Osallistuimme viime viikolla Digi- ja väestötietoviraston koordinoimaan Taisto-harjoitukseen. Kuudetta kertaa järjestettävän harjoituksen tarkoituksena on tarjota organisaatioille turvallinen tilaisuus harjoitella, testata ja kehittää organisaation digiturvan toimintamalleja kuvitteellisten häiriötilanteiden kautta. Keräsimme tähän blogiin neljä harjoituksesta saatua oivallusta, joista voi olla hyötyä muillekin organisaatioille.
1. Tiimin merkitys korostuu kriisitilanteessa
Harjoitustiimimme koostui teknologian, tulkkausalan, johtamisen ja viestinnän asiantuntijoista. Se, että ympärillä on erilaisia osaajia, oli arvokas voimavara harjoituksessa niin kuin työelämässä yleensäkin. Kun jokainen toi keskusteluun oman näkemyksensä ja asiantuntemuksensa, saimme tehtyä varmasti fiksumpia päätöksiä kuin mitä olisimme tehneet yksin.
Jos käsillä on kriisitilanne josta kenelläkään ei todennäköisesti ole aiempaa kokemusta, herää myös epävarmuus ja pelko siitä, että pystynkö käsittelemään tilanteen varmasti hyvin. Ymmärränkö kokonaisuuden ja tilannekuvan oikein? Jäänkö yksin vaikeiden asioiden kanssa? Tiimin tuki on tässäkin paikallaan.
Tiimin avulla käsillä olevaan ongelmaan voidaan tarttua nopeasti ja oikealla tavalla. Kun vastuuta jaetaan oikeille henkilöille, reagointiaika lyhenee ja mahdollisten uusien ongelmien syntymisen riski pienenee. Tapahtuneen selvittely ja vahinkojen rajaaminen on aloitettava välittömästi, mikä vaatii useamman osaavan tekijän.
2. Varautuminen kannattaa aina
Valmistauduimme varsinaiseen Taisto-harjoitukseen tekemällä annetun ennakkotehtävän. Kokoonnuimme yhteen, otimme esiin kriisiviestintäsuunnitelmamme ja viestipohjamme, ja aloimme ratkomaan kuvitteellista tietovuotoa ChatGPT:ssä. Aiemmin luomamme viestintäpohjat ja toimintamallit auttoivat meitä hyvin tilanteen ratkomisessa mutta huomasimme myös, että olisi hyödyllistä miettiä vielä useampia skenaarioita eri sidosryhmien kanssa.
Varsinaisessa Taisto-harjoituksessa huomasimme, että viranomaisilmoitusten tekemistä ja sitä milloin ilmoituskynnys ylittyy olisi myös hyvä kerrata ja selkeyttää. Harjoituksessa testattiin ilmoituksen tekemistä Kyberturvallisuuskeskukselle, Poliisille ja Tietosuojavaltuutetulle.
Kaikkeen ei voi tietenkään varautua ennakkoon, ja kriisitilanne tulee aina päälle yllättäen. Improvisointi oikeassa tilanteessa on silti olla helpompaa silloin, kun meillä on mahdollisimman hyvin harjoitellut toimintamallit käytössä, ja ennen kaikkea tieto siitä kuka vastaa mistäkin osa-alueesta.
Hyvä vinkki Pipsa Lotta Marjamäen ja Jenni Vuorion kirjoittamasta Viestinnän Johtaminen -kirjasta (Alma Talent, 2021) on jakaa tilanteen johtaminen ja viestinnän johtaminen eri henkilöille. Jos sama henkilö pyrkii johtamaan kumpaakin tonttia, todennäköisesti joko tilannekuvan tai viestintään ja julkisuuteen liittyvän tilannekuvan selkeys ja sitä kautta tehtyjen toimenpiteiden laatu kärsii.
3. Viestinnän oikea-aikaisuus lisää luottamusta
Kun tilanne on päällä, tarvitaan nopeaa reagointia. Vaikka tietoa ei olisi vielä paljoa saatavilla tai syitä ongelman taustalla ei vielä tiedettäisi, on ongelmasta hyvä viestiä heti kun ongelma on havaittu.
Nopea tilanteeseen tarttuminen ja havaitun ongelman esiin nostaminen lisää luottamusta, eivätkä huhut tai väärät tiedot pääse niin helposti leviämään. Ollaan tilanteen ohjaksissa ennemmin proaktiivisesti itse ennemmin kuin reagoidaan väittämiin jälkikäteen.
Viestintää kannattaa jatkaa säännöllisesti vaikkei uutta merkittävää tietoa olisikaan saatavilla, tai kertoa ainakin että tilanteen selvitys jatkuu ja milloin tilanteesta annetaan seuraava tilannekatsaus. Muista ilmoittaa myös kun tilanne on ohi.
Kriisitilanteessa on hyvä ottaa huomioon kaikki eri sidosryhmät, ja miettiä mitä eri viestintäkanavia he käyttävät. Miten tavoitan kaikki asiakkaat, palveluntuottajat tai freelancer-verkoston nopeasti? Oma henkilöstö on yksi tärkeimmistä sidosryhmistä, mutta omille viestiminen saattaa monesti unohtua varsinkin silloin, jos tilanteesta keskustellaan mediassa tai somessa. Missä kanavassa tavoitan kaikki työntekijät parhaiten?
4. Tekoäly saattaa lisätä tietojenkalasteluyritysten uskottavuutta
Taisto-harjoituksen kuvitteellisessa tehtävässä tekoäly oli valjastettu kalasteluviestien ja -puheluiden optimointiin niin, että huijausyritykset olisivat mahdollisimman aidon oloisia. Tekoälyn myötä organisaatioissa on syytä noudattaa aiempaakin suurempaa valppautta.
Jos saisit puhelun jossa pyydetään lähettämään jokin luottamuksellinen tieto esihenkilösi äänellä, on siihen todennäköisesti helpompi haksahtaa kuin perinteiseen “Microsoft-tuen” kalasteluyritykseen. Kalasteluyrityksistä on hyvä jakaa tietoa organisaation sisällä, jotta huomataan jos niitä tulee erityisen paljon tai uskottavasta lähteestä.
Näkökulmia avartava kokemus
Koimme harjoituksen kokonaisuudessaan erittäin hyödylliseksi ja omia näkökulmia avartavaksi. Teimme itsellemme myös listan asioista, joita voimme parantaa todennäköisimpiä uhkia silmällä pitäen. Taisto-harjoitus nosti organisaatiomme varautumisen tasoa, joten totesimme että siihen kannatti käyttää aikaa. Ensi vuonna olemme hyvin todennäköisesti mukana Taistossa jälleen!
Youpretin digiturvatiimi, eli Pekka, Maya, Jani ja Nea