Nykyaika vaatii organisaatiolta resilienssiä

Taustaa

Viimeisin kirjoitus tässä blogissa käsitteli Colonial Pipelinen kohtaamaa kyberhyökkäystä, sen vaikutuksia ja sitä miten se kuvaa yhteiskuntaamme. Tuorein REvil-ryhmittymän tekemä kiristyshaittaohjelmahyökkäysten sarja Kaseya-hallinnointiohjelmiston kautta alleviivaa jälleen sitä, millaisia lainalaisuuksia nyky-yhteiskunta ja kyberrikollisuus asettavat meille. Ainakin 1500 organisaatiota joutui hyökkäyksen uhriksi, ja vaikutukset kertautuivat verkottuneiden toimitusketjujen kautta. Esimerkiksi ruotsalainen COOP-ketju joutui sulkemaan 800 ruokakauppaansa, vaikka eivät itse joutuneet hyökkäyksen uhriksi. Uhri oli heidän maksujärjestelmänsä toimittaja.

Lainaan viime kirjoituksesta olennaisimman huomion siitä, mitkä lainalaisuudet meidän tulee yhteiskuntana hyväksyä:

  1. Yhteiskuntamme digitalisoituminen tarkoittaa sitä, että yhä suurempi osa prosesseista ja infrastruktuurista on kytköksissä verkkoon tavalla tai toisella
  2. Näiden keskinäisriippuvuus johtaa siihen että ongelma yhdessä verkossa voi johtaa ongelmiin monissa muissa verkoissa, ja sitä kautta niihin kytköksissä olevissa prosesseissa ja infrastruktuurissa
  3. Kyberrikollisuus ja valtiollinen kybervaikuttaminen lisääntyvät ja ovat tulleet jäädäkseen

Nämä lainalaisuudet tulee hyväksyä myös organisaatioissa: organisaatiot kun ovat osa yhteiskuntaa. Siksi tässä kirjoituksessa käsitellään sitä, miten organisaatiot voivat rakentaa toimintansa näille lainalaisuuksille. Oikeanlainen ajattelutapa, varautuminen sekä operatiivinen kyvykkyys ovat avaintekijöitä toiminnan jatkuvuudelle myös vaikeissa kyberpoikkeamissa. Tätä ajattelutapaa, varautumista ja operatiivista kyvykkyyttä on hyvä pohtia resilienssi-käsitteen kautta (määritellään seuraavassa kappaleessa). Tämä kirjoitus käsittelee siten organisaatiotason resilienssiä kyberpoikkeamia vastaan. Seuraava kirjoitus puolestaan käsittelee yhteiskunnallista resilienssiä.

Resilienssi

Resilienssillä on vapaasti kääntäen seuraavat sanakirjamääritelmät (Merriam-Webster):

  1. Kappaleen kyky palautua alkuperäiseen muotoonsa ja kokoonsa stressin jälkeen
  2. Kyky palautua tai sopeutua helposti muutokseen tai epäonnisiin tapahtumiin

Organisaation resilienssi on puolestaan määritelty esimerkiksi Lengnick Hall et al. (2011) toimesta organisaation kykynä ottaa vastaan organisaation toimintaa (ja mahdollisesti jopa olemassaoloa) uhkaavia disruptiivisia yllätyksiä, kehittää niihin tilannesidonnaisia vastauksia ja lopulta tehdä muutoksia jotka mahdollistavat uuden tilanteen hyödyntämisen.

Määritelmistä käy siis ilmi että resilienssi tarkoittaa karkeasti ottaen organisaation kykyä reagoida häiritseviin tapahtumiin ja muutoksiin. Mitä enemmän resilienssiä, sitä pienempi yksittäisen haitallisen tapahtuman lopullinen vaikutus toiminnalle on. Mitä vähemmän resilienssiä, sitä suuremman uhan haitalliset tapahtumat muodostavat. Moni lukija varmaan huomasikin jo, että käsite kytkeytyy sinänsä hyvin riskienhallintaan: hyvin toteutettu riskienhallinta kun pyrkii ratkaisemaan myös resilienssiin liittyviä ongelmia. Pieni resilienssi on suuri riski.

Resilienssi käytännössä

Teoria ja määritelmät sikseen: mitä resilienssi tarkoittaa oikeassa elämässä kyberpoikkeamia kohtaavalle organisaatiolle?

