Yksi palaverini alkoi sanoilla ”en ymmärrä kyberturvallisuudesta mitään!” Monella on sama olo, jos sana kyber esiintyy turvallisuuden yhteydessä. Käytännössä perusasioiden kuntoon laittaminen kyberturvallisuudessa ei välttämättä ole edes hankalaa. Vesihuollon kannalta voidaan ennemminkin puhua laadunhallinnasta, kuin kyberturvallisuudesta. Sillä, että asiat on hoidettu asiallisesti, pääsee jo pitkälle. Kyberturvallisuus lähtee usein siitä, että tunnistetaan toiminnan kannalta keskeiset prosessit. Tämän jälkeen voidaan pohtia niihin liittyviä tietojärjestelmiä. Mitä tapahtuu, jos toimintaan tai järjestelmiin tulee häiriö? Jos häiriöiden hallintaa ei harjoitella, voivat häiriön vaikutukset olla suuremmat. Kuka palkkaisi urheilujoukkueeseensa pelaajan, joka ei ole harjoitellut? Ei kukaan.

Vesihuoltopooli organisoi ja Insta fasilitoi poolin toimijoille kyberturvallisuuden pilottiharjoituksen. Harjoituksesta kerätyn palautteen perusteella voidaan todeta, että harjoitus oli onnistunut! Organisaatiot kokivat, että harjoituksessa tunnistettiin kehityskohteita harjoiteltujen tilanteiden varalle.

Harjoittelu on ainoa tapa tositilanteiden lisäksi nostaa ongelmat esille.

Harjoittelu nostaa esiin varautumisen lillukan varret. Kuinka saamme henkilöihin yhteyden? Miten tulostin käytännössä toimii ilman tietoliikennettä? It-infran ympärillä voi olla pieniä haasteita joiden ympärillä taistellaan, mutta huoltovarmuuskriittisen toiminnan kannalta tärkeämpää on miettiä, miten varmistetaan kriittinen palveluntuotanto häiriö- ja poikkeusoloissa. Se, että tunnistamme omat heikkoutemme on hyvä lähtökohta kehittämiseen. Nyky-yhteiskunnassa olemme kuitenkin yhä riippuvaisempia muista, jolloin myös sidosryhmäriskejä tulisi havainnoida tarkemmin. Miten polttoainetta saadaan varavoimakoneisiin? Miten it-palveluntuottajamme pystyvät tuottamaan palvelut häiriötilanteissa? Kun haasteet ovat yhteisiä, niin ratkaisuja tulee myös pohtia yhdessä.

Mieti ainakin seuraavat asiat harjoitteluun valmistautumisessa:

• Mikä on organisaationne unelmatiimi? Kriisistä riippuen kokoonpano voi vaihdella. Tärkeää on rakentaa johtamisen ympärille myös tukitoiminnot pitämään yllä häiriön tilannekuvaa.
• Ketkä ovat toimintamme kannalta keskeiset sidosryhmät? Voisiko heitä pyytää mukaan harjoitukseen?
• Kriisiviestintäohjeet. Kuka viestii ja kenelle? Sisäisen ja ulkoisen viestinnän merkitys.

Harjoittelun jälkeen on tärkeää, että joku mukana ollut on kirjannut havaintoja ylös, jotta harjoittelusta jää jälkeen muutakin kuin hyvä mieli. Se, että harjoittelussa havaitut epäkohdat tunnistetaan, ei ole riittävää. Niille täytyy myös tehdä jotain.

Jani Voutilainen toimii Kuntaliitossa projektipäällikkönä Palomuuri 1.0 - projektissa kriittisen infran kyberturvallisuuden kehittämisen parissa.

(Kuva:oma arkisto)