Yritysturvallisuuden kehittämisohjelma – havaintoja yritysturvallisuudesta
Marika Lähde, Prizztech Oy Minna Haapakoski, Tampereen yliopisto, Porin yksikkö Jere Härkönen, Länsi-Suomen pelastusharjoitusaluesäätiö
Dokumentti on laadittu osana Yritysturvallisuuden kehittämisohjelma -hanketta, jota rahoittaa Satakuntaliitto EAKR-rahoituksella.
SISÄLTÖ Johdanto: Yritysturvallisuus ja muutostrendit......................................................................................................................................................................3 Yritysturvallisuuden kehittämisohjelma -hanke..................................................................................................................................................................4 Hankkeen toteuttajat..........................................................................................................................................................................................................4 Hankkeeseen osallistuneet yritykset.............................................................................................................................................................................4 Hankkeen ohjausryhmä.....................................................................................................................................................................................................4 Hankkeen asiantuntijaverkosto.......................................................................................................................................................................................5 Yritysturvallisuuden osa-alueet.................................................................................................................................................................................................6 Havaintoja yritysturvallisuudesta ja sen kehittämismahdollisuuksista.......................................................................................................................8 Turvallisuusjohtaminen......................................................................................................................................................................................................8 Työturvallisuus, turvallisuuskulttuuri ja henkilöstö.................................................................................................................................................8 Kyber- ja digiturvallisuus, tietoturvallisuus.................................................................................................................................................................9 Yritysten verkostot............................................................................................................................................................................................................ 12 Yritysturvallisuus PK-yritysten näkökulmasta......................................................................................................................................................... 12 Yhteistyö yritysten ja viranomaisten välillä........................................................................................................................................................................ 13 Loppuyhteenveto......................................................................................................................................................................................................................... 15
2
JOHDANTO: YRITYSTURVALLISUUS JA MUUTOSTRENDIT Suomalaisissa yrityksissä turvallisuus on pääsääntöisesti hyvällä tolalla. Maailma ja sen myötä tulevaisuus on kuitenkin niin kompleksinen, että turvallisuuden ylläpito ja kehittäminen vaatii koko ajan uutta osaamista ja uuden kehittämistä, se on jatkuva prosessi, jossa tulee olla hereillä myös täysin uudenlaisten uhkien varalta. Erilaisten kyber- ja hybridiuhkien todennäköisyys on kasvanut merkittävästi. Tekoäly ja sen tuomat mahdollisuudet ovat entistä helpommin yritysten käyttöönotettavissa, mutta samalla pitää tiedostaa myös käytön riskit. Turvallisuuden eri osa-alueiden vaikutuksia toisiinsa ja kokonaiskuvaa pitää ylläpitää. Riskit koskevat kaiken kokoisia yrityksiä maantieteellisestä toimialueesta riippumatta, koska kaikki yritykset ovat tavalla tai toisella verkossa ja monet toimivat myös alihankintaverkostoissa, joissa kokonaisturvallisuuteen vaikuttavat kaikkien verkoston yritysten toimet.
Yritysten kannattaa havainnoida turvallisuusympäristön muutoksia, koska se muuttuu koko ajan nopeammin ja osa kansainvälisten kriisien vaikutuksista näkyy jo käytännössä yritysten arjessa. Mahdolliset poikkeusolot, niihin liittyvät järjestelyt ja poikkeusolojen lainsäädäntö saattavat vaikuttaa merkittävästi yritysten toimintaan, tästä esimerkkinä korona-ajan toimet. Myös muunlaiset megatrendit vaikuttavat yritysten arkeen ja riskienhallintaan; esimerkiksi osaavan työvoiman saatavuus, tuotannon ja erilaisten toimintojen automatisoituminen, yhteiskunnan sähköistyminen ja sähköiset palvelut sekä kyberrikollisuuden lisääntyminen vaikuttavat kaikki yritysturvallisuuteen, turvallisuuskäytäntöihin ja yritysten jatkuvuuden hallintaan. Tässä dokumentissa on koostettu Yritysturvallisuuden kehittämisohjelma -hankkeen aikana tehtyjä havaintoja ja näkökulmia yritysturvallisuudesta.
3
YRITYSTURVALLISUUDEN KEHITTÄMISOHJELMA -HANKE Yritysturvallisuuden kehittämisohjelma -hanketta käynnistettäessä oli havaittu turvallisuuden merkitys yritysten toiminnalle. Turvallisuus on teollisuuden ykkösprioriteetti, koska turvallinen toimintaympäristö on henkilöstön ja liiketoiminnan jatkuvuuden kannalta äärimäisen tärkeää. Turvallisuuteen on varsinkin isoissa teollisuusyrityksissä tehty merkittäviä satsauksia, mutta tästä huolimatta tarvitaan jatkuvaa parantamista ja uusia näkökulmia teknologioiden kehittyessä, tuotannon automatisoituessa ja henkilöstön odotusten ja työkäytäntöjen kehittyessä. Yritysturvallisuuden kokonaisuus rakentuu myös eri sidosryhmien kautta. Yrityksillä on paljon erilaisia yhteistyökumppanuuksia, alihankintaverkostoja ja viranomaisyhteistyötahoja. Tärkeää varautumista uhkatilanteisiin on myös organisaatiorajat ylittävät yhteistyökäytännöt ja että ne ovat toimivia ja sujuvia. Yrityskohtaiset resurssit kehittämiseen ovat usein rajallisia ja tästä syystä asiantuntevien verkostojen merkitys korostuu kehittämisalustoina. On luotava mahdollisuuksia tiedon jakamiselle ja yhteiselle kehittämiselle. Yritysturvallisuuden kehittämisohjelma-hankkeen tavoitteena oli tarjota mahdollisuuksia vastata edellä mainittuihin haasteisiin. Hankkeen keskeinen päämäärä oli lisätä yritysten valmiuksia kohdata erilaisia uhkia, kuten kyberuhkia sekä integroida digitaalisuus osaksi tehokasta turvallisuusjohtamista. Lisäksi pyrkimyksenä oli madaltaa viranomaisten sekä yritysten välistä kynnystä tehdä yhteistyötä ja pyytää tarvittaessa apua yrityksiä askarruttavissa aiheissa. Pyrkimys oli myös tarjota työkaluja uusille innovatiivisille toimintakäytännöille sekä antaa valmiuksia ennakoivaan toimintaan ja kykyä toipua mahdollisista kriiseistä. Turvallisuusjohtaminen, turvallisuuskulttuuri, viranomaisyhteistyön toimintakäytännöt, sekä digitaaliset ratkaisut että kyberturvallisuus olivat siis avainsanoja läpi hankkeen.