Aivan ensiksi on syytä korostaa että organisaatioita on erilaisia, ja siksi ne tarvitsevat erilaista resilienssiä erilaisia uhkia vastaan. COOP-ketjun esimerkki osoittaa että maksupäätteiden käyttömahdollisuuden menettäminen aiheuttaa koko ketjun laajuisen, satojen liikkeiden toimintakatkon. Esimerkiksi kunnan menettäessä maksupäätteet kunnan toiminta jatkuu pitkälti entisellään. Joillekin organisaatioille kyberhyökkäyksestä / tietomurrosta johtuvat suorat ja epäsuorat taloudelliset kustannukset eivät ole ongelma: jotkut yritykset saattavat joutua niiden takia konkurssiin (Vastaamo hyvänä esimerkkinä).

Käytännössä organisaation resilienssi kyberpoikkeamia vastaan tarkoittaa siis kykyä ottaa poikkeamat vastaan mahdollisimman vähin vaurioin ja palautua niistä nopeasti ja tehokkaasti. Täytyy huomata, että tämä ei tarkoita organisaation kykyä välttää kaikkia kyberpoikkeamia, vaan sitä miten toteutuneista selvitään. Lisäksi resilienssi vaatii kykyä reagoida esimerkiksi Kaseya-hyökkäysten tapaisiin toimitusketjun kautta tuleviin epäsuoriin vaikutuksiin. Kuten todettua, elämme verkottuneessa yhteiskunnassa.

Resilienssistä voidaan nostaa esiin seuraavia avaintekijöitä:

  1. Vastaanottokyky: millaisia vaikutuksia on odotettavissa missäkin skenaariossa? Miten nämä vaikutukset kyetään ottamaan vastaan? Millaisia seurauksia ei voida hyväksyä?
  1. Tilannekuva ja havainnointikyky: kykenemmekö havaitsemaan olevamme poikkeustilanteessa ennen kuin se on ilmiselvää? Tiedämmekö mitä tapahtuu? Kyetäänkö havaintoja käyttämään apuna tilanteen torjunnassa?
  1. Operatiivinen kyvykkyys: miten organisaatio toimii kohdatessaan kriisin, vai tuleeko poikkeamasta kriisiä ollenkaan? Ovatko prosessit, varajärjestelmät jne. valmiina? Onko toimintaa harjoiteltu, ovatko toimintasuunnitelmat olemassa ja kaikkien tiedossa?
  1. Toiminnan jatkuvuus: joudutaanko varautumisesta huolimatta kriisin edessä poikkeustilaan? Joudutaanko toimintoja ajamaan alas? Minkä toimintojen jatkuvuus on tärkeintä turvata?
  1. Nopeus: kuinka nopeasti toiminnassa päästään takaisin normaaliin, tai lähelle sitä? Kuinka nopeasti voimme reagoida esimerkiksi nollapäivähaavoittuvuuksiin?
  1. Palautuminen: antavatko ylläolevat tekijät organisaatiolle kyvyn selvitä tilanteesta, palautua ja järjestää toiminta saatujen oppituntien perusteella vielä paremmin?

Ylläolevista kysymyksistä huomaa, että toimiva riskienhallinta ja uhkamallinnus luovat pohjaa resilienssille. Resilienssiä onkin syytä lähteä selvittämään oman organisaation luonteen, toiminnan ja toimintaympäristön sekä uhkien pohjalta. Hyvä ymmärrys näistä on ehdoton vaatimus sille, että käytännön varautumista ja operatiivista kyvykkyyttä (resilienssin rakennuspalikoita) voidaan kehittää.

Palataanpa COOP:n esimerkkiin. Korostan että tarkoitus ei ole olla jälkiviisas, ainoastaan analysoida tilannetta. Osa kaupoista saatiin osittain auki siten, että asiakkaat ostivat tuotteensa COOP:n mobiilisovelluksen kautta. Tämä vaikuttaa ennalta suunnittelemattomalta sopeutumiselta hankalaan tilanteeseen: mikäli toimintamalli olisi sellainen johon olisi varauduttu, se olisi luultavasti ollut paljon laajemmin käytössä. Kyse on kuitenkin selvästi jonkinlaisesta resilienssistä: tilanteeseen kyettiin reagoimaan.

Miten tällaiseen tilanteeseen sitten voi varautua? Sisäisten järjestelmien ja prosessien toiminnan jatkuvuuden tarpeen ja sen varmistamiseen liittyvien kyvykkyyksien selvittäminen on toki ensiarvoisen tärkeää. Mutta COOP:n esimerkin perusteella yhtä tärkeää on myös selvittää ulkoiset riippuvuudet ja pohtia tilannetta myös niiden valossa. Tämän analyysin pohjalta voidaan lähteä rakentamaan uusia toimintamalleja.

