Haminan Energia kaipasi ulkopuolista apua tietoturvaan – Kybermittari osoittautui oikeaksi työkaluksi

Koronapandemia toi kertaheitolla suomalaisten tietoisuuteen, mitä huoltovarmuus tarkoittaa. Viimeistään Ukrainan sota osoitti, mitkä yhteiskunnan toiminnot ovat kriittisiä huoltovarmuuden kannalta. Energiatuotanto on yksi keskeisimmistä. Tästä syystä myös Haminan Energia päätti keväällä 2022 nostaa tietoturvallisuuden entistä tarkemmin suurennuslasin alle.

– Kriittisen infrastruktuurin yhtiöt ovat totta kai herkullisia kohteita, jos joku taho haluaisi aiheuttaa vahinkoa Suomelle, sanoo Haminan Energian tietohallintopäällikkö Jari Leskinen.

Yrityksen tietoturvan tasoa olisi korkea aika tarkastella myös ulkopuolisen asiantuntijan silmin, ajatteli Leskinen. 

– Olemme aina olleet tietoisia omasta asemastamme yhteiskunnassa ja tietoturvan merkityksestä toimialallamme, mutta viime keväänä nämä kysymykset tulivat aivan uudella rytinällä pinnalle, Leskinen sanoo.

Haminan Energian tietohallintopäällikkö Jari Leskinen

Kumppanilta näkemystä ja kokemusta 

Tavoitteena oli löytää kumppaniksi tietoturvallisuuden asiantuntija, joka voisi kriittisesti arvioida Haminan Energian tietoturvallisuuden kypsyystasoa ja ehdottaa toimenpiteitä sen nostamiseen.

– Keskustelin usean toimittajan kanssa, mutta lopulta Netumin tapa toimia erottui joukosta. Jo myyntitilanteissa heillä oli mukana kokeneet asiantuntijat antamassa vahvoja näkemyksiä. Se herätti luottamusta ja toi uskottavuutta prosessiin, Leskinen sanoo.

Netumin asiakkuusjohtaja ja Kunta- ja Sote-toimialojen vastaava Marita Hämeenoja kertoo Netumille kirkastuneen nopeasti, että Kybermittariarviointi sopisi hyvin Haminan Energian lähtötason kartoittamiseen. Kybermittari on Kyberturvallisuuskeskuksen kehittämä työkalu erilaisten yhteiskunnallisesti merkittävien organisaatioiden tietoturvallisuuden kypsyyden arviointiin.

– Se on erinomainen väline yrityksen oman tilannekuvan analysoimiseen, mutta laajemminkin koko yhteiskunnan tietoturvatason nostamiseen, Hämeenoja sanoo.

Kybermittari on kaikille avoin työkalu, mutta Hämeenoja korostaa kokemuksen ja ammattitaidon merkitystä arvioinnin toteuttamisessa. 

– Yhdistämme Kybermittariarviointiin aina työpajatyöskentelyn ja konsultoinnin. Asiakas ei jää yksin tulosten kanssa, vaan tarjoamme asiantuntemuksemme ja näkemyksemme tulevista toimenpiteistä. Näin työkalusta saa kaikkein eniten irti, Hämeenoja sanoo.

Fasilitoinnista lisäarvoa 

Kybermittariarviointi toteutettiin toukokuun 2022 aikana vanhemman kyberturvallisuuskonsultin Petri Saarenmaan johdolla. Netum fasilitoi työpajat, antoi Haminan Energialle tehtäviä ja laati loppuraportin johtoryhmälle. Saarenmaa näkee, että tietoturvakysymysten parissa työskentelyssä on pohjimmiltaan kyse tasapainon löytämisestä.

– Kyberturvallisuuskonsultointi on luottamuspeliä. Liiallinen pessimismi ja uhkakuvien maalailu lannistaa, mutta liiallinen optimismi estää näkemästä totuudenmukaista tilannetta.  Molemminpuolinen luottamus auttaa arvioimaan läpinäkyvästi ja rehellisesti yrityksen kipupisteet ja kehityskohdat, Saarenmaa sanoo.

Saarenmaa kiittää asiakasta avoimesta asenteesta ja rehellisyydestä läpi prosessin.

– Koska keskustelu oli luottamuksellista ja avointa, pystyimme tarjoamaan asiakkaalle merkityksellistä lisäarvoa Kybermittarin hyödyntämisessä. Pystyimme tuomaan kontekstia kybermittarin tuloksiin ja haastamaan uusien toimintamallien etsimisessä, Saarenmaa sanoo.

Haminan Energia on pieni yritys, jolla ei ole omaa projektinhallintaorganisaatiota tai tietoturvatiimiä, vaan tietoturva hoidetaan osana muuta IT:tä. Sopivan kumppanin löytäminen oli siksi erityisen tärkeää Haminan Energialle.

– Netumin taitavan fasilitoinnin ja projektijohtamisen ansiosta meidän oli helppo hypätä tähän mukaan omien töidemme ohella, Leskinen sanoo.

Petri Saarenmaa, Jari Leskinen ja Marita Hämeenoja