Uhkien tunnistaminen osana jatkuvuudenhallintaa – 2025
Elinkeinoelämän odotetaan toteuttavan liiketoiminnan sekä huoltovarmuuskriittisten toimintojen jatkuvuudenhallintaa. Ja osana jatkuvuudenhallintaa on erottamattomasti niihin liittyvien uhkien tunnistaminen sekä näistä koituvien riskien hallinta. Uhkien tunnistamisen tueksi on paljon ajankohtaisia listauksia uhista joiden avulla voi oman prosessinsa aloittaa. Nyt Digipoolin yritykset ovat myös listanneet oman uhkakarttansa alan yritysten huomioitavaksi.
Uhkien tunnistamisen merkitys
Huoltovarmuus nojaa pitkälti siihen, että elinkeinoelämä pitää huolen kriittisistä toiminnoista, joita se toimittaa. Logiikkana on se, että yritysten tulee tunnistaa ne kriittiset liiketoimintaprosessit, joista oma arvontuotanto on riippuvainen ja suojattava ne parhaansa mukaan. Liiketoimintakriittisten toimintojen lisäksi suojata tulee myös huoltovarmuudelle kriittiset toiminnot, vaikkeivat ne olisikaan liiketoiminnalle kriittisiä.
Kun kriittiset toiminnot on tunnistettu ja lähdetään niitä suojaamaan pitää arvioida se, mitkä asiat toimintoja voivat uhata ja lähteä miettimään voiko niistä uhista koitua meille tai huoltovarmuudelle riskejä. Usein tässä kohdataankin jo haasteita kun mietitään mitä ne uhat nyt sitten voivat olla, joita tulisi huomioida. Onneksi uhkakarttoja on tarjolla monenlaisia ja näitä kannattaakin hyödyntää ja miettiä, mitkä niistä ovat meidän toimintaamme vaikuttavia.
Tyypillisimpiä uhkatiedon lähteitä
Tässä tyypillisimpiä uhkatiedon lähteitä, joita kaikkien huoltovarmuusorganisaation toimijoiden kannustetaan huomioimaan omassa Uhkakartoituksessaan.
- Yhteiskunnan turvallisuusstrategia
- Suomen kyberturvallisuusstrategia
- Kansallinen riskiarvio sekä alueelliset riskiarviot
- Suojelupoliisin kansallisen turvallisuuden katsaus
- Valtioneuvoston päätös huoltovarmuuden tavoitteista
Näiden lisäksi on tietysti monia muita uhkia listaavia julkaisuita niin suomessa kuin ulkomaillakin. Tässä kaksi tyypillistä lähdettä:
Jotta uhka-aiheita olisi helppo löytää em. lähteistä niin teetimme tekoälysynteesin. Tässä esitettyyn listaukseen on kerätty ne uhat, jotka löytyvät em. kansallisista uhkatiedon lähteistä ja jotka ovat erityisesti ICT alan yritysten huomioitava toiminnassaan.