Hankkeeseen osallistuneet yritykset Hankkeen kohderyhmää olivat Satakunnassa toimivat teollisuusyritykset. Yritykset osallistuivat yritysturvallisuuden eri teemoista järjestettyihin työpajoihin, kokeiluihin ja kartoituksiin ja siten toivat mukaan oman asiantuntemuksensa. Käytyjen työpajakeskusteluiden ja -työskentelyiden myötä kehitettiin turvallisuutta, kerättiin havaintoja yritysturvallisuudesta ja siitä, mitä kehittämiskohteita yritykset näkevät ja mitä asioita tulisi edelleen kehittää. Hankkeen toiminta oli suunnattu kaiken kokoisille yrityksille. Työpajatilaisuuksissa mukana oli edustajia kokoluokaltaan isoista yrityksistä, mutta myös joitain yrityksiä PK-kokoluokassa. Jotta myös PK-yritysten näkökulmia saatiin kattavammin mukaan, tehtiin PK-yrityksille suunnattu erillinen kartoitustyö, jossa kyselyllä ja haastatteluilla kartettiin PK-yrityksille tärkeitä teemoja.
Hankkeen ohjausryhmä Hankkeen ohjausryhmässä oli kattavasti mukana asiantuntijoita eri organisaatioista ja tehtäviensä osalta he lähestyivät yritysturvallisuuden teemaa eri näkökulmista. Ohjausryhmän jäsenet osallistuivat aktiivisesti hankkeen sisällön tuottamiseen. Ohjausryhmä muodostui näistä organisaatioista: y Elinkeinoelämän Keskusliitto EK y Kyberturvallisuuskeskus y Porin kaupunki y Satakunnan Pelastuslaitos y Lounais-Suomen Poliisilaitos y Boliden Harjavalta Oy y Pori Energia Oy y TVO Teollisuuden Voima Oyj
Hankkeen toteuttajat
y Prizztech Oy
Yritysturvallisuuden kehittämisohjelma toteutettiin Prizztech Oy:n, Tampereen yliopiston Porin yksikön ja Länsi-Suomen pelastusharjoitusaluesäätiön yhteistyönä. Tämä kolmen toimijan osaamispääoma ja laajat verkostot ovat hankkeen onnistumisen kulmakiviä. Ohjelman toteutuksessa hyödynnettiin näiden organisaatioiden vahvaa asiantuntemusta ja resursseja. Lisäksi hankkeen piiriin kutsuttiin laajasti alan asiantuntijoita ja viranomaisia, jotka toivat oman osaamisensa ja kokemuksensa turvallisuuden eri osa-alueilta hankkeen sisältöihin.
y Satakuntaliitto
Hankkeen toteutusta tuki Satakuntaliitto, EAKR-rahoituksella. Hankkeen toteutusaika oli 1.4.2020-31.8.2023.
4
y Länsi-Suomen pelastusharjoitusaluesäätiö
Hankkeen asiantuntijaverkosto Työpajoissa ja muissa kehittämistoimenpiteissä mukana olleita asiantuntijatahoja mm: y Kyberturvallisuuskeskuksen asiantuntijat y Kiwa Inspecta y Ramboll CM Oy:n Riskienhallinta- ja turvallisuus -yksikön asiantuntijat y EK Elinkeinoelämän Keskusliitto y Insta Advance Oy y VTT
y SUPO y Satakunnan hyvinvointialue, Pelastuslaitos toimiala y Suomen Palopäällystöliitto y Suojelun osaamiskeskus y Pisto Turva Oy y Tampereen yliopisto y Cyberwatch Oy y Visuon Oy
y New Forte Oy y MeKiwi Oy
y AiAi-Productions y KONE
y Wärtsilä y Gasum
5
YRITYSTURVALLISUUDEN OSA-ALUEET Yritysturvallisuus on hyvin kokonaisvaltainen käsite. Yritysturvallisuus käsittää toimenpiteet ja käytännöt, joilla pyritään suojaamaan yrityksen henkilöstöä, omaisuutta ja liiketoimintaa erilaisilta riskeiltä ja uhilta. Yritysturvallisuuden kehittämisohjelma -hankkeessa kehittämisen teemoina olivat erityisesti turvallisuusjohtaminen ja turvallisuuskulttuuri, tieto- ja kyberturvallisuus sekä digitaalisuus sekä yritys-viranomaisyhteistyö ja varautuminen erilaisiin uhkiin. Yrityksissä liiketoiminnan luonteesta riippuen korostuvat eri asiat. Lisäksi työn tekemisen tapa vaikuttaa keskeisiin riskeihin, toimistotyössä ne ovat erilaiset kuin tuotantolaitoksessa. Turvallisuusjohdon tehtävänä on muodostaa kokonaiskuvaa ja johtaa yrityksen turvallisuuskäytäntöjä. Käsite ja toimintakenttä on siis laaja, mutta samalla eri yrityksille yksilöllinen. Yritysturvallisuutta kokoavat mallit auttavat hahmottamaan ja jäsentämään kokonaisuutta. Kokonaisturvallisuus onkin kenttä, jossa eri turvallisuuden alueiden mittasuhteet ovat jatkuvassa muutoksessa myös yrityskohtaisesti. Kuvissa 1. ja 2. yritysturvallisuus onkin jaoteltu EK:n yritysturvallisuusmallin mukaisesti kahdella eri esitystavalla turvallisuusympyränä ja matriisina.
