SwiftChange

Digipoolin vuosikertomus 2020

11.3.2021 klo 13.15

Yleistä

Vuonna 2020 Digipoolin toiminnan keskeisinä tavoitteina olivat viestinnän määrätietoinen lisääminen, TIETO20-harjoituksen menestyksekäs toteutus, kyberturvallisuuden toimialakartoituksen tulosten läpikäynti toimialoittain, osallistuminen Kyber2020-ohjelmaan sekä Digitaalinen Turvallisuus 2030 -ohjelman määrittelyyn. Näiden lisäksi tavoitteina olivat muiden erikseen sovittavien projektien toteutus ja kansainvälisen yhteistyön aloittaminen.

Viestintää tehtiin 2020 vuonna määrätietoisesti 2019 tehdyn strategian ja siihen liittyneen viestintäsuunnitelman mukaisesti. Viestinnän kanavia lisättiin ja viestinnässä näkyivät toiminnan painopisteet ja tuotokset. Näkyvimpiä viestintä aiheita olivat TIETO20-harjoitus ja Toimialojen kyberturvallisuuden tila -toimialakartoitus tuloksineen.

Toimintaverkoston toiminnan edistäminen toteutui Digipoolin ryhmien säännöllisissä tapaamisissa, Digitaalinen Turvallisuus 2030 -ohjelman suunnittelussa, TIETO-harjoituksen toteutuksessa sekä joulukuisessa Digipoolin webinaarissa. Lisäksi verkoston toimintaa edistettiin jo mukanaolevien yritysten ja uusien, toimitusketjussaan kriittisten, yritysten tapaamisissa.

 

Harjoitustoiminta

Konkreettisimmin harjoitustoiminta Digipoolin osalta näkyi toimintavuoden aikana TIETO20-harjoituksen toteutuksena. Koronaviruspandemia vaikutti harjoituksen toteutukseen monella tavalla. Alkuperäiset suunnitelmat tehtiin useaan kertaan uudestaan, kun jokainen harjoituksen vaihe siirrettiin vuorollaan etäjärjestelyiden varaan.

Vuonna 2020 harjoitukseen liittyi erilaisia tapahtumia, palautekyselyitä ja harjoittelijoilla teetettyjä kotitehtäviä. Harjoittelijoille toteutettiin palautekysely kaikkien tapahtumien jälkeen ja samoin kotitehtäviä teetettiin tapahtumien välillä. Palautekyselyillä ja kotitehtävillä ohjattiin harjoittelijoita selvittämään oman organisaationsa varautumissuunnitelmien tilannetta ja löytämään niihin kehityskohteita.

 

TIETO20-harjoituksen vaiheet

Perehdytystilaisuus

Harjoitus avattiin alkuperäisen suunnitelman mukaisesti perehdytystilaisuudella Helsingin Musiikkitalossa 12. helmikuuta. Tilaisuudessa kuultiin hyviä alustuksia harjoituksen tärkeydestä, tavoitteista ja muista harjoituksen aiheista. Tilaisuudessa oli osallistujina paikalla 165 henkeä kymmenistä eri organisaatioista.

MOD1

Harjoituksen ensimmäinen moduuli (MOD1) siirrettiin järjestettäväksi etänä ja moduuli pidettiin 27. toukokuuta. Moduulia edeltäneet kotitehtävät sekä moduulin sisältö keskittyivät organisaatioiden suunnitelmiin ja niissä hybridi-, informaatio- ja kriisiviestinnän aiheisiin. Moduuli sisältöineen johdatteli osallistujat priorisoimaan organisaation tuottamia palveluita ja teknisiä järjestelmiä. Esiintyjinä toimivat eri aiheiden erityisasiantuntijat. Online-tapahtumassa oli mukana koko päivän n. 180 henkeä.

