Huoltovarmuus on puhututtanut jo pitkään muuttuvan maailmantilan ja entistä lähemmäs tulleiden kriisitilanteiden myötä. Julkisten organisaatioiden rooli huoltovarmuudessa on keskeinen, sillä ne ovat vastuussa yhteiskunnan kriittisten toimintojen turvaamisesta kaikissa tilanteissa.
Huoltovarmuus tarkoittaa yhteiskunnan kykyä varautua mahdollisiin kriisi- ja häiriötilanteisiin sekä jatkuvuudenhallintaa, jotta ennalta määritelty, kansallisesti välttämätön tuotanto, palvelut ja infrastruktuuri voidaan turvata myös poikkeusoloissa. Vaikka laissa määritelty velvollisuus varautumiseen on säädetty viranomaisille, vaatii sen käytännön toteuttaminen yhteistyötä sekä yritysten, että kolmannen sektorin toimijoiden kanssa.
Huoltovarmuuden painopistettä on viime vuosina siirretty perinteisestä materiaalien saannin varmistamisesta vahvemmin yhteiskunnalle elintärkeiden toimintojen ylläpitämiseen liittyvän kriittisen infrastruktuurin toimintakyvyn varmistamiseen. Molempiin alueisiin kiinteästi kytkeytyvä digitalisaatio ja hyvin toteutetut digitaaliset palvelut parantavat yhteiskunnan valmiutta ja toimintakykyä häiriötilanteissa, mutta samalla ne luovat uusia haavoittuvuuksia ja riskejä, jotka on otettava huomioon huoltovarmuutta suunniteltaessa ja ylläpidettäessä.
IT-ympäristöt osana huoltovarmuutta
Suomalainen yhteiskunta on teknologisesti varsin hyvin kehittynyt ja myös huoltovarmuuden kannalta kriittiset toiminnot nojaavat vahvasti eri toimijoiden muodostamaan digitaaliseen ekosysteemiin, joissa organisaatioiden IT-ympäristöt ovat merkittävässä asemassa. Niiden toiminnan varmistaminen ja jatkuva kehittäminen on tärkeää yhteiskunnan kokonaisvaltaisen turvallisuuden ja toimivuuden takaamiseksi.
Kun vakava poikkeustilanne iskee, lopulta olennaista on vain se, että hyvin suunniteltu, henkilöstölle selkeästi kirjallisesti ohjeistettu ja sen kanssa harjoiteltu jatkuvuudenhallinnan prosessi toimii käytännössä.
Jos esimerkiksi organisaation vastuulla oleva kriittinen järjestelmä joutuu kyberhyökkäyksen kohteeksi, on varautumistoimenpiteiden toimittava siten, ettei merkittävää vahinkoa synny tai se saadaan rajattua riskienhallinnan määrittelemälle, hyväksyttävälle tasolle.
Tänä päivänä yhä tärkeämmässä roolissa on kriittisen datan eli tiedon suojaaminen ja sen käytön varmistaminen myös poikkeusoloissa. Häiriötilanteissa toiminnan jatkuvuuden varmistavat korjaavat toimenpiteet saattavat hetkellisesti laskea suojauksen tasoa, jolloin on erityisen tärkeää, että tietoa kyetään hallitusti suojaamaan myös niissä tilanteissa.
Lisäksi on hyvä huomioida, että pelkkä tekninen suojaaminen ei riitä, vaan on varauduttava myös sekä inhimillisiin virheisiin, että tahallisiin väärinkäytösyrityksiin.
Apua arviointiin
Säännölliset tietoturvatarkastukset auttavat tunnistamaan ja korjaamaan mahdolliset heikkoudet IT-infrastruktuurissa. Organisaatioiden kannattaa edellyttää myös IT-kumppaneiltaan valmiiksi auditoituja ratkaisuja, kuten esimerkiksi ISO27001 tai Katakri2020.
Katakri tukee erityisesti julkisten organisaatioiden ja niiden kumppaneiden kykyä suojata tärkeitä tietoja ja ylläpitää huoltovarmuutta erilaisissa ympäristöissä ja tilanteissa. Se on viranomaisten auditointityökalu, jota viranomainen voi käyttää arvioidessaan kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Auditointityökalun uusin versio Katakri2020 sisältää päivitetyt ohjeet ja kriteerit parhaisiin turvallisuusjohtamisen, teknisen tietoturvallisuuden ja fyysisen turvallisuuden käytänteiden käyttämiseen, jotka vastaavat nykyaikaisia turvallisuushaasteita ja teknologian kehitystä.
Huoltovarmuuden ylläpitäminen edellyttää jatkuvaa valmiutta ja ennakointia erityisesti IT-ympäristöjen osalta – vaikka tilanne olisi tänään hallinnassa, saattaa uhka realisoitua jo huomenna. Siksi on voitava olla varma siitä, että organisaatio ja kaikki sen kanssa yhteiskunnallisesti kriittistä toimintaa ylläpitävät toimijat ovat siihen aidosti valmiita ja valmistautuneita.