Tietoevry Tech Servicen tietoturvajohtaja Jari Pirhonen jakaa viestintävinkit vakaviin häiriötilanteisiin
Suomen suurin tietoyhteiskunnan valmiusharjoitus TIETO24 tuo yhteen viranomaisia ja yrityksiä eri toimialoilta laajojen yhteiskuntaan vaikuttavien häiriöiden varalta. Tällä viikolla järjestettävässä tapahtumassa virkistetään osallistujien kriisinhallinta- ja viestintätaitoja.
Korona-pandemia, Venäjän hyökkäys Ukrainaan, Itämeren kaapelikatkot ja geopoliittinen tilanne ovat selkeästi kasvattaneet organisaatioiden tietoisuutta varautumisen tärkeydestä. Monet organisaatiot ovatkin vahvistaneet varautumistaan häiriötilanteisiin arvioimalla tilannettaan aiempaa vakavampien skenaarioiden kautta ja harjoitelleet näiden varalle.
Viestintä on olennainen osa vakavien häiriöiden hallintaa. On tärkeää sopia etukäteen tilannetta johtava päätösvaltainen tiimi, menettelytavat sen koollekutsumiseksi sekä toipumisen aikana noudatettavat toimintamallit.
Vakavissa häiriötilanteissa epävarmuus on aluksi suurta, ja tapahtuma herättää usein suurta tiedonjanoa sekä ulkoisesti että organisaation sisällä. Hyvällä viestinnällä informoidaan relevantteja sidosryhmiä tilanteesta sekä taataan työrauha tilannetta ratkoville asiantuntijoille. Jos häiriötilanteella on yhteiskunnassa laajemmin näkyviä vaikutuksia, asianmukaisen viestinnän merkitys korostuu entisestään.
Hyvä nyrkkisääntö on, että häiriöstä ja sen vaikutuksista tiedotetaan mahdollisimman pian. Vaikka yksityiskohdat eivät olisi selvillä, on hyvä viestiä siitä, että organisaatio on tietoinen tilanteesta ja se on ryhtynyt toimiin tilanteen ratkaisemiseksi. Jos mahdollista, on hyvä kertoa myös, milloin seuraava tilannekatsaus on odotettavissa. Spekulaatiot ja virheellinen tieto leviävät usein nopeasti, joten on tärkeää, että häiriötilanteen kohteena oleva organisaatio jakaa tilanteesta virallista tietoa heti kun se on mahdollista.
Monissa vakavissa häiriötilanteissa, kuten esimerkiksi kyberhyökkäyksissä, onnettomuuksissa tai organisaatioon kohdistuvassa informaatiovaikuttamisessa, yksityiskohtien avaaminen organisaation ulkopuolelle ei ole mahdollista esimerkiksi rikostutkinnan vuoksi. Turvallisuusinfraan liittyvien tietojen yksityiskohtainen jakaminen voi myös tarjoilla rikollisille uusia mahdollisuuksia. Lisäksi asiakassopimukset ja niihin liittyvä luottamuksen kunnioittaminen sekä esimerkiksi vakuutusehdot voivat rajoittaa sitä, millaista tietoa on mahdollista julkaista.
Organisaation onkin hyvä tuoda selkeästi esiin se, miksi yksityiskohtia ei voida jakaa suurelle yleisölle. Vältä pelkkää "en kommentoi" -vastausta ilman perusteluita. On hyväksyttävää todeta, että jotain asiaa ei vielä tiedetä tai ei voida kertoa.
Viestinnässä on huomioitava eri kohderyhmät. Näitä ovat ainakin vaikutuksen kohteena olevat tahot, oma henkilöstö, asiakkaat, median edustajat, kansalaiset ja asianmukaiset viranomaistahot. Usein organisaatiot yllättyvät siitä, kuinka paljon viestintää tarvitaan myös tahojen kanssa, joihin häiriö ei vaikuta suoraan. Tietoturvapoikkeamien yhteydessä tapahtuneesta tulisi ilmoittaa myös Kyberturvallisuuskeskukselle ja tilanteen niin vaatiessa myös mahdolliselle valvovalle viranomaiselle.
Organisaatioilla on käytössään lukuisia viestintäkanavia, kuten omat verkkosivut, sähköposti, mediatiedotteet, sosiaalisen median kanavat sekä asiakas- ja sidosryhmätapaamiset. Näitä on hyvä käyttää tarkoituksenmukaisesti keskeisten sidosryhmien tavoittamiseen. Tilannetta kannattaa seurata aktiivisesti myös kolmansien osapuolien kanavissa ja oikaista mahdolliset virhetiedot ripeästi.
Aiemmissa TIETO-harjoituksissa useat osallistujat ovat päässeet harjoittelemaan televisiohaastattelua oikean uutistoimittajan kanssa. Tämä voi olla jännittävä kokemus, jopa harjoitusolosuhteissa. Joskus julkisena kommentaattorina voi toimia tietoturvajohtaja tai viestinnän edustaja, mutta vakavimmissa tilanteissa tyypillisesti organisaation ylin johto on näkyvästi esillä. Tällöin tietoturva-asiantuntijoiden rooli on sparrata johtoa tietoturvakysymyksissä. Tietoturva-asiantuntija auttaa lajemminkin viestinnän ammattilaisia ymmärtämään poikkeaman taustat, mahdolliset seuraukset ja meneillään olevat toimenpiteet.
Organisaation kriisinhallintaryhmien, viestintä kiinteästi mukaan lukien, on hyvä laatia ja ylläpitää yhdessä eri riskiskenaarioita sekä harjoitella niitä varten säännöllisesti. Huoltovarmuuskriittisille yrityksille suunnattu TIETO24 tarjoaa osallistujille mahdollisuuden harjoitella kriisivalmiutta turvallisissa olosuhteissa laajan osallistujajoukon kanssa. Uusi EU-lainsäädäntö lisää useiden organisaatioiden velvoitteita ilmoittaa tietoturvapoikkeamista viranomaisille, joten TIETO24-harjoituksessa testataan myös viranomaisten ja organisaatioiden välistä viestintää.
Parhaimmillaan kriisiviestintä edesauttaa häiriötilanteen ratkeamista, kun osapuolet saavat tarvitsemansa tiedot tehokkaasti. Onnistunut viestintä voi myös kasvattaa asiakkaiden ja muiden sidosryhmien luottamusta organisaation toimintaan entisestään.
Lue lisää TIETO24-harjoituksesta: www.digipooli.fi/fi/tieto24