Henkilöstöturvallisuus Henkilöstöturvallisuudella pyritään takaamaan ihmisten turvallisuus ja toimintakyky suojaamalla heitä rikoksilta ja onnettomuuksilta. Lisäksi turvataan organisaation toiminnalle kriittiset henkilöresurssit. Kiinteistö- ja toimitilaturvallisuus Tavoitteena on luoda häiriötön ja turvallinen työskentely- ja asiointiympäristö sekä organisaatiolle arvokkaan tiedon tai materiaalin anastamisen estäminen. Pelastusturvallisuus Pelastusturvallisuudella tarkoitetaan tulipalojen tai muiden onnettomuuksien ennaltaehkäisyä sekä nopeaa ja oikeanlaista vastetta onnettomuustilanteissa. Tuotannon ja toiminnan turvallisuus Tuotannon ja toiminnan turvallisuuden tavoitteena on varmistaa turvalliset tuotteet ja palvelut. Ympäristöturvallisuus Ympäristöturvallisuustoiminnan tavoitteena on ekologisen kestävyyden huomioiminen, asiakkaiden ja yhteiskunnan ympäristöodotuksiin vastaaminen ja ennakointi. Tämä tarkoittaa ympäristövastuun ottamista,
Strategia
Tietoturvallisuus
Toimitilaja kiinteistöturvallisuus
Liiketoiminnan jatkuvuus, turvallisuus ja vaatimustenmukaisuus
Työturvallisuus Ympäristöturvallisuus Henkilöstöturvallisuus
Pelastusturvallisuus
Varautuminen ja kriisinhallinta
Väärinkäytösten ja poikkeamien hallinta
i Arv oi
Tur ri vallisuuskulttuu
Kuva 1. Turvallisuusympyrä
6
ele nitt
Tuotannon ja toiminnan turvallisuus
un Su
llisuusjohtamin rva en Tu
To teu ta
a
Pa ra n
n
Riskienhallinta
ORGANISAATION LIIKETOIMINTAMALLI JA STRATEGIA RISKINHALLINTA Henkilöstö
Tuotanto ja toiminta
Tieto
Toimi�lat
Ympäristö
Turvallisuusjohtaminen Turvallisuusvies�ntä Sidosryhmäyhteistyö Varmentaminen ja auditoin� Jatkuva kehi�äminen
Kuva 2. Yritysturvallisuus voidaan hahmottaa myös matriisina, jossa sen eri osa-alueet risteävät toimintojen kanssa.
Tietoturvallisuus Tietoturvallisuudesta on tullut yhä keskeisempi osa organisaatioiden turvallisuutta. Perinteisessä merkityksessä kyse on organisaation tietojen luottamuksellisuuden, käytettävyyden ja eheyden takaamisesta. Väärinkäytösten ja poikkeamien hallinta Väärinkäytösten ja poikkeamien hallinnan avulla organisaatio ennaltaehkäisee ja selvittää väärinkäytöksiä, rikoksia tai muita toimintaan vaikuttavia poikkeavia tapahtumia.
Yritysturvallisuutta koskevia standerdeja:
Standardi / standardisarja Laadunhallintajärjestelmä Riskienhallinta Toimitusketjun turvallisuus Jatkuvuudenhallinta Ympäristöjohtaminen
ISO 9000 ISO 31000 ISO 31010 ISO 28000 ISO 22301 ISO 14000 ISO/IEC 27000 ISO 55000 ISO 45000 OHSAS 18000 ISO 26000 ISO 50001
Varautuminen ja kriisinhallinta Varautumisen ja kriisinhallinnan avulla organisaatio pyrkii tunnistamaan ja ennakoimaan odottamattomia tilanteita sekä suojautumaan niiltä mahdollisimman tehokkaasti. Organisaation on tärkeää säilyttää toimintakykynsä ja pyrkiä toipumaan mahdollisimman nopeasti. Kyse on toiminnan jatkuvuuden turvaamisesta kaikissa tilanteissa. Kriisinhallinta on siten läheisessä vuorovaikutuksessa jatkuvuussuunnittelun (business continuity management) kanssa.
Tietoturvallisuuden hallinta
Työturvallisuus (työterveyshuolto ja työsuojelu) Työturvallisuustoiminnan tavoitteena on turvallinen työ, työntekijöiden hyvinvointi ja sitä kautta muodostuva hyvä ja vastuullinen yrityskuva. Toimintaa ohjaa työturvallisuuslainsäädäntö.
Tässä luvussa käytetty lähde on EK:n eli Elinkeinoelämän keskusliiton sivusto, josta löytyy lisätietoa yritysturvallisuuden osa-alueista osoitteessa https://ek.fi/hyotytietoa-yrityksille/yritysturvallisuus
Omaisuudenhallinta Työterveys- ja turvallisuusjohtaminen Yhteiskuntavastuu Energianhallinta
7
HAVAINTOJA YRITYSTURVALLISUUDESTA JA SEN KEHITTÄMISMAHDOLLISUUKSISTA Yritysturvallisuuden kehittämisohjelma -hankkeessa kehittämisen teemoina olivat erityisesti turvallisuusjohtaminen ja turvallisuuskulttuuri, tieto- ja kyberturvallisuus sekä digitaalisuus sekä yritys-viranomaisyhteistyö ja varautuminen erilaisiin uhkiin. Näitä teemoja käsiteltiin eri asiantuntijoiden alustuksissa sekä yritysten esiin nostamina. Seuraavissa kappaleissa käsitellään niitä havaintoja, joita hankkeen toiminnan myötä on noussut esiin. Kappaleiden alussa on ensin avattu lyhyesti, mistä osa-alueessa on kyse ja listattu kyseiseen teemaan liittyviä erilaisia nostoja. Hankehenkilöstö on koostanut nämä maininnat toiminnan myötä kertynyt. Lista ei ole täydellinen lista kehittämisen kohteista, vaan joitain hankkeen myötä tärkeiksi koettuja havaintoja.
