Miten yritykset voivat varautua hybridiuhkiin?

Hybridiuhat ovat nousseet esille julkisuudessa viime aikoina erityisesti Valko-Venäjän ja Puolan rajan tapahtumien kautta. Valko-Venäjää on syytetty siirtolaisten käyttämisestä aseena hybridisodassa Euroopan unionia vastaan.

Sodankäynnin kontekstissa hybridillä tarkoitetaan kohteeseen vaikuttamista myös muillakin tavoilla kuin perinteisellä asevaikutuksella. Hybridisodan osapuolet voivat olla valtiollisia tai ei-valtiollisia toimijoita, kuten esimerkiksi terroristiryhmiä. Hybridisodan ja hybridivaikuttamisen keinoja voivat olla vaikkapa informaatiolla vaikuttaminen, propagandan välittäminen sosiaalisessa mediassa tai jopa Facebook-ryhmien perustaminen toisen valtion asukkaiden käyttöön. 

Samoin kuin valtion fyysisiä rajoja pitää puolustaa tarvittaessa, pitää myös kansallisia intressejä ja turvallisuutta puolustaa tietoverkkojen kautta tehtäviä hyökkäyksiä ja haitallista vaikuttamista vastaan. Mikään määrä uusia hävittäjiä ei estä esimerkiksi kriittistä tietoliikenneinfraa vastaan tehtyjä kyberhyökkäyksiä. Suomessa onkin viime vuosina tehty paljon toimia kyberpuolustuskyvyn kasvattamiseksi.
 
​
Miten hybridiuhat pitäisi ottaa huomioon yrityksissä?

Hybridiuhat eivät siis kosketa pelkästään valtioiden välisiä suhteita vaan myös yksityisten toimijoiden pitäisi olla tietoisia näistä vaaroista. Hybridiuhkia voi olla hankala kirjoittaa auki yrityksen varautumissuunnitelmiin, koska aihealue on vielä kohtuullisen uusi eikä termi ole vielä täysin vakiintunut yritysten turvallisuuskäsitteistössä.

Parhaiten yritys varautuu kaikkia uhkia vastaan laittamalla oman havainnointikyvyn, kriisijohtamisen, kriisiviestinnän ja tilannekuvatoiminnot kuntoon. Jos näissä on parantamisen varaa, ota yhteyttä Gestioniin.

Jos yrityksen varautumistyössä ei ole suoraan nähtävissä hybridiuhkaa, kannattaa asia kuitenkin huomioida jollain tavalla. Yksi hyvä tapa on laittaa hybridiuhista maininta yrityksen kriisisuunnitelman liitteinä oleviin kriisijohtajan ja kriisiviestinnän muistilistoihin. Näin kriisitoimia johtavien henkilöiden putkinäkö levenee hiukan stressaavan tilanteen keskellä ja he muistavat, että tilanteeseen voi liittyä muutakin, kuin miltä ensi näkemältä vaikuttaa.

Erityisen herkkänä kannattaa olla, jos tilanteeseen liittyy kyberulottuvuus

Hybridiuhkaa voi olla vaikea hahmottaa. Erityisen herkkänä hybridiuhalle kannattaa kuitenkin olla, jos meneillään olevaan poikkeukselliseen tilanteeseen tai kriisiin liittyy kyberulottuvuus. Jos kyseessä on esimerkiksi tietomurto, jonka yhteydessä on anastettu arkaluontoisia tietoja, kannattaa arvuutella tekijän motivaatiota. Miksi tietomurto kohdistui juuri näihin tietoihin? Onko tällä tapauksella kenties yhteys johonkin toisessa organisaatiossa aiemmin tapahtuneeseen tietomurtoon? Onko käynnissä joku yhteiskunnallinen tapahtuma, johon anastetut tiedot voisivat liittyä?

Voiko tilanteeseen liittyä informaatiovaikuttamista? Yrittääkö joku vaikuttaa organisaation toimintaan tai organisaatiota kohtaan tunnettuun luottamukseen? Onko anastettujen tietojen joukossa sellaista tietoa, jota voi hyödyntää myöhemmin jotain toista kohdetta vastaan? Informaatiovaikuttamista voi olla vaikea huomata, koska siinä käytettävät keinot ja tarkoitusperät saattavat olla hyvin piilotettuja. 

Informaatiovaikuttamisen hahmottaminen voi olla helpompaa, jos keskittyy vaikuttamisessa käytettävän tiedon sijasta vaikuttamisen kohteeseen. Miksi johonkin tiettyyn ihmisryhmään tai kohteeseen halutaan vaikuttaa? Mikä kohteena olevien ihmisten asemassa, identiteetissä tai ajattelussa on sellaista, jonka vuoksi juuri heihin halutaan vaikuttaa? Mikä yrityksen toiminnassa, yhteiskunnallisessa roolissa tai asiakkaissa on sellaista, että yritys päätyy mukaan informaatio- tai hybridivaikuttamisen verkkoon?
​

Miten toimitaan, jos hybridiuhka konkretisoituu?

