Pointtini: viestintä leviää kaikkialle
Eräässä kyberturvallisuuteen liittyvässä harjoituksessa saimme aikaan vain aika huonon puhelinluettelon. Ne pari muuta yhteistä suoritetta olivat vieläkin keskeneräisempiä. Olimme harjoitukseen erittäin tyytyväisiä – ja syystä!
Puhelinluettelo lähti yhdistämään teemaan liittyviä toimijoita. Verkostomme alkoi muuttua näkyväksi. Eri tahot ja vastuut eivät olleet vain yksittäisiä post it -lappuja aivoissamme, vaan tiedonpalaset yhdistyivät jaetuksi yhteiseksi verkostoksi.
Luetteloon tuli henkilöitä, jotka edustivat organisaatioidensa eri haarakkeita. Siellä he pystyisivät viemään eteenpäin ongelmia korjaavia toimia. Harjoituksessa – tai oikeassa tilanteessa – tilannetta pystytään korjaamaan rivakammin, kun tiedetään kehen otetaan yhteyttä ja mitä silloin sanotaan.
Ihmiset, prosessit ja teknologia ovat kyberturvallisuuden osia, turvallisuuskoneiston rattaita. Nämä osat eivät ole erillisiä osia, mutta niiden yhteistoiminta ei myöskään synny itsestään. Päinvastoin, näissä rattaissa voi olla kitkaa, jota (sisäinen) viestintä voi vähentää. Käyn rattaita läpi seuraavissa kappaleissa.
Viestinnän ytimessä on kommunikointi ihmisten välillä. Aiemmassa esimerkissä yhden organisaation henkilö soittaa toiselle. Kyberturvallisuudessa vaikeuksia aiheuttaa, jos teknisellä tiedolla tukahdutetaan vastaanottaja. Ammattiryhmien eri slangi ja englannista väännetyt uussanat vaikeuttavat ymmärtämistä. Monesti unohtuu, että kuulijana ei olekaan samaan piiriin kuuluva henkilö. Esimerkkejä kielimuureista löytyy tekniikan asiantuntijoiden ja liiketoimintajohdon väliltä, mutta jakolinjoja löytyy paljon enemmän. Useasti kuitenkin näyttää siltä, että tekniikan ekspertit ovat ainakin se toinen osapuoli. Ellei molemmat. Harjoittelu, henkilökohtainen kokemus ja yhteyshenkilöiden käyttö vähentävät tulkintaongelmia. Kyberuhkien jatkuva muuntautuminen toisaalta lisäävät niitä.
Viestinnän merkitys näkyy myös kyberturvallisuusprosesseissa. Esimerkiksi GDPR määrittää monella tavalla oikeita toimintatapoja. Vaikka lainsäädäntö ei toimintaa rajaisi, prosessit halutaan pitää ryhdissä. Toimiakseen prosessien itsensä tulee olla selkeitä, kaikille jo aiemmin kerrottuja ja harjoitettuja. Kassakaappiin piilotettu suunnitelma ei ehdi hädän hetkellä kätköstään kentälle.
Kyberuhkat moninaistuvat teknologiamyllerryksessä, mikä voi heittää vanhat prosessit ja toimintamallit sekä käytännölliset viitekehykset roskakoriin ajastaan jälkeenjääneinä. Toisaalta, jos vanhoihin toimintatapoihin vain lisätään uusia palasia, niin ovatko ne enää tehokkaita. Jos prosessit ovat monimutkaisia ja moniselitteisiä, niin ne pysäyttävät toiminnan tai pistävät ihmiset juoksemaan eri suuntiin. Prosessista on siis voitava kommunikoida, ja sen on otettava huomioon kommunikaatio työkaluna. Esimerkkinä selkeästi ja aikaa kestävästä varautumisen viitekehyksestä on yhteiskunnan turvallisuusstrategia.
Viestijöinä ihmiset ja koneet
Rattaista kolmas, teknologia, on myös sidoksissa viestintään. Teknologia on kyberturvallisuuden perusta, ja se on myös tehokkaan, paikkarajat ylittävän viestinnän edellytys. Työkalujen kehittämisessä on huomioitava ihmisten rajoitteet. Esimerkiksi valvomoiden tai tilannekuvan kehittämisessä on pohdittava, kuinka asiantuntija käsittää näkemänsä.
Teknologian kehityksen vuoksi viestintä on yhä useammin koneiden keskinäistä toimintaa, mikä ei sekään poista riskiä siitä, että tärkeät ja oikeat sanomat eivät päädy oikeisiin paikkoihin. Jouni Pöyhönen väitöskirjassaan (2020) esittää tiedonjakamista kyberturvallisuuden johtamista käsittelevässä väitöksessään: ”Osa sairaalan datasta on pirstaloitunut erillisiin järjestelmiin, mikä luo haasteita sen keskitettyyn jakamiseen tai analysointiin. Toisaalta osa tietolähteistä, kuten potilas-, ja perimätietojärjestelmät muodostavat jo lähtökohdiltaan yhtenäisen data-alustan… Toimintaan kytkeytyvät myös kyberturvallisuuden kyvykkyydet, ihmiset, prosessit ja teknologiat, ja niiden toiminnan kehittäminen osana sairaalan turvallista toimintaa.”
Viestinnällä on siis suuri merkitys kyberturvallisuuden peruselementtien – ihminen, prosessit, teknologia – sisällä ja niiden välillä. Viestintä on kaikkialla, mutta harvemmin kuskin paikalla.
Viestintään liittyviä kyberin hallinnan ongelmia ja korjaustoimenpiteitä:
- Ammattikielten erilaisuus vaikeuttaa ymmärtämistä – harjoittelu, henkilökohtainen kokemus, käyttäminen yhteyshenkilöitä
- Etätyöskentely tai muut toimintatavat vaikeuttavat kommunikointia / viesti ei mene perille – sisäisen viestinnän analyysi ja tulosten perusteella toimenpiteet
- Lainsäädännön ja muiden normien vaikutus prosesseihin
- Kyberturvallisuuskulttuurin ongelmat – asian merkityksestä kertominen ja korjaaminen lähtee ylimmästä johdosta
- Kassakaappisuunnitelmat eivät ole tiedossa – harjoitellaan ja tehdään normaaleista prosesseista jo turvallisempia
- Prosessit ovat monimutkaisia – harjoitellaan, prosesseja päivitetään säännöllisesti ja hyödynnetään ulkopuolisia tekijöitä ja lukijoita
- Prosessit vanhenevat – prosesseja päivitetään ja käytetään yleisempiä, sopeutuvaisempia viitekehyksiä
- Viestintäteknologia ei ole käyttäjäystävällistä – suunnittelun tulisi olla monitieteistä ja käyttäjäkunnan osallistavaa
- Koneiden välinen viestintä on sirpaloitunutta, muuttuvaa ja monimuotoista – turvallinen tuotanto ohjelmoinnissa
Lähetä palautetta (antti.sillanpaa@linkitin.fi), niin pidennetään listaa yhdessä.
Lisää aiheesta tai sen liepeiltä:
Jouni Pöyhönen 2020: Kyberturvallisuuden johtaminen ja kehittäminen osana kriittisen infrastruktuurin organisaation toimintaa
https://jyx.jyu.fi/handle/123456789/71395
https://turvallisuuskomitea.fi/yhteiskunnan-turvallisuusstrategia/
https://securityintelligence.com/these-four-communication-tips-could-improve-your-cybersecurity-reporting/ https://www.cyberwatchfinland.fi/