Turvallisuusjohtaminen Turvallisuusjohtaminen on osa yrityksen johtamista, ei erillinen kokonaisuus. Se on yrityksen toiminnan jatkuvuuden, turvallisuuden ja vaatimustenmukaisuuden varmistamista kaikissa tilanteissa. Turvallisuusjohtamisen laajuus yrityksissä on mittava ja kokonaisuuden hallinta voi olla haastavaa. Jokaisen yrityksen toimintaympäristö on ainutlaatuinen ja turvallisuuskäytännöt sopeutettava siihen. Yrityksissä, joissa on merkittävästi erilaisia turvallisuusriskejä, esimerkiksi henkilö turvallisuuteen liittyviä fyysisiä riskejä, vaarallisia kemikaaleja, prosessiin tai tuotantoon liittyviä häiriömahdollisuuksia, verkkoturvallisuuteen liittyviä kyberuhkia ja ympäristö turvallisuusuhkia sekä verkostomaisen toiminnan organisaatiorajat ylittävää työskentelyä jja sen mukanaan tuomia riskejä. Hankkeen toiminnan myötä esiin nousseita havaintoja turvallisuusjohtamiseen liittyen: y Yritysturvallisuutta kokoavia työkaluja tarvitaan turvallisuusjohdolle, erilaiset viitekehykset ja mallit auttavat kokoamaan yhteen kokonaisuutta ja arvioimaan eri osa-alueita y Yleinen tilannekuva tulisi olla kaikkien yritysten käytettävissä. Laaja-alainen hybridivaikuttaminen lisääntyy ja varautuminen näihin uhkiin on entistäkin tärkeämpää. y Uuden tiedon hankkiminen ja sieltä olennaisen löytäminen pitäisi olla helppoa, nopeaa ja kustannustehokasta, jotta varautuminen erilaisiin kriisi- ja häiriötilanteisiin on mahdollista. y Yritysten rooli myös kansallisen huoltovarmuuden turvaamisen näkökulmasta on merkittävä y Turvallisuusjohtamisen kokonaisuuden tilan arviointiin on välillä hyvä saada myös ulkopuolista näkemystä, koska tutuille asioille sokeutuu, eikä ole aikaa arvioinnille.
8
y Verkoston turvallisuusjohtamisen malleista tarvitaan lisätietoa y Erilaisten työkalujen käyttöönotossa auttaa ulkopuolelta tuleva tuki, koska perehtymisen ja käyttöönoton kynnys voi jäärä muuten liian korkeaksi. y Turvallisuusjohtaja kaipaa asiantuntijaverkostoja samankaltaista työtä tekevistä henkilöitä, pitää olla mahdollisuuksia laajentaa verkostoja ja jakaa osaamista y Monien ohjeistusten ylläpitäminen, tiedon saatavuuden ja koko henkilöstön perehdyttäminen ja ajan tasalla pitäminen on haastavaa y Turvallisuusjohtaminen on ihmisten johtamista, tarvitaan lisää näkemystä myös inhimillisestä näkökulmasta y Riskinhallinnan kehittäminen koetaan yrityksissä tärkeäksi ja lisätieto erilaisista menetelmistä tarpeelliseksi.
Työturvallisuus, turvallisuuskulttuuri ja henkilöstö Työturvallisuus on toimintaa, jonka tarkoituksena on parantaa työympäristöä ja työolosuhteita henkilöiden työkyvyn turvaamiseksi ja ylläpitämiseksi sekä ennalta ehkäistä ja torjua työtapaturmia, ammattitauteja ja muita työstä ja työympäristöstä johtuvia henkilöiden fyysisen ja henkisen terveyden haittoja. Työturvallisuuslain mukaan työnantajan velvollisuutena on järjestää sekä työn kuormitustekijät että fyysinen ja psyykkinen työympäristö työntekijälle turvalliseksi ja terveelliseksi. Työturvallisuuden tulee olla luonteva osa työpaikan päivittäistä toimintaa ja johtamisjärjestelmää. Jotta työturvallisuus ja työntekijöiden hyvinvointi ovat hallinnassa, on tunnettava työpaikan työprosessit, toimintatavat ja työolosuhteet ja työpaikan haitta ja vaaratekijöihin liittyvät erilaiset näkökulmat. Ennakoimalla vaaratilanteet ja työkykyä haittaavat tekijät estetään vahinkojen syntyminen ja varmistetaan turvallinen työympäristö ja toimiva työyhteisö. Ihmiset yrityksissä tekevät turvallisuuden joka päivä. Siksi on tärkeää ymmärtää ihmisten toimintaan liittyviä tekijöitä, jaksamiseen, motivaatioon, tietoihin ja taitoihin liittyviä näkökulmia. Inhimillisten tekijöiden ymmärrys ja huomiointi käytännön tekemisessä ja ohjeistuksessakin on tärkeää. Turvallisuuskoulutuksella voidaan antaa tukea turvallisuuden toteutumiseen, mutta se ei yksinään ole ratkaisu. Turvallisuuskoulutuksen onnistumisen kannalta lähijohtaminen ja viestintä ovat avainasemassa.