MOD2

Harjoituksen toinen moduuli (MOD2) järjestettiin myös etäjärjestelyin päivitetyn aikataulun mukaisesti 8. ja 15. syyskuuta. Moduulin ohjelmassa kuultiin aiheisiin liittyviä alustuksia sekä pidettiin työpajoja osallistujien kesken. Moduulin kotitehtävät sekä alustukset liittyivät häiriötilannetoimintaan yrityksissä sekä osana verkostoa. Alustuksissa kuultiin tilanteissa huomioitavasta juridiikasta, viranomaisten (kuten poliisi) odotuksista ja raportointikäytännöistä ja velvollisuuksista EU NIS -direktiivin alaisilla aloilla. Laajoihin kyberhäiriötilanteisiin liittyvä teoreettinen toimintamalli käytiin läpi sekä käsiteltiin sitä työpajoissa. Moduuliin osallistui kahden erillisen päivän aikana yhteensä n. 190 henkeä.

MOD2,5

Koronaviruspandemian takia tehtyjen harjoituksen uudelleenaikataulutusten myötä havaittiin tarve valmistella/perehdyttää intensiivivaiheen osallistujat tulevaan peliin. Tätä varten päätettiin lisätä harjoitukseen uusi moduuli (MOD2,5). Moduulissa valmisteltiin osallistujat harjoituksen intensiivivaiheeseen ja samalla kerrattiin aiempia oppeja harjoituksesta sekä olemassa olevista rakenteista kyberhäiriöaiheissa. Eri peliryhmiä koulutettiin lokakuun lopulta joulukuulle yhteensä n. 30 tapaamisessa. Tapaamisissa on kannustettu peliryhmiä myös tapaamaan keskenään ennen intensiivivaihetta verkostoitumisen ja valmistautumisen merkeissä ja lisäksi harjoittelijat ovat saaneet kotitehtäviä tehtäväksi, joilla valmistautuvat peliin ja samalla voivat peilata tehtävän aiheita oman organisaationsa suunnitelmiin. Moduulin tapaamisiin on osallistunut lähes 200 henkeä.

INTENSIIVIVAIHE JA PURKUSEMINAARI

Kolmipäiväinen pelillinen intensiivivaihe ja TIETO-harjoituksen purkuseminaari siirtyivät pidettäviksi vuoden 2021 puolella.

 

Verkostotoiminta ja hankkeet

Digipoolin toiminta 2020 perustui johtoryhmän lisäksi kahden alaryhmän, kyberryhmän ja ICT-ryhmän toimintaan. Lisäksi vartiointialan toimijat kohtasivat turvaryhmässä ja tälle syntyi vastinpariksi riskienhallintaryhmä.

Kaikkien ryhmien toiminta oli säännöllistä ja vakiintunutta 2020. Poolin ryhmät toimivat säännöllisessä rytmissä keräten osallistujia hyvällä osallistumisprosentilla tilaisuuksiinsa.

ICT- ja kyberryhmän tapaamisissa säilytettiin vakiorakenne, jossa ensin vierailijapuheenvuoro jakoi tietoa ja herätti keskustelua, ja sitten seurattiin ohjelmien edistymistä sekä johdettiin toimenpiteitä tehtäväksi tai annettiin ohjaavaa palautetta ajankohtaisissa aiheissa.

Digipoolin ryhmien yritysedustajat osallistuivat lisäksi kahteen Digitaalinen Turvallisuus 2030 -ohjelman määrittelytyöpajaan ja muihin järjestettyihin tapahtumiin.

Ryhmien toiminnan lisäksi tehtiin myös toimenpiteitä ryhmien siiloutumisen ehkäisemiseksi. Näistä konkreettisimpana esimerkkinä näkyi Digitaalisen Turvallisuus 2030 -ohjelman tavoitteiden määrittely yhteisissä työpajoissa. Lisäksi ryhmien asiantuntemusta käytettiin yhteisesti tuotettujen materiaalien käsittelyssä.

Yritysjäsenet

Dialogi poolin jäsenyritysten kanssa perustui pitkälti Digipoolin alaryhmien toimintaan ja yritystapaamisiin, joita tehtiin kymmenittäin vuoden 2020 aikana. Tapaamisten myötä kutsuttiin uusia yrityksiä mukaan Extranet-järjestelmän käyttäjiksi ja osallistumaan poolin tapahtumiin ja muihin huoltovarmuusorganisaation tapahtumiin sekä osallistumaan tilannekatsauksiin ja siten osaltaan täydentämään tilannekuvaa. Yritystapaamiset tuottavat HVO Extranet -käyttöä ja verkostoitumista, levittävät tietoutta ja ohjaavat yrityksiä varautumisen aiheissa.

