Kyberuhkiin varautuminen on entistä suurempi osa yritysten riskienhallintaa. Tietovuotoja ja kyberhyökkäyksiä ei kuitenkaan aina voi ehkäistä, jolloin kriisinhallintaan ja viestintään täytyy kyetä panostamaan ennakoivasti. Aiheeseen pureuduttiin torstaina 3.3.2021 DIF-webinaarissa, jossa Aalto-yliopiston kyberturvallisuuden työelämäprofessori Jarno Limnéll ja Tekir Oy:n hallituksen puheenjohtaja, viestintäkonsultti Harri Saukkomaa kertoivat tietovuotoihin, kyberuhkiin varautumisesta ja viestinnästä. Noin 70 DIFin jäsentä keränneessä webinaarissa keskusteltiin myös hallituksen ja johdon tehtävistä kriisin eri vaiheissa sekä suhteesta mediaan.
Asiantuntijakumppani Tekirin toimitusjohtaja Mikko Hämeenniemi avasi tilaisuuden, esitteli puhujat ja toivotti osallistujat tervetulleiksi.
Omassa esityksessään Limnéll totesi, että elämme kahdessa maailmassa: fyysisessä ja digitaalisessa toimintamaailmassa, jotka linkittyvät koko ajan enemmän toisiinsa. Kyberturva on jatkuva prosessi eikä koskaan pelkkä ”ensimmäisen kvartaalin kertaponnistus”. Kaikkeen ei voi varautua täydellisesti, mutta poikkeustilanteissa täytyy osata toimia sekä pitää resilienssi ja henkinen kriisikestävyys korkealla. Asiakkaiden luottamukseen sekä yrityksen arvoon ja brändiin vaikuttaa vahvasti, miten poikkeustilanteisiin osataan ja on osattu varautua. Tutkimusten mukaan hyvin hoidettu kriisi voi kääntyä parhaimmillaan jopa voitoksi. Limnéllin mukaan suomalaiset ovat kriiseissä ja johtajuudessa pragmaattisia mutta henkisellä puolella on usein kehittämistä. Kaiken keskiössä on luottamus. Myös objektiivinen todellisuus ja subjektiiviset mielikuvat todellisuudesta eivät aina kohtaa. Limnéll varoittikin disinformaation vaikutuksista, sillä pelkästään sen takia koronapandemian aikana on kuollut tuhansia ihmisiä.
Saukkomaan mukaan monenlaiset kriisit alkavat olla jo hyvin tavanomaisia. Viestintäkriisien tuntomerkit ja elinkaaret ovat hyvin samanlaisia, vaikka kaava on lähes aina erilainen. Organisaation kriisitoiminnan täytyy tulla selkärangasta, vaikka kokonaiskuvaa on usein hankala hahmottaa. Yrityksen ja hallituksen on rikoksen uhrinakin kannettava vastuu juridisista seurauksista ja ilmoitusvelvollisuudesta. Myös kyber- ja viestintätoimijoiden on kyettävä keskustelemaan keskenään ymmärrettävästi. Saukkomaa kävi läpi myös case-esimerkkejä.
Hallituksen täytyy olla valppaana ja aktiivisesti varmistua, että johto kykenee hoitamaan ongelmatilanteet. Hallitus ei voi astua esiin johdon ohitse, ellei johto ole täysin lamaantunut tai itse epäiltynä rikoksesta.
Saukkomaa esittelikin hallituksille 11 kohdan muistilistan, miten toimia kyberkriisin iskiessä:
- Varmista, että resurssit ja osaaminen riittävät.
- Varmista, että sisäinen yhteistyö toimii.
- Vaadi ihmisen kieltä, joka herättää luottamusta. Älä pakene jargoniin.
- Pyydä anteeksi, mutta tee se rehellisesti. Ja kohdenna se oikein.
- Keskity asiakkaisiin, henkilöstöön, omaan mediaan.
- Älä keskity syyllisiin.
- Ymmärrä median toiminta. Älä taistele, mutta puolusta oikeuksiasi. Älä keskity liikaa mediaan.
- Vaadi järjestäytymistä kriisin mukaisesti.
- Luo luottamusta.
- Muista, että kaikilla on tunteet.
- Harjoittele, simuloi. Koko ajan. Myös viestintää. Luo kulttuuria, joka on hereillä.
Kyberuhkia torjutaan ja ehkäistään päivittäin, eivätkä ne tule julkisuuteen. Rikollisten toimijoiden ja valtiollisten vaikutusyritysten ohella nykyään myös kilpailijat kampittavat kybermaailmassa toisiaan yhä enemmän.
Yleisökysymyksissä esiin nousivat kybervakuutukset, joiden Limnéll uskoo olevan pian Suomessakin hyvin normaali vakuutusmuoto. USA:ssa ne ovat jo valtava bisnes ja useimmat ilmiöt rantautuvat nopeasti Eurooppaan, joten ennakointia voi tehdä monella sektorilla seuraamalla Yhdysvaltojen tilannetta. Keskusteluun nousi myös valkohattuhakkereiden hyödyntäminen, eli turvallinen tietoturvan testaaminen sekä myös fyysiset turvallisuussimulaatiot.
Tilaisuuden esitysmateriaali ja videotallenne löytyvät DIFin jäsensivujen Videotallenteet-sivulta (vaatii kirjautumisen). Esitysmateriaali löytyy kirjautuneille myös tämän artikkelin jälkeen.