Kyberuhkia tarkastellaan yhtiöissä usein puhtaasti tietosuojan ja -turvan näkökulmasta. Samalla kyse on kuitenkin taloudellisesta, toiminnallisesta, juridisesta ja viestinnällisestä riskistä. Pahimmillaan koko yrityksen olemassaolo on uhattuna.
Yritysten vastuuhenkilöt ovatkin heränneet riskien vakavuuteen. Tästä kertoo osaltaan, että tietoturvayritykset ovat viime aikoina kertoneet palveluidensa kasvaneesta kysynnästä. Uhkiin varautuessa olisi samalla tärkeätä varmistaa, että yrityksellä on valmius nopeaan ja hallittuun viestintään.
Vakavissa kyberuhkatapauksissa yhtiö tyypillisesti ilmoittaa asiasta viranomaisille, kuten tietosuojavaltuutetulle, Kyberturvallisuuskeskukselle, poliisille ja toimialaa valvovalle taholle. Tietyissä tilanteissa laki myös velvoittaa viestimään suoraan tietoturvaloukkauksen kohteeksi joutuneille henkilöille ilman aiheetonta viivästystä.
Eteen saattaa myös tulla tilanne, jossa poliisi määrää tutkintateknisistä syistä yhtiötä olemaan viestimättä tapahtuneesta. Näissäkin tilanteissa viestintä on käynnistettävä heti, kun tutkinnan tilanne sen sallii. Monella organisaatiolla ei kuitenkaan ole kykyä viestiä nopeasti ja tietoturvallisesti rekistereissään oleville.
Lisäksi tilannekuva on usein epäselvä. Ei tiedetä tarkkaan mitä on tapahtunut tai milloin. Ei tiedetä, mitä kaikkia tietoja on vaarantunut. Ei tiedetä, keitä kaikkia tietototurvaloukkaus koskee.
Silti tilanteessa olisi viestittävä nopeasti ja täsmällisesti. Kaikkein pahinta on, jos yhtiö joutuu muuttamaan jo kerrottua tarinaa – silloin johdon tulkitaan helposti valehdelleen. Täydentää kertomustaan toki voi, mutta uusien tietojen pitää olla linjassa aiemmin kerrotun kanssa.
Johdon paineet ja työkuorma saattavat tilanteen keskellä kasvaa epäinhimilliseksi. Media pommittaa haastattelupyynnöillä, sosiaalisen median keskustelu on räjähtänyt ja asiakaspalvelu ruuhkautunut. Henkilöstö ahdistuu, kun joutuu lukemaan median ja somen spekulaatiota tilanteen taustoista. Parhaat työntekijät saattavat tässä tilanteessa herkästi jättää yhtiön.
Päätöksiä ei tilanteessa voi ulkoistaa, mutta asiantuntija-apua kannattaa hankkia. Tilanteessa tarvitaan usein ulkoisia neuvonantajia niin tietoturvan, juridiikan, compliancen kuin viestinnän osalta. Mahdolliset yhteistyötahot kannattaa kartoittaa jo etukäteen.
Tärkeintä tietysti on, että yhtiöt varautuvat etukäteen poikkeustilanteisiin ja kasvattavat oman organisaationsa osaamista ja valmiuksia. Esimerkiksi julkisen hallinnon toimijat ovat jo useamman vuoden osallistuneet digiturvaharjoitukseen. Sen yhteydessä harjoitellaan myös viestintää.
Varautumisen tasossa on merkittäviä eroja eri organisaatioiden välillä. Kyse on tietenkin myös resursseista: pienemmillä toimijoilla ei välttämättä ole samanlaisia mahdollisuuksia riskien tunnistamiseen, suunnitelmien luomiseen ja harjoitteluun kuin pörssiyrityksillä tai suurilla julkisen hallinnon organisaatioilla.
Kaikkien yritysten tulisi kuitenkin ottaa varautuminen johdon ja hallitusten agendalle. Varautumista voi verrata vakuutuksen ottamiseen: moni ei sitä koskaan tarvitse, mutta monesti ne, joilta se puuttuu ovat juuri niitä, joille hyöty olisi ollut kaikkein suurin.
Tuukka Hetemäki
Johtava asiantuntija