Esimerkiksi COOP:n tapauksessa kyseeseen olisi voinut tulla sovellusmaksamisen kirjaaminen varavaihtoehdoksi tavallisen maksupäätteen ohelle, ja kriisitilanteen harjoittelu mahdollisesti jopa oikealla liikkeellä ja oikeilla asiakkailla. Harjoittelun jälkeen havainnot voidaan kirjata ylös, prosessia korjata toimivammaksi ja parhaassa tapauksessa saada joka liikkeeseen toimiva kriisisuunnitelma tämänkaltaisille poikkeustilanteille. Oikean poikkeustilanteen sattuessa kaupat onnistutaan parhaassa tapauksessa pitämään auki, vaikka toiminta ja myyntiluvut eivät aivan normaaleja olisikaan.

Ylläoleva on toki esimerkinomaista pohdintaa ihannetilanteesta. Jokaiselle riskille ja uhalle ei vastaavanlaista prosessia voi tehdä yksinkertaisesti resurssien puutteen takia. Siksi onkin erityisen tärkeää tunnistaa potentiaaliset riskit ja skenaariot ja niiden mahdolliset vaikutukset, ja priorisoida tärkeimmät toimenpiteiden kohteeksi. Useimmiten ne skenaariot jotka vaativat kipeimmin toimenpiteitä ovat juuri niitä, joiden kohdalla resilienssi on erityisen heikko tai käytännössä olematon.

Lisäksi täytyy huomata, että monissa skenaarioissa monta riskiä toteutuu yhtä aikaa. On todennäköistä joutua ratkaisemaan useaa ongelmaa kerrallaan puutteellisilla tiedoilla ja mahdollisesti jopa työkaluilla (työkalu saattaa olla poissa käytöstä hyökkäyksen takia). Tässä korostuu jälleen perusteellisen varautumisen, suunnitelmien tekemisen ja harjoittelun merkitys. Tilanteessa toimimista ei kannata opetella itse tilanteessa, vaan aiemmin.

Yhteenveto

Nykymaailmassa ennaltaehkäisevä kyberpuolustus ei enää riitä. Emme voi organisaatiotasolla tuudittautua siihen että saisimme aina kyberhyökkäykset torjuttua (vaikka hyvä ennaltaehkäisevä puolustus onkin erittäin tärkeää). Joskus hyökkääjä onnistuu murtautumaan puolustuksen läpi, tai hyökkää toisen organisaation kimppuun josta hyökkäys tai sen vaikutukset leviävät myös omaan verkkoon.

Resilienssi auttaa organisaatioita varautumaan kyberriskeihin tavalla joka vähentää niiden vaikutusta ja nopeuttaa organisaation pääsemistä takaisin jaloilleen. Resilientti organisaatio välttää helpommin konkurssit, suuret taloudelliset seuraukset ja laajat toiminnan häiriöt.

Resilienssiajattelua voi soveltaa myös muihinkin kuin kyberriskeihin, esimerkiksi koronapandemian aikana on ollut havaittavissa miten osa esimerkiksi palvelualan organisaatioista oli alkushokin jälkeen nopeasti jaloillaan toteuttamassa uudenlaisia toimintamalleja. Resilientti organisaatio saakin todennäköisesti myös pitkässä juoksussa kilpailuetua vähemmän resilienttejä organisaatioita kohtaan.

On toivottavaa, että suomalaisissa organisaatioissa siirryttäisiin hiljalleen toimivaan riskienhallintaan, ja sitä kautta rakennettaisiin myös resilienssiä. Selvisimme tuoreimmasta Kaseya / REvil-hyökkäyksestä ilmeisesti säikähdyksellä. Seuraavasta emme välttämättä selviä yhtä helposti. Jokainen organisaatio voi osaltaan tehdä töitä sen eteen, että organisaatio itse (ja sen sidosryhmät) kärsivät mahdollisimman vähän kyberrikollisuudesta.

Entä yhteiskunnallinen näkökulma? Siitä lisää seuraavassa kirjoituksessa.

Voit helposti varata ajan keskustellaksesi asiantuntijamme kanssa

Jätä yhteydenottopyyntö ja palaamme sinulle puhelimitse tai sähköpostitse

Kategoria Blogi, Näkökulma