Kuva: Adobe Stock
Kuva: Adobe Stock Turvallisuusohjeet ovat olennainen osa turvallisuustyötä yrityksissä. Ohjeiden tulee olla helposti noudatettavia. Hyvä turvallisuusohje on
y Puute osaavasta työvoimasta aiheuttaa joissain tilanteissa kiirettä ja kiirehtiessä tapahtuu virheitä
y Helposti saatavilla
y Riskien ennakoinnin osaamisen tulisi olla osa jokaisen työtehtäviä
y Sisältää olennaiset asiat y Lyhyt y Selkeä ja yksikäsitteinen y Mielellään osana muuta ohjeistusta Hankkeen toiminnan myötä esiin nousseita havaintoja: y Yritys- ja työkulttuurin tulisi tukea sitä, että työyhteisössä uskalletaan puuttua ja nostaa esille myös epäkohtia pelkäämättä negatiivisia seurauksia. y Työhön perehdyttäminen ja työohjeistusten selkeys, helppo saatavuus, päivitettävyys ja arjen työtilanteissa käytettävyys on haastavaa. y Työntekijöiden vireystila vaikuttaa oleellisesti keskittymiseen ja työturvallisuuteen. y Omalle toimintaympäristölle sokeutuu helposti, erilaisiin asioihin totutaan työnteon ohessa helposti. y Riskienhallinta koettiin tärkeäksi asiaksi ja siitä toivottiin lisäkoulutusta.
y Kiire ja tehokkuusvaatimus työpaikoilla vaikuttaa mahdollisuuksiin kehittää uutta ja perehtyä uusimpiin asioihin
y Myös sosiaalinen hakkerointi on yksi hakkeroinnin keino, miten varmistaa oman henkilökunnan varautumista näihin tilanteisiin
Kyber- ja digiturvallisuus, tietoturvallisuus Kaikkien yritysten pitää tiedostaa, että ne voivat milloin tahansa joutua hyökkäysten ja kiristyksen kohteeksi. Jokainen organisaatio on nykyään digitaalinen, eivätkä nämä riskit eivät tunne valtioiden kuin organisaatioidenkaan rajoja tai kokoluokkia ja siksi kaikki yritykset ovat alttiina kyberuhille. Tärkein asia organisaatioille olisi ymmärtää mikä heillä on kriittisintä suojattavaa tietoa ja infraa oman liiketoiminnan jatkuvuuden kannalta. Tätä varten olisi ensinnäkin hyvä olla tietoinen siitä, mitä kaikkea omistaa ja miten eri asiat liittyvät toisiinsa, muuten kaikkien asioiden kriittisyyttä ei ymmärretä ennen poik-
9
keaman tapahtumista. Yrityksellä voi olla (kiristettävää) rahanarvoista softaa, dataa tai muuta asiaa, infraa, jne. Kyberhyökkääjät voivat myös ohjata tavanomaiseen pankkiliikenteeseen liittyvät varat esimerkiksi palkat muualle kuin niille tarkoitetuille tileille. Kun kriittisyydet ymmärretään, voidaan alkaa parantaa riskienhallintaa, uhkamallinnusta ja selvittää mm. tarkastuslistojen, ohjeiden ja mittausten avulla tasoa ja mitä kaikkea kehitettävää on. Tämän jälkeen osataan paremmin panostaa tarvittaviin henkilöihin, resursseihin, palveluihin, työkaluihin, suojauskontrolleihin ja muihin asioihin tehokkaasti ja järkevästi. Jos ei tiedetä sitä, mikä on yritykselle se kaikkein kriittisin asia, niin riskejä voi miettiä turhan laajasti tai tärkeimmät riskit unohtuvat, ei ehkä osata tunnistaa uhkamallinnuksessa uhkatoimijoita. Mittarointi voi myös olla haastavaa, liian suppeaa, laajaa tai vääriin asioihin keskittyvää. Yrityksen tai organisaation tietoturvallisuus riippuu paljolti myös siitä, miten hyvin sen jäsenet noudattavat sovittuja käytäntöjä. Tähän on kolme väylää: tietoisuuden kasvattaminen joko koulutuksen ja harjoittelun kautta tai turvakampanjoilla sekä perinteinen keppien ja porkkanoiden menetelmä. Yritysten kannattaa
Kuva: Adobe Stock
10
myös panostaa uusien turvallisten inhimillisten virheiden vahinkoja pienentävien teknologioiden käyttöönottoon. Yritysten merkittävimpiä tietoturvariskejä ovat ihmisten toimintaan liittyvät riskit. Päivittäisissä työtehtävissään tietoa tarvitsevat työntekijät ovat tässä suhteessa avainasemassa. Yritysten kannalta tärkeää on, miten kriittiseen tietoon käsiksi pääsevät työntekijät käsittelevät ja suojaavat saamaansa tietoa, oli tieto sitten tietojärjestelmässä, paperilla, päässä, mobiililaitteessa tai kannettavassa tietokoneessa. Myös some ja some-maailmaan liittyvät riskit ovat oma osa-alueensa, joka tulisi huomioida. Tilien kaappauksia tapahtuu paljon. Tekoälyllä voidaan parantaa kyberturvallisuutta, mutta se aiheuttaa myös uusia haasteita. Tekoälyä voidaan hyödyntää esim. entistä kehittyneempien kyberhyökkäysten suunnittelussa. Jos todetaan, että kriittisten asioiden suojaaminen on yritykseltä itseltään mahdotonta, apua pitää osata pyytää ja ostaa. Kaikkea ei kannata tai voi tehdä itse. Yritysten kannattaa panostaa uusien turvallisten inhimillisten virheiden vahinkoja pienentävien teknologioiden käyttöönottoon. Tässäkin - jos omaa osaamista ei ole, sitä on kyllä saatavilla.
