TIETO22: kyberuhkiin varaudutaan yhdessä
TIETO22 on laaja kyberturvallisuusharjoitus, jossa kehitetään varautumista ja erityisesti yhteistyötä häiriötilanteissa yritysten ja viranomaisten kesken. Suomen kansainvälisestikin poikkeuksellisena vahvuutena on yksityisen ja julkisen sektorin luottamuksellinen yhteistyö.
Viranomaisten rooli myös kyberturvallisuudessa on koordinoida asioita eri hallinnonalojen välillä ja luoda yhteinen kyberturvallisuuden tilannekuva. Yrityksillä taas on kyky suojata tietojärjestelmiä ja -infraa kyberhäiriöiltä ja -hyökkäyksiltä.
Viestintäverkot ovat kriittistä infrastruktuuria. Kansalaisten luottamus viestintäverkkoihin on teleyritysten liiketoiminnan ydin, ja teleyritykset huolehtivat tarkkaan palveluidensa tietoturvasta sekä varautuvat erilaisiin häiriö- ja vikatilanteisiin.
Koronapandemia laittoi viestintäverkot todelliseen testiin. Verkot toimivat hyvin ja kestivät lisääntyneen kuormituksen erinomaisesti. Teleyritykset ovat koronaepidemian alkamisen jälkeen jatkuvasti kehittäneet kriisinsietoprosessejaan ja panostaneet entistäkin enemmän viestintäverkkojen ja -palveluiden kyberturvallisuuteen. Samalla yritysten kyvykkyys tunnistaa kyberuhkia lisääntyy jatkuvasti. Tästä on paljon hyötyä myös nyt, kun Venäjän aloittamat brutaalit sotatoimet ulottuvat myös hybridisodankäyntiin ja verkkohyökkäyksiin.
Kyberhäiriötilanteissa otettava huomioon lukuisia lakeja
Yritykset tekevät erilaisia varautumistoimia sekä oma-aloitteisesti että lainsäädännön velvoittamana. Suomessa viestintäverkkojen turvallisuus- ja varautumissääntely ei ole uutta, vaan sillä on pitkät perinteet. Sääntely on hyvin kattavaa: kyberhäiriötilanteessa on otettava huomioon mm. laki sähköisen viestinnän palveluista, EU:n verkko- ja tietoturvadirektiivi sekä EU:n yleinen tietosuoja-asetus. Niin ikään rikos- ja esitutkintalait ohjaavat poliisin ja syyttäjän toimintaa kyberhäiriötilanteissa. Lisäksi Liikenne- ja viestintävirasto Traficom on antanut useita määräyksiä ja suosituksia viestintäverkkojen tietoturvasta.
Osana TIETO22-harjoitusta FiComin juristi Asko Metsola koulutti yhteiskunnan keskeisiä palveluita tuottavien yritysten työntekijöitä tunnistamaan kybertilanteisiin vaikuttavaa lainsäädäntöä ja ottamaan sen huomioon häiriötilanteessa.
”On tärkeää, että sekä kyberturvallisuudestaan huolehtivat yritykset että IT- ja tietoturvapalveluiden tarjoajat ovat selvillä, millaisia asioita kyberturvallisuuden kannalta on otettava huomioon. Lainsäädäntö määrittää toimia, joita voi ja pitää tehdä etukäteen, palvelun tavanomaisessa ylläpitovaiheessa sekä mahdollisen häiriötilanteen sattuessa” muistuttaa Asko Metsola.
FiComin verkkosivuilta löytyy yhdessä Huoltovarmuusorganisaation Digipoolin kanssa tehty ohjeistus organisaatioille kyberhäiriötilanteisiin varautumisesta ja niissä toimimisesta sekä tiivistelmäkuvat suosituksista niin IT- ja tietoturvaplveluiden tarjoajille kuin kyberturvallisuudestaan huolehtiville yrityksillekin.
Kaikki kyberhäiriöt eivät nykyäänkään ole hyökkäyksiä, vaan valtaosa häiriöistä johtuu edelleen erilaisista vioista ja virheistä, joihin hyvä varautuminen ennakolta nopeuttaa niistä toipumista.
TIETO22-harjoituksen organisoinnista vastaa Huoltovarmuusorganisaation Digipooli yhteistyössä Traficomin Kyberturvallisuuskeskuksen kanssa. Varautumiseen ja turvallisuuteen on Suomessa kiinnitetty huomiota pitkään: ensimmäinen TIETO-harjoitus järjestettiin jo 1980-luvun lopulla.