Kyberhyökkäysten taloudelliset tappiot ovat saavuttaneet 10 biljoonan euron tason globaalisti. Jos kyberrikollisuus olisi valtio, se olisi maailman kolmanneksi suurin talous heti Yhdysvaltojen ja Kiinan jälkeen. Suomalaisten on helppo hahmottaa mittakaavaa, kun kyberrikollisuuden arvo on yli 100 kertaa Suomen valtion budjetti.
Kyberhyökkäys organisaation tietojärjestelmiin voi olla yhtä vaikea havaita kuin salakavala murha. Tilannekuva on usein hämärä pitkään, tutkinta kestää, eikä syyllistä välttämättä löydetä. Samalla henkilö- ja taloudelliset vahingot voivat olla mittavia. Pahimmillaan organisaation toiminta pysähtyy kokonaan, kun hyökkääjät varastavat tai muokkaavat luottamuksellisia tietoja, vaarantaen myös sidosryhmien turvallisuuden.
Vaikutukset eivät kuitenkaan jää tähän. Kriisin julkinen käsittely mediassa ja sosiaalisessa mediassa voi rapauttaa organisaation mainetta pysyvästi. Jos kriisitilanne karkaa hallinnasta, yritys joutuu helposti julkisen paineen ja myrskyn keskelle, jolloin vuosia rakennettu sidosryhmien luottamus saattaa rapautua muutamassa päivässä.
Voiko vakavasta kyberhyökkäyksestä selviytyä?
Kyllä, vakavasta kyberhyökkäyksestä voi selviytyä, mutta vain varautumalla ennakkoon. Kriisitilanteessa aika ja osaaminen ovat arvokkainta pääomaa, eikä kumpaakaan niistä voi kartuttaa systemaattisesti enää siinä vaiheessa, kun kriisi on jo käsillä. Siksi organisaatioiden on varauduttava sekä ennaltaehkäisemään kriisejä että simuloimaan mahdollisia tilanteita. Myös NIS2-direktiivi, joka astuu Suomessa voimaan 17.10.2024, edellyttää yrityksiltä kyberuhkiin varautumista.
Varautumisessa on olennaista huomata myös tunteiden merkitys kriisitilanteessa. Kriisitilanteessa tunteet kuten pelko, viha ja epätoivo voivat heikentää päätöksentekoa ja johtaa virheisiin. Tunteet ovat osa ihmisyyttä, mutta erityisesti kriisissä ne on tunnistettava ja niitä on osattava kontrolloida.
Valmistautuminen, nopea reagointi ja tehokas viestintä ovat keskeisiä kyberkriisien hallinnassa. Tässä muutama askel, jolla organisaatio voi parantaa resilienssiään:
1. Riskiskenaarioiden kartoittaminen ja kriisien simulointi: Etukäteen simuloidut kriisitilanteet auttavat organisaatiota tunnistamaan riskejä ja valmistautumaan niiden mahdolliseen toteutumiseen. Simuloidun tilanteen avulla organisaatio saa myös tärkeää tunnetason kokemusta, joka voi osoittautua korvaamattomaksi todellisen kriisin iskiessä.
2. Luottamuspääoman rakentaminen: Kenen luottamuksen varassa organisaation toiminta on? Tärkeiden sidosryhmäsuhteiden rakentaminen ja vahvistaminen hyvän sään aikana auttaa säilyttämään ne myös kriisin keskellä.
3. Kriisitiimin muodostaminen: Valmiiksi valittu ja koulutettu asiantuntijatiimi on avainasemassa kriisin hallinnassa. Kriisijohtaminen on erikoistaitoa, eikä jokainen johtaja ole luontaisesti kriisitilanteen johtaja. Siksi harjoittelu on tärkeää.
4. Valmiiden viestintälinjojen luominen: Mitä sanot silloin, kun et tiedä mitä sanoa? Ennalta suunnitellut viestintälinjat ja -strategiat auttavat viestimään tehokkaasti epävarmuuden keskellä.
5. Toimintalistat valmiiksi: Valmiit toimintalistat auttavat pitämään tunteet hallinnassa ja varmistavat tehokkaan toiminnan kriisitilanteessa.
Suosittelemme valmistautumaan pahimpaan todennäköiseen skenaarioon. Vain siten organisaatio voi selviytyä kriisitilanteesta tehokkaasti ja säilyttää toimintakykynsä.
Netprofilen H72-malli – kyberkriisien hallinnan tueksi
PrivacyRules-allianssin kautta kansainvälistä tunnustusta saanut H72-malli auttaa organisaatioita varautumaan kyberuhkiin ja hallitsemaan kriisitilanteita tehokkaasti. Mallin pääperiaatteet ovat:
Simulaatioharjoitukset ovat olennainen osa H72-mallia. Ne auttavat organisaatioita tunnistamaan heikkoutensa, valmistautumaan mahdollisiin kriisitilanteisiin ja parantamaan valmiuksiaan kohdata kriisi tehokkaasti.
Kyberkriisisimulaatio – kriisivalmiuden varmistus
Marraskuussa 2023 johdimme kansainvälisen kyberkriisisimulaation PrivacyRules-allianssin jäsenille. Mukana olivat tietosuojaan erikoistuneet juristit, IT- ja kyberturva-asiantuntijat sekä viestinnän ammattilaiset eri puolilta maailmaa. Harjoitus osoitti, kuinka tärkeää on jatkuva koulutus ja varautuminen, jotta kyberkriisejä voidaan hallita tehokkaasti.
Frost Brown Toddin tietoturva- ja tietosuojatiimin johtaja ja asianajaja Gene F. Price, joka on Yhdysvaltain kansallisen turvallisuusviraston (NSA) laivaston kyberkomentokeskuksen ex-apulaiskomentaja, osallistui harjoitukseen ja totesi näin:
"Simulaatio osoitti, kuinka tärkeää organisaatioiden on pysyä ajan tasalla teknologiakehityksestä ja varmistaa, että ylin johto ja operatiiviset johtajat varautuvat yhdessä. Harjoitus vahvisti sen keskeisen tosiasian, että jatkuva koulutus ja valmistautuminen ovat olennaisia piirteitä onnistuneessa kriisinhallinnassa, olivatpa haasteet sitten oikeudellisia, teknisiä tai sotilaallisia. Tehokas kriisiviestintä ja sidosryhmien hallinta eivät ole intuitiivisia taitoja. Ne ovat osaamista, joka edellyttää jatkuvaa kouluttautumista katastrofaalisten tapahtumien pysäyttämiseksi - erityisesti, jos joudut torjumaan kyberuhkaa, joka voi johtaa järkyttäviin menetyksiin ja maailmanlaajuisiin seurauksiin.”
Kriisinhallintamallin vaikuttavuus ja merkittävyys on tunnistettu viestintäalalla
H72-mallin nimi tulee EU:n tietosuoja-asetuksen (GDPR) 72 tunnin ilmoitusvelvollisuudesta tietosuojaloukkauksissa. Se on osoittautunut tehokkaaksi työkaluksi organisaatioiden kyberkriisivalmiuden parantamisessa, kriisinhallinnassa ja viestinnässä. Viime vuosina H72-malli on saanut laajaa tunnustusta ja voittanut palkintoja:
Joko teillä on varauduttu kyberkriiseihin? Ellei, kerromme mielellämme lisää H72-mallistamme. Viekäämme yhdessä sinunkin organisaatiosi uudelle varautumisen tasolle!