Kuva: Adobe Stock
Regulaatiossa tulee jatkossa monia asioita, jotka auttavat yrityksiä epäsuorastikin, vaikka yritys ei itse olisi säänneltävissä, muun muassa käytettävien sekä turvallisempien digitaalisten tuotteiden ja palveluiden kautta. Kyberturvallisuutta voi kehittä vain kehittämällä kokonaisuutta, se tarvitsee tuekseen myös esim. toimivan tilaturvallisuuden ja henkilö-/henkilöstöturvallisuuden. On tärkeää muistaa, että kyberturvallisuus ei ole pelkkää teknologiaa, vaan sen osia ovat ihmiset, prosessit ja teknologia. Hankkeen toiminnan myötä esiin nousseita havaintoja tietoturvallisuuteen, kyber- ja digiturvallisuuteen liittyen: y Kyberuhkien merkitystä ja vaikuttavuutta koko yrityksen toiminnan jatkuvuuteen ei kaikissa yrityksissä vielä täysin tiedosteta y Perussuojauksissa on kehitettävää. Suurin osa onnistuneista hyökkäyksistä johtuu siitä, että yrityksissä on puutteita perus kyberhygienissa tai joku peruskontrolli on pettänyt. Yleisiä syitä ovat mm. vastuut ei ole selviä, sopimuksissa ei ole määritelty asioita, resursseja ei ole riittävästi, rahaa ei ole uusia asioita, parhaat käytännöt eivät ole käytössä, jne. y Kyberturvallisuus on pitkälti tietoturvaa eli tiedon luottamuksellisuuden, eheyden ja saatavuuden turvaamista, mutta entistä enemmän myös tiedon luotettavuuden arviointia. y Kyberturvallisuus on myös selkeästi määriteltyjä vastuita sekä riittävää resursointia. ”Puutteet tavanomaisissa torjuntatoimissa aiheuttavat edelleen valtaosan tietoturvapoikkeamista.”
y Tietoturvallisuuteen liittyvät asiat hoitavat joko yrityksen omat tai ulkopuoliset IT-asiantuntijat ja tietoturva eriytetään helposti muusta turvallisuustyöstä, vaikka se on kiinteä osa yritysturvallisuuden kokonaisuutta y PK-yrityksissä tietoturvallisuuden hoitaa usein ulkoistettu kumppani, mutta palveluiden ostaminen koetaan PK-yrityksissä jossain määrin haastavaksi y Kaiken kokoisissa yrityksissä palveluiden ostaminen ja sen sisällön laadun arviointi koetaan jossain määrin haastavaksi y Kyberturvallisuuden arviointiin on hyviä työkaluja olemassa ja saatavilla, mutta niihin perehtymisen ja käyttöönoton kynnys on korkea y Teknologinen kehitys nopeutuu ja tarjoaa mahdollisuuksia helpottaa arjen tekemistä, mutta sovelluskohteita voi olla vaikea arjessa havaita y Teknologinen kehitys lisää myös kyberrikollisuuden keinoja ja uhkia, tämä tekee varautumisesta haastavampaa y Koulutusta, käytännön harjoituksia ja tietojen päivittämistä kaivataan yrityksissä kyberturvallisuuteen liittyen y Tekoälyllä voidaan parantaa kyberturvallisuutta, mutta se aiheuttaa myös uusia haasteita. Tekoälyä voidaan hyödyntää esim. entistä kehittyneempien kyberhyökkäysten suunnittelussa. y Kyberasiantuntijoista on osaajapulaa y Hybridivaikuttaminen lisääntyy
11
Kuva: Adobe Stock
Yritysten verkostot Yritykset toimivat verkostoissa, jossa on monenlaisia tilaaja-toimittajasuhteita ja kumppanuuksia, myös ohjelmistot luovat rajapintoja eri organisaatioiden välille. Kompleksisuuden kasvun ja osin siihen liittyvän aiempaa verkostomaisemman toimintatavan vuoksi ei myöskään riitä, että kiinnittää huomiota vain oman organisaation turvallisuuteen ja kehittää sitä. On välttämätöntä huolehtia aiempaa paremmin myös verkoston mm. omien alihankkijoiden ja palveluntarjoajien turvallisuudesta. Alihankintaa tuottavilta yrityksiltä voidaan edellyttää osallistumista tilaajayrityksen omaan turvallisuuskoulutukseen. y Verkoston jäsenten yritysturvallisuuden taso vaikuttaa kokonaisturvallisuuteen, arviointi on haastavaa ja käytettävissä oleva aika yritysverkoston turvallisuusjohtamiseen ja turvallisuuden tason arviointiin on rajallinen, tarvitaan tehokkaita malleja ja työkaluja y Verkoston turvallisuusjohtamiseen kaivataan malleja ja käytännön kokemukseen pohjautuvaa näkemystä y Uusien standardien vaikutuksesta käytäntöön tarvitaan lisätietoa mm. NIS2 ja yritysvastuusäädökset
Yritysturvallisuus PK-yritysten näkökulmasta PK-yrityksille tehtiin hankkeessa erillinen kartoitus, jonka tavoitteena oli selvittää millaiset turvallisuutta koskevat sisällöt ja tee-
12
mat ovat ajankohtaisia. Kartoitus tehtiin pääasiallisesti kyselynä satakuntalaisille teollisuuden toimialalla toimiville PK-yrityksille, aineistoa täydennettiin vielä muutamalla haastattelulla. Satakuntalaisille PK-yrityksille tehdyssä kartoituksessa yritykset nostivat esiin sellaisia teemoja, joista olisi hyvä saada lisää tietoa. y Yrityksissä koettiin olevan tarvetta informaatiolle turvallisuusjohtamisen kehittämisen näkökulmasta seuraavista aiheista: koneturvallisuus, työtyöturvallisuusohjeet, työohjeet, perehdytys ja riskien arviointi. y Lisätiedon tarvetta arvioitiin olevan turvallisuusjohtamisen kokonaisuudesta, henkilöstön osallistumisen kehittämisestä sekä kyber- ja digiturvallisuudesta. y Myös koulutustarve onnettomuustilanteisiin varautumisesta ja henkilöstön osallistumisen kehittämisestä tuli esille. y Haastatteluissa tuli esille kehittämistarpeita myös ulkomaisen työvoiman perehdytyksessä, omaan alaan liittyvässä turvallisuuskoulutuksessa sekä lyhyiden projektien riskien arvioinnissa. y Työtapaturmista aiheutuvien kustannusten seurannassa nähtiin jonkin verran kehittämistarvetta. y Usean toimipisteen yrityksissä koetaan olevan haasteita yhtenäisen turvallisuuskulttuurin luomisessa ja yhtenäisten käytäntöjen noudattamisessa.