HVO Extranet -järjestelmän käyttöä kehitettiin ja sen avustuksella jaettiin jäsenistölle ajankohtaista tietoa tapahtumista ja tuotetuista materiaaleista pooliorganisaatiossa.

Jäsenistön määrä nousi vuoden mittaan yritystapaamisten ja vartiointiryhmän perustamisen myötä yli 60 yritykseen. Mukanaolevat yritykset ovat validoidusti kriittisiä toimijoita huoltovarmuuden kannalta. Yritysten listaa kartutetaan edelleen mm. tunnistettaessa kriittisiä yrityksiä toimitusketjuista.

Ohjelmat

Digipoolilla oli suunnitellusti merkittävä rooli Huoltovarmuuskeskuksen Kyber2020-ohjelmassa ja pooli oli myös määrittelemässä digitaalisen turvallisuuden ohjelmaa (DT2030) ja sen tavoitteita. Digipoolin henkilöstö ja alaryhmien yritysedustajat osallistuivat tiiviisti DT2030-ohjelman suunnitteluun erillisten työpajojen kautta. Pooli seurasi aktiivisesti hankkeiden edistymistä ja osallistui ohjelman viestintään soveltuvin osin.

Kyberturvallisuus rakennusteollisuudessa

Rakennusteollisuuden kyberturvallisuus oli yhtenä kantavana edistettävänä teemana mukana toiminnan ytimessä läpi vuoden. Digipooli osallistui Rakennusinsinööriliiton kirjahankkeeseen, jossa toteutetaan Kyberturvallisuus asuinkiinteistöissä -kirja. Digipoolin poolisihteeri osallistui ohjausryhmätyöskentelyyn ja käytti Digipoolin ryhmien yritysasiantuntijoita tuotosten katselmointeihin. Kirja julkaistaan vuoden 2021 puolella.

Toisena rakennusteollisuuden aiheena oli läpi vuoden Rakennustietosäätiön (RTS) ohjekorttien kirjoitushanke. Hankkeessa kirjoitettiin Digitaalisen turvallisuuden ohjeet tilaajalle, suunnittelijalle ja kiinteistönpitoon. Digipoolin poolisihteeri toimi toimikunnan puheenjohtajana. Kortit julkaistiin kesäkuussa 2020.

2020 aikana tehtiin myös muita toimenpiteitä rakennusalan kyberturvallisuuden edistämiseksi. Digipoolin ja rakennuspoolin ohjauksessa käytiin läpi Rakennustietosäätiön sekä Sähkötiedon ohjeistukset kyberturvallisuuteen liittyvien päivitystarpeiden osalta. Tuotoksena päivitystarpeet esitettiin näille toimijoille huomioitavaksi ohjeiden luonnollisessa päivityssyklissä. Vuoden 2020 aikana myös hakeuduttiin rakennusalan koulutusohjelmiin vaikuttaviin verkostoihin ja pohjustettiin keskusteluita täydennyskoulutusten luomiseksi ja koulutusohjelmien päivittämiseksi.

Rakennusalaan liittyvät toimet jatkuvat myös 2021 ja pyrkimyksenä on pilotoida tehdyt ohjekortit pilottikohteessa ja havainnoida pilotin kautta muita tarpeellisia vaikuttamisen paikkoja ja päivitettäviä ohjeistuksia. Samoin koulutusohjelmiin vaikuttaminen jatkuu 2021.

SUOKO-kriteeristö ja pilottikokeilut

Huoltovarmuusorganisaation kriittisten toimialayritysten tarpeita liittyen vartiointialaan selvitettiin vuoden lopulla selvityshankkeella. Hanke selvittää, kohtaavatko em. yritysten tarpeet alan tuottamat palvelut nykyisellään ja pyrkii löytämään aiheita, joissa palveluita tulisi kehittää. Hankkeessa teetetään kysely ja siihen liittyvä haastattelu lähes 30 yrityksessä. Selvityshanke tuottaa sisältöä vartiointiryhmän agendalle 2020 vuodelle.

