Digitaalinen toimintavarmuus ja digitaalinen suvereniteetti ovat johdon asia, ei IT:n ongelma

Kuvittele tilanne, jossa suomalaisen yrityksen tilaukset ja laskut lakkaavat kulkemasta. Kyseessä ei ole oman järjestelmän vika vaan Euroopan ulkopuolelta tehty päätös: eurooppalaisten tietojärjestelmien käyttö on äkillisesti estetty.

Yrityksen tuotanto voi aluksi jatkua, koneet pyörivät ja tavaraa valmistuu, mutta jo muutamassa päivässä syntyy kaaos: ei tiedetä, kuka on tilannut mitä, ja mihin toimitus pitäisi tehdä. Toimituksia lähtee väärille asiakkaille. Varastokirjanpito ei pidä paikkaansa. Laskutus muodostuu pullonkaulaksi.

Tällaisen tilanteen lopputulos ei ole pelkkä ohimenevä häiriö. Kyse on merkittävistä taloudellisista tappioista, mainehaitoista ja siirtymisestä kriisinhallintaan.

Haltun toimitusjohtaja Otso Kivekäs kertoo, että edellisessä esimerkkitilanteessa kuvatut riippuvuudet ovat syntyneet vähitellen, eikä niitä ole ehkä matkan varrella täysin hahmotettu.

”Konkreettinen esimerkki merkittävistä riippuvuuksista on käyttäjähallinta. Monen suomalaisen organisaation koko käyttäjähallinta ja pääsynvalvonta kulkee  Entra ID:n kautta, ja Entra ID on yhdysvaltalaisen yrityksen hallinnassa. Jos Entra ID menee pimeäksi, mikään palvelu ei toimi. Siksi pääsynhallinnan ratkaiseminen on ensimmäinen askel kohti digitaalista toimintavarmuutta.”

Käyttöoikeuksien hallinta on yksi yleisimmistä yritysten sokeista pisteistä. Pahimmassa tapauksessa yrityksen yksittäinen työntekijä voi vahingossa tyhjentää jopa yrityksen palvelimet kokonaan, jos käyttöoikeuksia ei ole rajattu riittävästi.

Tällaisessa tilanteessa varmuuskopioiden pitäisi pelastaa tilanne. Usein varmuuskopiointi on kyllä teknisesti käytössä, mutta kukaan ei ole testannut, saadaanko data oikeasti palautettua. Lopputulos: kaikki sähköpostit ja tiedostot ovat poissa.

Kivekäs kertoo vielä toisenlaisen esimerkin riippuvuuksista. ”Eräässä kaupungissa käytiin digitaalisia riippuvuuksia läpi ja kartoituksessa selvisi, että liikennevalojen takana on taustajärjestelmä, jonka sijainnista tai riippuvuuksista ei ollut tietoa.”

Kivekäs tähdentää, että oleellinen kysymys tällaisissa tilanteissa ei ole se, mitä ohjelmistoja ja pilvipalveluita käytetään.

”Olennaista on pohtia, mitä tapahtuu, jos ne puuttuvat. Onko olemassa varasuunnitelma, ja onko se testattu?”

EK:n lakiasiainasiantuntija Peppiina Huhtala muistuttaa, että täydellinen digitaalinen suvereniteetti on harhaanjohtava tavoite.

”Ei mikään maailmanvaltio ole täysin suvereeni, ei edes Yhdysvallat tai Kiina. Yritysjohdon tulisi lähestyä kysymystä riskienhallinnan kautta, eikä paniikista käsin.”

Riippuvuuksien merkitys kävi hiljattain konkreettisesti ilmi, kun Yhdysvallat asetti pakotteita kansainvälisen rikostuomioistuimen tuomareille ja muulle henkilöstölle.

Laajasti käytössä olleet ohjelmistot ja palvelut lakkasivat toimimasta näiden tuomareiden koneilla ja muilla päätelaitteilla pakotteiden vuoksi. Mukana pakotteissa oli mm. pankkiasioinnin ja maksamisen palveluita sekä muita digitaalisia palveluita, kuten sähköposti, pilvipalvelut ja alustapalvelut.

Taustalla on rakenteellinen jännite. Euroopan tietosuojalainsäädäntö edellyttää, että henkilötietoja ei luovuteta EU:n ulkopuolisille viranomaisille, mutta Yhdysvaltain Cloud Act edellyttää, että yhdysvaltalaiset yritykset luovuttavat datan tietyissä tilanteissa pyydettäessä, kertomatta siitä asiakkailleen.

