– Riskienhallinnan näkökulmasta 100 %:sta suojaa ei koskaan pystytä takaamaan, mutta yrityksen pitää tehdä riskiarvion perusteella päätös, kuinka paljon se on valmis investoimaan rahaa ja resursseja kyberturvallisuuteensa, vastaa Jyväskylän ammattikorkeakoulun (Jamk) IT-instituutin johtaja ja kyberturvallisuuden dosentti, Tero Kokkonen.
– Jos ei itse tunne kyberturvallisuusasioita riittävän syvällisesti, on viisasta ottaa asiantunteva ja luotettava kumppani avuksi. Kumppania valitessaan kannattaa tietysti kiinnittää huomiota palveluntarjoajan referensseihin.
Vastuu kokonaisuudesta lepää silti yrityksen itsensä harteilla.
– Mitä enemmän yrityksessä on eri järjestelmiä käytössä, sitä tärkeämpää on käsitys yrityksen tietojärjestelmien kokonaisarkkitehtuurista ja sen kyberturvallisuudesta, Kokkonen muistuttaa.
Kyberturvallisuuteen liittyvä perusosaaminen tulisi pitää hyvällä tasolla koko organisaatiossa.
– Oli kyseessä iso tai pieni organisaatio, erittäin tärkeäksi nousee henkilöstön osaaminen ja heille tarjottu kyberturvallisuuskoulutus tai -harjoittelu. Omasta roolista riippumatta jokaisen työntekijän tulisi tuntea kyberturvallisuuden perusteet ja pystyä tunnistamaan kyberuhat, esimerkiksi tietojenkalasteluviestit, Kokkonen kuvailee.
Tero Kokkonen, Jyväskylän ammattikorkeakoulun (Jamk) IT-instituutin johtaja ja kyberturvallisuuden dosentti.
Auditoi, suojaudu ja harjoittele
Startup- ja kasvuyritysten arjen fokus on usein tuotekehityksessä, myynnissä ja rahoituksessa. Kyberturvallisuuteen liittyvät kysymykset olisi kuitenkin hyvä pitää rinnalla koko ajan, varsinkin kun yrityksen kasvaessa järjestelmät vaihtuvat ja prosessit monimutkaistuvat.
– Nykytilan kartoitukseen erityisesti kasvuyrityksille sopii esimerkiksi Jamkin IT-instituutin kyberturvallisuuteen keskittyvän tutkimus-, kehitys- ja koulutuskeskuksen, JYVSECTEC (Jyväskylä Security Technology), laatima itseauditointimalli FINCSC - Finnish Cyber Security Certificate. FINCSC soveltuu käytettäväksi kaikenkokoisille organisaatioille niiden toimialaan katsomatta, Kokkonen sanoo.
Huomionarvoista on, että FINCSC-kehityksen yhtenä ohjenuorana on ollut pitää kustannukset edullisina, jolloin se soveltuu auditointimalliksi myös pienille yrityksille.
– Arviointi perustuu sähköisesti täytettävään itsearviointiin ja tälle arviointilaitoksen toimesta tehtävään katselmointiin, Kokkonen täydentää.
- Tutustu itseauditointimalliin: https://www.fincsc.fi/palvelut/fincsc-sertifiointi/
Kyberturvallisuusharjoittelu on erinomainen keino varautumiseen. Harjoitus mahdollistaa todellisen tilanteen simuloinnin etukäteen.
– Eri skenaarioiden harjoittelu helpottaa mahdollisen todellisen tilanteen yllättäessä: avainhenkilöt osaavat toimia ja esimerkiksi hoitaa kriisiviestintää oikein, kun tilanne on päällä. Yrityksellä on myös paremmat edellytykset toipua hyökkäyksestä nopeasti, kuvailee Jamk IT-Instituutin projektipäällikkö Elina Suni.
Elina Suni, Jamk IT-Instituutin projektipäällikkö.
Jokainen yritys on potentiaalinen kohde
Terveysdatan turvallisessa käytössä tärkeintä on aina tieto- ja kyberturvallisuuden huolellinen suunnittelu ja ennakointi. Kyberhyökkäystä, jossa rikolliset salaavat organisaation liiketoiminnalle tärkeää dataa ja vaativat lunnaita datan palauttamista vastaan, kutsutaan kiristyshaittaohjelmaksi. Dataa voidaan uhata myös jakaa julkisesti, jos lunnaita ei makseta.
Elina Suni huomauttaa, että terveysdataa liiketoiminnassaan hyödyntävät yritykset voivat joutua kiristyshaittaohjelmien kohteeksi, koska terveystiedot nähdään arvokkaina. Toki kohteeksi voi joutua myös sattumanvaraisesti.
– Ennakointi ja varautuminen on erittäin tärkeässä roolissa yrityksen kyberturvallisuuden vaalimisessa, Suni painottaa.
Jyväskylän ammattikorkeakoulu on kehittänyt terveydenhuollon toimijoille kyberhäiriöiden hallinnan käsikirjan.
– Käsikirja tarjoaa ohjeita kyberhäiriöihin varautumiseen, kyberhäiriöiden käsittelyyn ja reagointiin, sekä kyberhäiriöistä palautumiseen ja oppimiseen. Suosittelen myös terveysalan toimijoita tutustumaan materiaaliin, Suni vinkkaa.
Kiinnostuitko? Haku Seed Villagen Data terveysbisneksessä -ohjelmaan on auki 2.10. asti
Dataa liiketoiminnassaan hyödyntävät terveyden ja liikunta-alan yritykset voivat saada sparrausta aiheeseen hakeutumalla Seed Village -ohjelmaan. Lue lisää Kasvu Openin sivuilta ja hae mukaan! Haku on auki 2.10.2022 asti.
Ohjelma järjestetään yhteistyössä Kasvu Openin, Business Jyväskylän, Jyväskylän ammattikorkeakoulun ja Jyväskylän yliopiston kanssa. Sparrausapua dataturvalliseen terveysbisnekseen on saatavilla muun muassa JYVSECTECin asiantuntijoilta.
IT-Instituutin yhteydessä toimiva JYVSECTEC auttaa yrityksiä ja organisaatioita kasvattamaan osaamistaan kyberturvallisuusharjoituksilla, jotka toteutetaan suljetussa ympäristössä JYVSECTECin tiloissa. Cyber Range -harjoitusympäristössä järjestettävät harjoitukset kestävät tyypillisesti 1–2 päivästä aina suuriin viikon mittaisiin kansallisiin harjoituksiin. Lisäksi yksikkö tarjoaa tutkimus- ja kehitystoimintaa aihepiirien ympärillä.
Lue lisää JYVSECTECin palveluista: https://jyvsectec.fi/services/exercises/overview/ ja Cyber Range ympäristöstä https://jyvsectec.fi/cyber-range/overview/