Hybridiuhkatilanteen osalliseksi joutuminen saattaa olla kiusallista yrityksen johdolle. Mainekriisi tuntuu nostavan päätään ja asiasta ollaan mieluummin hiljaa kuin kerrotaan julkisuuteen. Yhteydenotto viranomaisiin pelottaa eikä asiaan haluta sotkea ketään ulkopuolista. 

Yksi perusperiaatteista kriisitilanteen johtamisessa on se, että tilanteeseen ei saa suhtautua välinpitämättömästi. Hybridiuhka- ja kybertilanteissa voi tulla kiusaus painaa juttu villaisella ja toivoa, että juttu poistuu itsestään päiväjärjestyksestä. Tällainen suhtautuminen voi kuitenkin lyödä kovaa takaisin korville.

Tärkeintä on tehdä perusteellinen tilannearvio

Jokaisen kriisin tai poikkeuksellisen tilanteen alussa tärkeintä on tehdä perusteellinen tilannearvio, jossa pohditaan tilanteeseen liittyvät seikat useasta eri näkökulmasta. Tärkeää on tiedostaa miltä tilanne ja suunnitellut toimenpiteet vaikuttavat viestinnällisesti. Tilannearvion tekeminen saattaa vaatia ulkopuolisen arvion, mutta se kannattaa ehdottomasti tehdä. Aina kannattaa katsoa isoa kuvaa eikä vain tuijottaa omaa tilannetta laput silmillä. 

Tietomurroista ja muista epäilyttävistä kybertilanteista kannattaa olla poliisin lisäksi yhteydessä Kyberturvallisuuskeskukseen, jossa ylläpidetään tilannekuvaa meneillään olevista kybertilanteista. Yhteyttä voi ottaa myös valtioneuvoston viestintään, jossa on paras osaaminen informaatiovaikuttamiseen liittyvissä asioissa. Viranomaiset käsittelevät tällaisia tilanteita jatkuvasti ja heiltä voi löytyä nopeasti tieto, jonka perusteella toimenpiteitä on helpompi suunnata oikein.

Viranomaisille kannataa aina ilmoittaa tilanteista, joissa epäillään kyberrikosta tai informaatiovaikuttamista. Jos kyseessä on henkilötietoihin liittyvä tietomurto, tietosuojavaltuutetulle ilmoittaminen on pakollista. Viranomaisille ilmoittamatta jättäminen on viestinnällisesti erittäin tulenarka aihe. On vaikea kertoa yrityksen olevan vastuullinen toimija, jos tällaisessa tilanteessa ei tehdä riittäviä viranomaisilmoituksia. 

 
Esimerkkejä tilanteista, joissa voi olla viitteitä hybridivaikuttamisesta
 
1.
Joku murtautuu mielenterveyspalveluita tuottavan yrityksen tietojärjestelmiin ja anastaa asiakkaiden arkaluontoisia potilastietoja. Useita vuosia tämän jälkeen tietomurron uhri X, jonka tietoja on anastettu, hakeutuu julkisen organisaation korkean tason tehtävään ja tulee valituksi. Tietomurrossa tietoja käsiinsä saanut Y vuotaa henkilöä X koskevia arkaluontoisia tietoja ja pyrkii horjuttamaan organisaation luotettavuutta. 

2.
Iso suomalainen organisaatio suorittaa tärkeää yhteiskunnallista tehtävää yhteiskunnan elintärkeiden toimintojen parissa. Organisaation henkilöstön sisäistä viestittelyä päätyy kaikkien luettavaksi internetin keskustelupalstalle. Viestien sisältö on kiusallista organisaation toiminnan ja sitä kohtaan tunnetun luottamuksen kannalta. Tarkemmassa selvittelyssä huomataan, että viestit ovat peräisin henkilöstön matkapuhelimista ja ne ovat aitoja. Miten tiedot ovat päätyneet vääriin käsiin? Onko ne saatu jonkinlaisella vakoiluohjelmalla? Onko saastuneita laitteita enemmänkin? Miksi me olemme kohteena? Onko vastaavaa tapahtunut muissa samanlaisissa organisaatioissa? 
 
3.
​Pk-yritys valmistaa tavaroita tai tuottaa palveluita, joita käytetään koko maassa ja viedään jonkin verran ulkomaillekin. Yrityksen tietoja anastetaan tietomurron yhteydessä. Vuotaneiden tietojen perusteella yrityksen toiminnan vastuullisuus kyseenalaistetaan. Vuodetut tiedot ovat osittain oikeita ja osittain vääristeltyjä. Mainekriisi saadaan torjuttua, mutta yrityksen nimi on liitetty vahvasti vastuullisuusskandaaliin ja skandaalin jäljet näkyvät netin hakutuloksissa vielä vuosienkin päästä. Kyberrikoksen tehnyt taho tai tältä taholta tiedot itselleen hankkinut kolmas taho pyrkii osoittamaan yrityksen toiminnan kaksinaamaisuuden. Yritys ei silti ole varsinainen kohde vaan osa laajempaa kampanjaa, joka kohdistuu muihinkin yrityksiin ja organisaatioihin.

Video:
Hybrid Threats
Council of the EU, 2016