Pyynnön täytyy Yhdysvalloissakin perustua pääsääntöisesti tuomioistuimen määräykseen, mutta silti ristiriita EU:n yleisen tietosuoja-asetuksen eli GDPR:n kanssa on ilmeinen. Tämä ristiriita ei ole uusi, mutta nyt se on muuttunut todelliseksi riskiksi.

Huhtalan mukaan tapaus on esimerkki siitä, miten geopoliittiset päätökset voivat osua digitaaliseen infrastruktuuriin tavalla, johon yksikään yritys ei ole itse voinut varautua. Hänen mielestään nykytilanteessa voi nähdä myös mahdollisuuksia.

”Tämä on hyvä hetki tarkastella, ovatko organisaation tietoturva- ja tietosuojaprosessit ajan tasalla. Viimeistään nyt kannattaa kartoittaa, mitä dataa yrityksellä ylipäätään on, missä se kulkee ja sisältääkö se henkilötietoja tai liikesalaisuuksia.”

Huhtala vertaa digitaalisen toimintavarmuuden tilannetta GDPR:n voimaantuloon kahdeksan vuotta sitten.

”GDPR pakotti monet yritykset selvittämään, mitä henkilötietoja niillä on ja missä tiedot liikkuvat. Lopputulos oli terveellinen herätys.”

Huhtala ja Kivekäs ovat samaa mieltä siitä, ettei nyt pidä paniikissa ryhtyä siirtämään järjestelmiä ja dataa paikasta toiseen digitaalisen suvereniteetin nimissä. Sen sijaan jokainen organisaatio tarvitsee järjestelmällisen riskikartoituksen.

Aluksi olisi hyvä selvittää, mitkä ovat kriittisimmät riippuvuudet, mitä tapahtuu, jos kriittisimpien toimintojen toiminta katkeaa, ja onko varasuunnitelma olemassa.

Kivekäs painottaa, että organisaation varasuunnitelma ei tarkoita jatkuvasti ylläpidettävää rinnakkaisjärjestelmää. Pienelle yritykselle varasuunnitelma voi tarkoittaa yksinkertaisesti suunnitelmaa siitä, mihin siirrytään, jos jokin nykyinen palvelu menee pimeäksi. Säännöllisesti tulisi myös kartoittaa, onko vaihtoehtoinen palvelu edelleen olemassa ja toimintakunnossa.

Kriittisimmät järjestelmät, kuten tuotannonohjaus tai laskutus, eivät muutu yhdessä yössä. Mutta esimerkiksi yleisimpiin toimistosovelluksiin voi syntyä varasuunnitelma jo muutamassa tunnissa, kunhan ensin selvitetään riippuvuudet.

Kivekäs on nähnyt tilanteita, joissa organisaatio on luullut varautuneensa kattavasti, mutta kriittinen riippuvuus on jäänyt piiloon. Huhtala tunnistaa saman ongelman.

Huhtalan mukaan organisaatiossa saatetaan tehdä kerran tietoturvakartoitus ja sen tulokset kirjataan ylös, mutta sitten asia unohtuu pariksi vuodeksi. Tänä aikana tilanne on muuttunut: palveluntarjoaja on voinut esimerkiksi päivittää sopimustaan, HR ottanut käyttöön uuden rekrytointialustan tai järjestelmäomistajat vaihtuneet. Vaivihkaa tapahtuneiden muutosten vuoksi kartoitus on vanhentunut, mutta kukaan ei tiedä sitä.

”Kartoitus ei ole kertaluonteinen harjoitus. Sitä pitää päivittää säännöllisesti, ja sillä pitää olla käytännölliset lähtökohdat. Sen pitää vastata kysymykseen, mikä toiminto pysähtyisi ensimmäisenä, jos jokin järjestelmä kaatuu, ja paljonko se maksaisi,” Huhtala korostaa.

Riskikartoitus on Kivekkään mukaan ensimmäinen askel kohti digitaalista toimintavarmuutta ja suvereniteettia.

”Jokainen organisaatio pystyy ottamaan tämän askeleen. Sen voi tehdä itsenäisesti, mutta prosessi nopeutuu huomattavasti, jos kartoituksen toteuttaa yhdessä jonkun toisen kanssa. Eniten tässä on kyse ajattelutavasta ja heräämisestä asian merkitykseen.”

TIEKE tarjoaa digitaalisen toimintavarmuuden kartoituksia ja valmennuksia, joiden avulla organisaatio pystyy tunnistamaan nykytilan, priorisoimaan toimenpiteet ja rakentamaan varasuunnitelman vaiheittain. Kartoituksen voi tilata yritykselle räätälöitynä tai aloittaa kevyemmästä ryhmävalmennuksesta.