kriisitilanteessa huomattavasti. Harjoituksen opeilla yhteistyökumppaniviestintää onnistuttiin tehostamaan ja sujuvoittamaan heti yhteistyön alusta lähtien.
Kyberharjoittelusta osa vuosikelloa
Kevassa on tunnistettu, että maailman digitalisoituessa päivä päivältä enemmän on jatkuva kyberharjoittelu ensiarvoisen tärkeää. Siksi organisaatio onkin sitoutunut vuosittain järjestettävään harjoitteluun. Näin Kevassa huolehditaan siitä, että kyberuhkiin osataan varautua aina vallitsevan ympäristön vaatimalla tavalla.
”Harjoituksessa korostui niin viestintä eri liiketoimintojen kesken kuin yhteistyökumppaneiden ja viranomaisten välillä”, kertoo Anu Laitila, Nixun Cybersecurity Awareness -yksikön Business Manager. ”Sen lisäksi ulkoiseen viestintään panostettiin. Löysimme kuitenkin muutamia kehityskohteita, joilla erityisesti kumppaneiden välistä viestintää voidaan tehostaa. Kuten voimme huomata tuoreesta kyberturvan ympärillä pyörineestä uutisoinnista, on viestinnällä niin sisäisesti kuin ulkoisestikin iso merkitys. Huonosti hoidettu viestintä voi aiheuttaa suuria haasteita organisaatiolle, kun taas hyvin hoidettu viestintä auttaa organisaatioita muun muassa säilyttämään asiakkaidensa luottamuksen”, Laitila summaa.
Kevan tietoturvapäällikkö Juha Mäkinen jatkaa: "Kyberharjoituksessa selvisi, että Kevalla on vahva osaaminen ja kyky viedä kriisitilannetta tavoitteellisesti eteenpäin. Tämä on mahdollista, jos kaikki asiaa selvittävät ja viestittävät henkilöt ovat tavoitettavissa kuten nyt harjoituksessa. Oikeassa tilanteessa tämä ei aina ole mahdollista vaan Kevan pitää luoda vieläkin vahvemmat yhteistyöverkostomallit tietoturva- ja tietotekniikkakumppaneidensa kanssa.
Nyt toteutettu sekä aikaisemmatkin harjoitukset ovat luoneet jo hyvän rutiinin, jolla asioita viedään eteenpäin, ja tuoneet esille myös mm. päätöksentekoon liittyviä tarkennuksia. Seuraavalla kerralla harjoitusskenaariota vielä monimutkaistetaan, mm. lisäämällä osallistujatahoja. Harjoittelu todella kannattaa!", Mäkinen vahvistaa.