YHTEISTYÖ YRITYSTEN JA VIRANOMAISTEN VÄLILLÄ Toimiva yritys-viranomaisyhteistyö on turvallisuuskulttuurin ylläpitämisen kannalta elintärkeä ehto. Raja viranomaisten ja muiden toimijoiden välillä saattaa kuitenkin välillä olla häilyvä, mikä saattaa jo itsessään vaikuttaa yrityksen arkeen. Lain mukaan (21.5.1999/621, 4§) viranomaisiin kuuluu valtion hallintoviranomaiset sekä muut valtion virastot ja laitokset, valtion liikelaitokset sekä kunnalliset viranomaiset. Määritelmä ei arjessa kuitenkaan aina ole toimiva. Alla on listattuna yleisimmät viranomaiset, joiden alueelliset yhteystiedot sekä toimialueet jokaisen yrityksen olisi hyvä hallita. y Pelastuslaitos y Rajavartiolaitos y Hätäkeskus y Poliisi y Sisäministeriö y Aluehallintovirasto y Puolustusvoimat y Ely-keskus y Traficom y Tukes y Sosiaali- ja terveysviranomaiset y Sairaanhoitopiiri y Ympäristöviranomaiset y Maa- ja metsätaloudesta vastaavat viranomaiset y STUK - Säteilyturvakeskus Vaivannäön tuloksena viranomaisten tehtävät selkeytyvät ja yhteydenpidosta tulee näin tilanteen vaatiessa huomattavasti tehokkaampaa. Apua saatetaan tietty joskus vaatia myös niin sanotuilta kolmannen sektorin toimijoilta. Tällaisia toimijoita ovat esimerkiksi SPR sekä Vapepa. On myös hyvä ottaa huomioon viranomaisten rakennemuutokset. Kehittymisen myötä myös viranomaispuolelle tulee uusia muutoksia, jotta palveluja voidaan tarjota tehokkaammin esimerkiksi resurssien vähentyessä. Aktiivinen kertaaminen ja tietojen päivittäminen siis kannattaa esityön jälkeen. Yrityksen toimiva viranomaiskartasto sekä yhteistyö viranomaisten välillä helpottaa yritystä pitämään turvallisuusasiat päivitettyinä. Muun muassa palo- ja pelastusturvallisuuteen liittyvissä kysymyksissä, kuten pelastussuunnitelmissa ei kannata jäädä yksin vaan konsultoida rohkeasti Pelastuslaitosta. Suomessa toimiva yritys-viranomaisyhteistyö tarjoaa useita merkittäviä etuja, jotka edistävät yritysten menestystä ja tur-
vallisuuskulttuurin kehittymistä. Alla on annettu muutamia esimerkkejä: Teollisen toiminnan turvallisuus Tukes eli Turvallisuus- ja kemikaalivirasto on lupa- ja valvontaviranomainen, joka edistää tuotteiden, palveluiden ja teollisen toiminnan turvallisuutta ja luotettavuutta. Tukes valvoo myös laajasti eri kemikaalien, tuotteiden ja palveluiden sekä teollisen toiminnan turvallisuutta ja vaatimustenmukaisuutta. Ensihoitopalvelut Sosiaali- ja terveysviranomaiset ja hallinnonalan laitokset vastaavat niitä koskevissa säädöksissä määrätyn työnjaon mukaisesti ensihoitopalvelun järjestämisestä sekä psykososiaalisen tuen palveluista ja onnettomuuden takia hätään joutuneiden huollosta. Onnettomuustutkinta Onnettomuustutkintaan voi onnettomuudesta riippuen kuulua useampiakin tahoja. Päävastuu tutkinnasta on usein kuitenkin poliisilla. Tutkinnan kokonaisuutta tarkasteltaessa Pelastustoimella on vastuu palontutkinnassa. Lisäksi oikeusministeriön alainen ja itsenäinen organisaatio OTKES – Onnettomuustutkintakeskus saattaa olla mukana onnettomuuksien tutkinnassa. Heidän tutkintahaaransa on jaettu viiteen osaan: ilmailuonnettomuudet, raideliikenneonnettomuudet, vesiliikenneonnettomuudet, sosiaali- ja terveydenhuollon onnettomuudet sekä muut onnettomuudet. Onnettomuusharjoitusten järjestäminen Yritysten on hyvä olla ajan tasalla omasta toimintaympäristöstään ja mahdollisista vaaroista. Tällaiset huomiot jäävät kuitenkin helposti arkistoihin tai pahimmassa tapauksessa työntekijöiden omaksi tiedoksi. Aktiivisen kirjaamisen lisäksi asioita täytyy myös harjoitella, sillä skenaariot harvoin menevät käytännössä samoin kuin on ajateltu. Myös uusia heikkouksia toimintamalleista on mahdollista saada ilmi fyysisten harjoitusten kuten kokonaisvaltaisen onnettomuusharjoitusten kautta. Aluehallintoviraston tehtävä on valvoa mm. UPS-kohteiden toteutumista. Yritysten tukeminen Viranomaisyhteistyön avulla yritykset voivat saada tarvittavaa tukea ja neuvontaa eri viranomaisilta. Tämä voi sisältää rahoituksen, liiketoimintaneuvonnan, koulutuksen ja lupa-asioiden hoitamista. Hankkeen aikana yleinen havainto yritysten näkökulmasta olikin viranomaisverkoston ja velvollisuuksien sekavuus. Ketä kannattaa konsultoida kussakin asiassa ja millaisia vastuualueita viranomaisilla on yritysten turvallisuusasioiden suhteen?
