Kyberyhteistyön puute altistaa yritykset uhkille – Jyväskylän yliopistossa kehitetty materiaalipaketti tuo apua haasteisiin

Valtaosa organisaatioista pitää yllä jatkuvia digitaalisia yhteyksiä asiakkaisiinsa, toimittajiinsa sekä muihin yhteistyökumppaneihinsa. Tästä huolimatta kyberturvallisuutta hallitaan usein vain yksittäisen organisaation näkökulmasta.

Tiivis yhteistyö vaikuttaa kuitenkin siihen, että mahdolliset kyberhyökkäykset yhteen organisaatioon voivat vaikuttaa merkittävästi myös kumppanien ja koko verkoston toimintaan.

Jyväskylän yliopistossa toteutetussa Kyberturvallisuuden kehittäminen ja hallinta kumppanuusverkostossa -hankkeessa etsittiin keinoja kyberturvallisuuden kehittämiseen ja hallintaan kumppanuusverkostoissa ja tuotettiin erityisesti pk-yrityksille suunnattu oppimateriaalipaketti, työkirja sekä yhteistyöohje, joiden tarkoituksena on tukea yrityksiä kyberturvan hallinnan kartuttamisessa.

Apulaisprofessori Jonna Järveläinen informaatioteknologian tiedekunnasta kertoo, että hankkeessa keskityttiin erityisesti huoltovarmuuskriittisten organisaatioiden toimintaan. 

”Kriittisen infrastruktuurin parissa toimivien organisaatioiden on kyettävä toimimaan kyberuhista huolimatta, sillä näiden tuottamat palvelut ovat usein elintärkeitä yhteiskunnalle. Siksi on ensiarvoisen tärkeää, että kyberturvallisuus toteutuu hyvin koko kumppanuusverkostossa”, Järveläinen kertoo.

Tärkeisiin järjestelmiin voidaan tunkeutua kumppaniorganisaation heikkouksia hyödyntäen 

Tutkijat nostavat yhdeksi esimerkiksi uhkakuvista toimitusketjuhyökkäyksen, jossa pahansuopa taho voi käyttää hyväkseen yksittäisen organisaation tietoturvahaavoittuvuuksia päästäkseen käsiksi myös muiden yhteistyössä toimivien organisaatioiden järjestelmiin ja prosesseihin.

Tällainen voisi onnistua esimerkiksi haittaohjelmien tai tietojenkalastelun avulla. 

”Mikäli muilla organisaatioilla ei ole tietoa haavoittuvan organisaation tietoturvariskeistä tai toimintatavoista, niin hyökkäys voi jäädä helposti huomaamatta. Siitäkin huolimatta, että organisaation oma kyberturvallisuus olisi hyvällä tolalla”, Järveläinen kertoo.

Järveläisen mukaan uhkakuvia organisaatioille tuovat juuri tietojen ja osaamisen puute sekä se, että ilman riittävää yhteistyötä kyberturvallisuustoimet voivat verkostossa olla hajanaisia ja tehottomia.

Hankkeessa huomattiin, että etenkin pienet ja keskisuuret toimijat voivat hyötyä merkittävästi tiiviimmästä kyberyhteistyöstä. Näillä toimijoilla on usein itsellään rajalliset resurssit ja suuri riippuvuus kumppaneista.

”Pelkät kahdenväliset sopimukset ja katselmoinnit eivät riitä, koska verkostot ovat monimutkaisia. Kyberyhteistyötä voidaan syventää valmistautumalla, esimerkiksi jakamalla säännöllisesti tietoa ja järjestämällä yhteisiä kyberharjoituksia, jotta akuuteissa kriisitilanteissa yhteistyö olisi tehokasta”, Järveläinen summaa.

Tutkijoiden mukaan haasteita yhteistyölle asettavat kuitenkin erityisesti luottamuksen puute sekä organisaatioiden toimintakulttuurien erilaisuus.

Hankkeessa tuotettujen oppimateriaalipaketin, työkirjan ja yhteistyöohjeen tarkoituksena on kuitenkin helpottaa yhteistyön aloittamista, antaa käytännön ohjeita sekä kertoa erilaisista yhteistyöhön liittyvistä eduista, esteistä ja tilanteista, joissa yhteistyöstä voi olla etua.

Lisätietoja

Kyberturvallisuuden kehittäminen ja hallinta kumppanuusverkostossa -hanke on Jyväskylän yliopiston informaatioteknologian tiedekunnan toteuttama hanke, jonka rahoittajana toimii Huoltovarmuuskeskuksen Digitaalinen turvallisuus 2030 -ohjelma. Hankkeessa tuotetut materiaalit ovat vapaasti saatavilla Jyväskylän yliopiston verkkosivuilla.