Julkaisut

Kyberturvallisuuden tilanne toimialoilla

Digipoolin toiseksi päätuotteeksi nousseeseen toimialojen kyberturvallisuuden kartoitushanke aloitettiin 2019 aikana ja viimeisteltiin 2020 aikana. Viimeiset yrityshaastattelut tehtiin tammikuussa 2020. Hankkeen raportteja kirjoitettiin ja viimeisteltiin alkuvuoden aikana. Ensin valmistuivat toimialakohtaiset raportit ja myöhemmin valmistuivat julkiset raportit.

Julkiset raportit julkaistiin 5.lokakuuta ja ne löytyvät Huoltovarmuuskeskuksen dokumenttivaraston kautta. Raportista valmisteltiin myös englanninkielinen versio**.

Suomenkielinen raportti:
https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/10/05091400/Kyberturvallisuuden-nykytila-eri-toimialoilla.pdf

Englanninkielinen raportti:
https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/11/26100158/The-current-state-of-cybersecurity-in-different-sectors.pdf

Kyberhäiriötilanteiden juridiikka

Kyberhäiriötilanteissa huomioitava juridiikka selvitys ja yritysohje aloitettiin 2019 puolella. Projekti päivitti aiemmin aiheesta tehdyn selvityksen tuoreella lainsäädäntökatsauksella ja siihen haastateltiin kuusi uutta yritystä juridisista aiheista. Hankkeen tuotokset ja toteutettu yritysohje julkaistiin 2020 vuoden alussa.

Projekti toteutettiin Ficom ry:n toimesta ja materiaalit julkaistiin Ficom ry:n verkkosivujen ja Huoltovarmuuskeskuksen kanavien kautta. Julkaisua myös mainostettiin sosiaalisessa mediassa ja se onkin saavuttanut hyviä latausmääriä useampaakin kautta.

https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/01/24095937/HVK-suosituksia-kyberh%C3%A4iri%C3%B6tilanteessa.pdf

Etätyövälineohjeistus

Koronaviruspandemian myötä tapahtunut siirtyminen laajamittaisesti etätyöhön synnytti huolen etätyön turvallisuudesta. Tähän tarpeeseen päätettiin lähteä tekemään kaupallisesti sitoutumaton ohje yleisimmistä ja käytetyimmistä etätyövälineistä sekä antaa niihin liittyen vinkkejä kovennuksista.

Ohjetta varten järjestettiin kevyt kohdennettu kilpailutus, jonka voitti F-Secure. F-Secure asiantuntijoineen kävi läpi tunnetuimmat järjestelmät ja niiden ohjeistukset. Sen perusteella muodostettiin yrityksille ohjeistus mitä järjestelmiä voi etätyössä käyttää ja millä käytön turvallisuuteen voi vaikuttaa. Lisäksi nostettiin esiin tyypillisimmät käyttöön liittyvät asetukset.

Ohje julkaistiin HVK-ohjepohjille ja jaeltiin Huoltovarmuuskeskuksen dokumenttivarastosta. https://cdn.huoltovarmuuskeskus.fi/app/uploads/2020/07/03140734/Ohjeita-turvallisten-et%C3%A4ty%C3%B6v%C3%A4lineiden-valintaan.pdf

Ohjeeseen liittyen myös tehtiin sosiaalisen median viestintää sen käyttöön saattamiseksi. Etätyövälineohje on yksi Digipoolin ladatuimmista materiaaleista.

Hyvän ICT-palvelun tunnusmerkit

Esimerkkinä poolin toiminnasta nousevasta aiheesta on ”Hyvän ICT palvelun tunnusmerkit” -työnimellä käynnistetty projekti. Erään poolitoiminnassa esille nousseen alihankintasuhteen sopimuksiin liittyvän huonon kokemuksen perusteella lähdettiin tekemään projektia, jonka tavoitteena on estää vastaavaa tapahtumasta laajemmin yrityskentässä.