- Tiedustelu
Tiedonhankintaa mm. tuotekehityksestä - Vaikuttaminen
Hybridi- ja Informaatiovaikuttamista, jolla halutaan luoda epävakautta tai henkilötason vaikuttaminen, maalittaminen. Yritysten mainehaitta voi vaikuttaa liiketoiminnan jatkamiseen ja kriittisten palveluiden tuotantoon. - Asiakas
Asiakkaille aiheutetut menetykset ja vahingot sekä asiakaskato. - Palvelu
Kapasiteetin, kompetenssin, prosessien ja/tai tarpeiden epäsuhdanne. - Teknologia
Vanhentunut, toimimaton ja/tai kehityskelvoton teknologia; koodin tekijänoikeudet ja lisenssiehdot. Haavoittuvuudet. Verkkolaitteiden suojaamattomuus. Riippuvuudet avaruudesta ja satelliittiratkaisuista. Nousevien teknologioiden kaksikäyttösovellutusten ja vientivalvonnan aukkojen hyödyntäminen. - Tuotanto
Tieto- ja viestintäverkkojen ja palveluiden häiriöt – Infran, IT & OT ympäristön, verkon, konesalien, päätelaitteiden toimimattomuus. Kyberhyökkäykset. Häiriöt sähkönsaannissa. - Alihankinta
Toimittajien virheet ja muutoshitaus. Kumppanin kyberhäiriö. Kuljetusten jatkuvuuden häiriöt. Polttoaineiden saannin vakavat häiriöt. - Kehitys
Vaatimuksien määrittelyn, suunnittelun ja koodamisen virheet. Ylimääräinen koodi ohjelmistossa tai aukko asetuksissa. Kotimaisen tutkimuksen ja kehityksen suojaaminen ovat nousevia teemoja - Henkilöstö
Henkilöstön (sis. yritysjohto) työmotivaation, osaamisen ja toimintakyvyn puute. Henkilöstön vaihtuvuus. Puutteet tilanneymmärryksessä johtavat liiketoiminnan ongelmiin. pelastustoiminnan ja toimitilaturvallisuuden puutteet aiheuttavat henkilöstöön kohdistuvia uhkia. Vakava ydinvoimalaitosonnettomuus Suomessa tai Suomen lähialueilla - Pandemia
Pandemian tai muun vastaavan laajalle levinneen epidemian moniulotteiset vaikutukset, jotka näkyvät kokonaisvaltaisesti esim. tuotannossa, työntekijöissä, kyberhyökkäyksissä - Talous
Talouden tai rahoitusjärjestelmän häiriöt, ulkomaankaupan häiriöt aiheuttavat uhan holtovarmuudelle ja yritysten liiketoiminalle. Esim. Kauppapakotteiden kiertäminen häivyttämällä hankintaketjuista tiedon todellisesta ostajasta sekä hankkimalla tuotteita kolmansien maiden kautta. Digitaalisen rahansiirron käyttö ja virtuaalivaluuttojen yleistyminen vaikuttavat epävirallisen pankki- ja rahansiirtopalvelusektorin vahvistumiseen. Yrityksen oman talouden tappiot häiriötilanteista. - Häiriöt
Rauta- ja/tai softaviat. Inhimilliset erehdykset. - Luonnonilmiöt
Äärimmäisen voimakas avaruusmyrsky - Sota
Sota uhkaa monen yrityksen liiketoiminnan jatkamisen mahdollisuuksia. Toisaalta monien liiketoiminta jatkuu, mutta muuttuneissa olosuhteissa. Valmiussuunnittelua tulee tehdä liiketoiminnan jatkamiseksi ja palveluiden tuotannon turvaamiseksi.
Yleisistä Uhista alakohtaisiin uhkiin
ICT alan toimijoihin vaikuttaa monet edellä mainittua kehittyneemmät tai monimutkaisemmatkin uhat. Ja nyt olemmekin koostaneet Digipoolin työpajoissa Kotimaisten yritysten kanssa yhdessä muodostetut uhkakartat hyödynnettäväksi jatkuvuudenhallinnan tukena. Digipooli yrityksineen on sitoutunut siihen, että ylläpidämme uhkakarttaa ja päivitämme sen sisällön 2 kertaa vuodessa (tai kun syytä päivityksille ilmenee) ja julkaisemme uhkakartan jatkuvuudenhallinnan tueksi.
Digipoolin työpajapäivissä 2024 lopulla ja 2025 H1:llä on käsitellyt uhat on arvioitu monelta kannalta. Uhkia on arvioitu tyypillisten todennäköisyyksien ja vaikuttavuuksien kannalta sekä uhkia on arvioitu proaktiivisuuden vaativuuden tai reaktiivisuuden kannalta. Näin on saatu ensimmäinen laatuaan ICT alan Uhkakartta. Voit ladata uhkakartan alta pdf muodossa selitteineen – tai jos tarvitset sen muokattavassa ppt muodossa, niin ole yhteydessä.
Lisätietoja