13
Lainsäädännön ja sääntelyn selkeyttäminen Kuva: Adobe Stock Yhteistyön avulla voidaan varmistaa, että yritykset ymmärtävät paremmin soveltuvaa lainsäädäntöä ja sääntelyä. Tämä vähentää oikeudellisia riskejä ja auttaa yrityksiä noudattamaan sääntöjä. Sisäministeriön vastuulla on johtaa, ohjata ja valvoa pelas-
tustoimea sekä huolehtia sen valtakunnallisesta valmisteluista ja järjestelyistä. Jatkuvasti muuttuvat organisaatiorakenteet hankaloittavat yritysten kykyä olla tehokkaita yritys-viranomaisyhteistyön ylläpitäjiä, jolloin kartalla pysyminen yrityksen olennaisimmista viranomaisista onkin erityisen tärkeää. Turvallisuuden edistäminen kolmannen sektorin voimin Mikäli ajankäytöllisesti resurssit yrityksessä ovat vähissä tai yritys kaipaa uudenlaisia näkökulmia turvallisuuden kehittämiseksi, myös kolmannen sektorin hyödyntäminen on hyvä tapa edistää edellä mainittuja asioita. Turvallisuuskävelyt, ensiapukoulutukset, onnettomuusharjoitukset sekä monet muut ulkopuolisen luomat harjoitusskenaariot voivat olla todella hyviä tapoja paljastaa piilossa olleita turvallisuusuhkia yrityksissä. Omaan yritykseen soveltuvan viranomaiskartaston luominen sekä viranomaisten konsultointi yritystä askarruttavissa asioissa voi olla alkuun työlästä. Yrityksen olisi kuitenkin hyvä ottaa ylös itselle olennaiset viranomaiset ja niiden yhteystiedot ja pitää tätä listaa ajan tasalla. Hankkeen aikana huomasimme, että yleispätevä ja kaikille sopiva kartasto vaatisi todella huomattavan ja pitkän työpanostuksen, jolloin se ei ehkä palvelisi yrityksiä niin hyvin kuin tarpeen.
14
Toimiva yritys-viranomaisyhteistyö on siis oleellinen pilari yrityksen turvallisuuskulttuurin edistämisessä. Onnettomuustilanteiden lisäksi se auttaa luomaan punaista lankaa harjoituksissa. Yhteistyön avulla on mahdollista löytää harjoiteltavia aiheita sekä resurssien lisäksi osallistaa viranomaisia harjoitusten suunnittelusta toteutukseen. Lisäksi heiltä saa varmasti näkökulmia harjoiteltaviin aiheisiin ja apua harjoitusrungon toteutukseen. Hankkeen myötä syntyneet tuotokset – Pelastusharjoittelun opas työnantajille sekä Turvallisuusopas – mahdollistavat hankkeeseen tutustumisen myös sen päätyttyä. Näin yrityksillä on myös mahdollisuus jälkikäteen hyödyntää hankkeen tuloksia käytännönläheisesti heidän oman turvallisuuden sekä varautumisen kehittämiseksi.
LOPPUYHTEENVETO Yritysturvallisuuden kehittämisohjelma -hankkeen tavoitteena oli vastata yritysten tarpeeseen jakaa näkemyksiä ajankohtaisista yritysturvallisuuteen liittyvistä teemoista sekä kehittää turvallisuusjohtamista, edistää kyberturvallisuutta ja digitaalisuutta sekä luoda uusia toimintamalleja ja verkostoja ja ekosysteemejä, joissa syntyy tiedon jakamista ja uusia ratkaisuja. Hankkeessa onnistuttiin luomaan laaja verkosto ja käsittelemään yritysturvallisuutta eri näkökulmista asiantuntevien alustajien ohjauksessa. Hankkeen aikana saatujen havaintojen perusteella keskeiset teemat, joihin yritysturvallisuudessa tulisi panostaa jatkossakin ovat kaikki turvallisuuden eri osa-alueet, koska ne vaikuttavat toisiinsa ja eri yrityksissä korostuvat turvallisuuden eri näkökulmat eri aikoina. Turvallisuuskäytännöt vaativat jatkuvaa päivittämistä toimintakäytäntöjen, prosessien, teknologioiden ja yleisen toimintaympäristön muutosten vuoksi.
Erityisen nopeasti muuttuvat kyberturvallisuuteen ja digitaalisuuteen liittyvät osa-alueet mm. kyberrikollisuuden kasvun myötä ja tekoälyn luomien mahdollisuuksien, mutta myös siihen liittyvien uhkien lisääntyessä. Lisäksi verkostojen kautta lukuisat rajapinnat luovat turvallisuusriskejä yritysten toimintaan sekä kyberturvallisuuden että fyysisen turvallisuuden osalta. Monessa yhteydessä korostui myös inhimillisen toiminnan ja kuormitustekijöiden huomioiminen. Henkilöstön jaksaminen vaikuttaa suoraan yritysturvallisuuden tasoon. Myös ympäristöturvallisuuden merkitys nousee. Yritysturvallisuutta koskevia uusia säädöksiä ja ohjeistuksia on tulossa, yritysten tulisi olla näistä tietoisia ja siitä, miten ne tulevat vaikuttamaan käytännössä. Yritysten tulisi löytää omaan toimintaansa ja tilanteeseensa peilaten tärkeimmät turvallisuusnäkökulmat.
15
Yritysturvallisuuden kehittämisohjelma