Projekti käynnistettiin kyberryhmälle esitetyn kokemuksen perusteella ja oppia haettiin myös Digipoolin ICT-ryhmän yritysedustajilta. Projektia valikoitui toteuttamaan Jatkuvuuskonsultointi Oy.

Projektissa haastateltiin 14 asiakasta ja toimittajayritystä sopimussuhteista, joissa oli koettu ongelmia ja haettiin näistä esimerkkejä, joita tulee välttää. Projekti tuottaa yritysohjeen, tapausesimerkit ja vastuumatriisiesimerkit, joiden avulla kyseiset sudenkuopat voidaan välttää sopimussuhteissa.

Projektia tehtiin pääasiallisesti toinen vuosipuolisko 2020 vuoden aikana ja valmis tuotos saadaan käyttöön ja jatkotoimenpiteet toteutukseen (kuten viestintä ja jakelu yrityskentän käyttöön) toimintavuoden 2021 puolella.

Tapahtumat

Digipoolin vuosiseminaari

Digipoolin vuosiseminaari järjestettiin 8. joulukuuta. Webinaarina järjestetty tapahtuma saavutti näkyvyyttä monella tapaa. Kutsuja lähetettiin useiden eri verkostojen avulla. Digipoolin oma verkosto ja Teknologiateollisuuden jäsenyritykset saivat kutsunsa ensimmäisenä. Lisäksi kutsuja levitettiin mm. FISC-, Vahti- ja Dif-verkostoihin sekä sosiaalisen median mainoskampanjan välityksellä.

Webinaariin osallistui noin 400 henkeä. Tallenne on nähtävillä Digipoolin verkkosivujen ja Teknologiateollisuuden YouTube-kanavan kautta.

Webinaarin järjestelyt olivat ainutlaatuiset ja niissä käytettiin virtuaalitekniikkaa, jota on toistaiseksi harvoin nähty webinaareissa. Webinaarin järjestelyissä toimi mukana YLE ja Keho Interactive. Puheenvuoroja pidettiin etänä sekä Ylen studioilla Tampereella sekä Pasilassa. Tapaamiset toteutettiin virtuaalitilassa, jolloin tilanne saatiin näyttämään katsojalle siltä, että tapaamiset olisivat olleet kasvotusten.

 

Turvallisuusmuseon ja HVK:n yhteinen seminaariristeily

Turvallisuusmuseon kannatusyhdistys ja Huoltovarmuuskeskus järjestivät Tätä et kuule muualla -turvallisuusseminaarin 4.-6.maaliskuuta. Seminaari järjestettiin, että vartiointitoiminta ja turvallisuusliiketoimintaa harjoittavat yritykset saataisiin heräteltyä mukaan huoltovarmuustoimintaan ja osallistumaan mm. Digipoolin alaryhmänä 2020 toimineen vartiointiryhmän toimintaan.

Seminaari onnistui keräämään hyvän osallistujajoukon risteilylle juuri ennen kuin koronaviruspandemia esti risteilytapahtumien järjestämisen. Seminaari keräsi myös paljon hyvää palautetta monipuolisen sisällön kautta. Seminaari oli myös esimerkki kansainvälisestä yhteistyöstä, koska seminaarissa oli myös risteilyn Ruotsin päässä oma ohjelmansa paikallisine puhujineen. Kansainvälinen sisältö mahdollisti tilanteen vertailun kahden valtion välisesti.

 

Muut tilaisuudet

Digipooli oli mukana järjestämässä Rakennustietosäätiön webinaaria 23. marraskuuta alan toimijoille. Webinaarin aiheena oli ”Digiturvallinen rakennus”. Webinaari saavutti hyvin huomioita rakennusalalla ja sen myötävaikutuksella alan toimijoiden kesken heräsi ajatuksia alan yhteistoiminnasta kyberaiheissa.

Lisäksi Digipooli on ollut mukana järjestämässä tilaisuuksia muiden poolien kanssa mm. toimialakartoituksen tulosten käsittelyyn.