Kyberuhkista selvitään vain yhteistyöllä

Maailma muuttuu ja globaaleista kyberuhkista on entistä vaikeampaa selvitä omin avuin. Siksi myös niihin liittyvää tietoa, kokemuksia ja osaamista kannattaa jakaa ja hyödyntää, olipa kyse julkisesta sektorista tai yritysorganisaatiosta.

Tätä viestiä korostivat amerikkalaiset ilmavoimien ex-upseerit ja kyberturvakonsultit Timothy Franz ja Chris Fogle, jotka olivat syyskuun lopulla puhujina ja työpajan vetäjinä Helsingin seudun kauppakamarin, Keskuskauppakamarin ja Enterprise Europe Networkin kyberturvatilaisuudessa.

Everstiksi sotilasurallaan edennyt Timothy Franz on luotsannut viime vuodet perustamaansa Talos Forge-yhtiötä. Majurina eläkkeelle jääneen Chris Foglen perustamia asiantuntijayrityksiä ovat puolestaan Delta Risk ja CyVantage.

Molemmat miehet ovat uudella työurallaan olleet rakentamassa ja kohentamassa Yhdysvaltojen kybervalmiutta ja -turvallisuutta.

Alkutahdit yhteisharjoituksesta

Chris Foglen mukaan amerikkalaisten ”kyberkellot” alkoivat soida toden teolla vasta vuonna 2012 järjestetyn simulaatioharjoituksen myötä. Tuolloin saman pöydän ääreen saatiin valtion- ja paikallishallinnon edustajat sekä kaikki keskeiset energia-, vesihuolto-, it- ja tietoliikenne- sekä logistiikkatoimijat.

”Se herätti tosiasialle, että myös Yhdysvallat ja sen kriittinen infrastruktuuri voivat jonain päivänä olla laajan kyberiskun kohteena. Samalla alettiin miettiä, kenellä on tällaisissa kriisitilanteessa ensisijainen reagointi- ja toimeenpanovastuu – onko se poliisilla, palokunnilla, armeijalla vai aluehallinnolla”, muisteli kyseistä harjoitusta aikanaan suunnittelemassa ja rakentamassa ollut Fogle.

Vain harvalla amerikkalaisorganisaatiolla kuului tuolloin olleen selkeää kuvaa siitä, mitä kyberiskusta johtuva mittava häiriö esimerkiksi veden- tai energianjakelussa voisi tarkoittaa omalle toiminnalle – ja kuinka siitä ylipäätään selvitään.

”Tätä samaa asiaa kannattaa myös tähän tilaisuuteen osallistuvien pohtia”, Fogle kannusti.

Avointa tiedonkulkua ja keskinäistä luottamusta

Chris Foglen mukaan taannoisen simulaatioharjoituksen keskeinen opetus oli se, kyberiskuissa yritysten ja julkisen sektorin on tehtävä saumatonta yhteistyötä ja pystyttävä reagoimaan nopeasti.

Timothy Franz painotti yritysten roolia etenkin operatiivisella puolella, sillä julkisen puolen resurssit ja osaaminen ovat usein rajallisia. Onnistuneessa torjuntatyössä tarvitaan silti muutakin kuin vain aivoja ja käsipareja.

”Organisaatiot ja toimintamallit on pidettävä selkeinä ja yksinkertaisina. Kommunikaation on oltava avointa, keskinäisen luottamuksen vahvaa ja tavoitteiden yhteisiä. Ristiriitoja voi kuitenkin syntyä lähestymistavoista. Kun julkisella sektorilla tarkistetaan vielä lakipykäliä, ollaan yrityksissä jo tarttumassa tuumasta toimeen”, Franz tiivisti.

Konkreettisina ja onnistuneina esimerkkeinä julkisen ja yksityisen sektorin toimivasta ja tavoitteellisesta yhteistyöstä amerikkalaiskenraali nosti esiin Log4Shell-varoitusjärjestelmän sekä CDAC (Cyber Defence Assistance Collaboration) -konsortion.

Kyseinen yhteenliittymä on ollut yksi avainkumppaneista, jonka avulla ukrainalaiset ovat pystyneet kohentamaan puolustus- ja iskukykyään kyberrintamalla.

”CDAC:n kautta pystyimme keväällä 2022 mobilisoimaan ison joukon alan huippuosaajia Ukrainan avuksi. Käytännön tekeminen on tässäkin pitkälti yritysten ja vapaaehtoisten käsissä. Hallinnon roolina on vain ohjata varovasti taustalla ilman liiallista sääntelyä ja byrokratiaa”, Franz kertoi.

Kyberturva pysyy asialistalla myös jatkossa

Webinaari ja sen jatkona yrityksille suunnattu työpaja olivat osa Keskuskauppakamarin yritysturvallisuuden parantamiseen keskittyvää LUJAT-hanketta, joka alkaa kääntyä jo loppusuoralle.

Tapahtuman järjestelyjä junaillut Helsingin seudun kauppakamarin projektipäällikkö ja hankejohtaja Panu Vesterinen kuitenkin vakuutti, että kyberteemaan liittyviä tilaisuuksia ja webinaareja tulee tarjolle myös jatkossa.

”Iltapäivän työpaja osoitti, että lisätiedolle ja kokemusten vaihdolle on tarvetta. Organisaatioihin kohdistuvien kyberuhkien riski aletaan jo tiedostaa, mutta harvemmalla on tuntumaa siitä, millaisia vaikutuksia perusinfran häiriöillä on omalle toiminnalle, yhteistyökumppaneille ja miten niihin pitäisi varautua”, Vesterinen tiivisti.