Tietoturvaloukkaukset ja niihin valmistautuminen

Pinja Kimari
Tietoturvaloukkaukset eivät ole enää harvinaisia yksittäistapauksia vaan jokapäiväisiä. Joku viisas onkin sanonut, että on vain kahdenlaisia organisaatioita, sellaisia jotka tietävät joutuneensa hyökkäysten kohteeksi ja sellaisia jotka eivät tiedä. Tässä on varmasti totuuden siemen, joka korostaa tunnistamisen tärkeyttä, mutta myös toimintakyvyn ylläpitoa hyökkäyksen aikana ja sen jälkeen.
 
Keväällä Norjassa Norsk Hydro joutui hyökkäyksen kohteeksi, juuri paikallisen Datahubin käyttöönoton jälkeen, joka vaikutti paikallisen operaattorin toimintaan. Vakuutus korvasi lopulta vain pienen osan hyökkäyksestä aiheuttamista vahingoista. Suomessa kaupungit ja kunnat ovat kesän aikana olleet hyökkäysten kohteina ja tietosuojavaltuutettu onkin korostanut varautumisen ja häiriötilanteissa toimimisen harjoittelun tärkeyttä. 
 
Vaikka Datahubin käyttöönottoon on aikaa vielä jonkin verran, on meillä pohdittu jo pidemmän aikaa tietoturvaloukkausten hallintaprosesseja. Kesällä kehitettiin hallintatyökalua datahubin tukipalveluun ja julkaistiin teille lomake, jolla loukkauksia voi Datahubin suuntaan raportoida. 
 
Suunnittelu on aina hyvästä, mutta jotta pääsemme kokeilemaan, miten tämä hallintaprosessi todellisuudessa toimii, lähdimme myös harjoittelemaan tätä. Kesällä heitin ilmoille idean TAISTO19-harjoitukseen osallistumisesta, ja H-hetki olikin marraskuun puolivälin jälkeen. 
 
Harjoitus oli opettavainen. Fingridillä yhtiönä on pitkä perinne erilaisiin huoltovarmuuden ja ICT:n kannalta kriittisten tilanteiden harjoittelusta, mutta TAISTO harjoituksen painopiste oli henkilötietojen tietoturvaloukkauksessa. Datahubin myötä, talossa käsitellään ensimmäistä kertaa näin merkittävässä mittakaavassa henkilötietoja, joten harjoituksessa päästiin myös pohtimaan ilmoituskynnystä tietosuojavaltuutetulle, rekisteröidyille ja NIS-direktiivin puitteissa Energiavirastolle.
 
Harjoitukseen liittyen tarinaa rakennettiin harjoitusorganisaation toimesta jo syksyn aikana, ja meidän osaksemme jäi tutustua tarinaan ja pohtia mahdollisia vaikutuksia ja datahubin näkökulmasta. Harjoituspäivänä päästiin kokeilemaan ja punnitsemaan viestintäkeinoja ja resursointia niin talon sisällä kuin ulkopuolisten osalta. Kokonaisuudessaan varautumistasomme on hyvää, mutta löysimme myös kehityskohteita. Päivän aikana käytiin vilkasta keskustelua tapahtumien etenemisestä ja vaikutuksista ja pohdittiin osaltaan myös vaihtoehtoisia lähestymistapoja ja tilanteita. 
 
Ehkä seuraavassa harjoituksessa otetaan myös datahubin sidosryhmät mukaan. Vain harjoittelemalla tehdään mestareita!