Kymen Vesi sai tietoturvapäällikön Netumilta: ”Rivimme ovat nyt tiiviit tietoturva-asioissa”
Ulkoistetun tietoturvapäällikön palvelu on tuonut uutta asiantuntijuutta ja yhdessä tekemisen kulttuuria Kymen Veden tietoturvan hallintaan. Uusi tietoturvastrategia jalkautetaan seuraavaksi organisaatioon ja kyberturvaharjoituksen opit viedään käytäntöön.
Kymen Vesi Oy tuottaa ja toimittaa puhdasta vettä koko eteläiseen Kymenlaaksoon Kotkan, Pyhtään, Haminan, Vehkalahden ja Anjalankosken asukkaille ja yrityksille. Sillä on näin ollen kriittinen rooli huoltovarmuuden näkökulmasta. Vesihuollon yhä digitalisoituneempi toimintaympäristö on nostanut tietoturvan entistä tärkeämpään asemaan. Sähkö- ja automaatiomestarina Kymen Vedellä työskentelevä Timo Leppänen kuvailee tietoturvan eri ulottuvuuksia.
– Tietoturva koskettaa olennaisesti paitsi puhtaan veden tuotantoa ja jakelua, myös jäteveden turvallista käsittelyä automatisoitujen ratkaisujen kautta. Asiakastietojen hallinnassa tietoturva on myös tärkeässä roolissa. Viime vuosina erityisesti tiedon eheyteen ja saatavuuteen liittyvät kysymykset ovat nousseet pinnalle, Leppänen kertoo.
Syksyllä 2021 Kymen Vesi päätti ottaa Netumin tietoturvakumppanikseen ja ryhtyi tilaamaan ulkoistetun tietoturvapäällikön palvelua. Netumin asiantuntija toimii yhtenä päivänä viikossa Kymen Veden tietoturvapäällikkönä ja luotsaa yhtiötä entistä parempaan tietoturvan hallintaan.
– Ennen toimimme omilla osastoillamme ja hoidimme käytännössä vain omia osa-alueitamme. Netumin ansiosta rivimme ovat nyt tiiviimmät. Etsimme yhdessä ratkaisuja tietoturva-asioihin ja luomme kaikille yhteisiä toimintamalleja. Tämä on ehdottomasti ollut kumppanuuden merkittävin etu, Leppänen sanoo.
Sähkö- ja automaatiomestari Timo Leppänen, Kymen Vesi
Kybermittarista pohja uudelle strategialle
Ulkoistetun tietoturvapäällikön palvelun myötä Kymen Vedelle on tehty laajalla skaalalla tietoturvaa parantavia toimenpiteitä. Yhteistyö käynnistyi Kyberturvallisuuskeskuksen Kybermittaria hyödyntävällä nykytila-analyysillä, jossa kartoitettiin yrityksen tietoturvan lähtötaso. Analyysiä johti Netumin kyberturvallisuuskonsultoinnin vetäjä Marko Hämäläinen ja sen pohjalta laadittiin uusi tietoturvastrategia Kymen Vedelle.
– Kybermittaria hyödyntäen saimme nostettua esille eri osa-alueiden tärkeimmät kehityskohteet ja pystyimme asettamaan konkreettiset tavoitteet, joilla Kymen Vesi parantaisi tietoturvallisuuskypsyyttään, Hämäläinen kertoo.
Yksi keskeinen uudistus oli tietoturvaryhmän perustaminen. Viikoittain kokoontuvaan tietoturvaryhmään kuuluu neljän Kymen Veden asiantuntijan lisäksi Netumin tietoturvapäällikkö, joka johtaa ryhmää ja ohjaa strategian mukaisten tavoitteiden toteutumista.
– Tuloksia seurataan vuosittain Kybermittarin avulla. Viimeinen tarkastus tehtiin tammikuussa 2023, jolloin lähes jokaisella 11 osa-alueella oli tapahtunut merkittävää kehitystä parempaan, Hämäläinen sanoo.
Kyberharjoitus teki riskit näkyviksi
Yhteistyön yhtenä kohokohtana oli syksyllä 2022 järjestetty kybervarautumisharjoitus. Harjoituksessa Kymen Veden asiantuntijat ja johto saivat ratkaistavakseen kolme eri kyberhyökkäysskenaariota, jotka liittyivät sekä huoltovarmuuskriittisiin järjestelmiin että henkilötietoja sisältäviin kokonaisuuksiin. Skenaarioiden suunnittelua ohjasi Netum, mutta varsinainen yritys- ja järjestelmäkohtainen osaaminen tuli Kymen Veden tietoturvaryhmältä. Tällä varmistettiin skenaarioiden realistisuus. Suunniteltujen skenaarioiden pohjalta Netum rakensi aamupäivän kestävän harjoituksen käsikirjoituksineen ja minuuttiaikatauluineen. Harjoitus sai runsaasti kiitosta.
– Harjoitus oli loistava ja opin siitä älyttömästi. Olen aiemminkin osallistunut ja vetänyt vastaavia, mutta tämä oli ehdottomasti paras kokemus, osittain siksi että skenaariot tulivat meiltä itseltämme. Netum osoitti, että on mahdollista rakentaa harjoitus, jossa todella otetaan kaikki näkökulmat huomioon, Leppänen kehuu.
Kyberturvaharjoitusten räätälöiminen tarkasti asiakkaan toimintaympäristöön tekee Netumin harjoituksista erityisen pidettyjä.
– Näin riskiskenaariot ovat mahdollisimman realistisia ja harjoittelu antaa hyvät välineet tulevaisuuden varalle. Skenaarioiden kautta selviää konkreettisesti kuinka olemassa olevat käytännöt teknisten valmiuksien, viestinnän, tilannejohtamisen ja tilannekuvan ylläpidon osalta toimivat, Hämäläinen sanoo.
Netumin vanhempi kyberturvallisuuskonsultti Atte Karhu ja Kymen Veden Timo Leppänen
Ketterästi muutoksia
Tällä hetkellä ulkoistetun tietoturvapäällikön roolissa ja Kymen Veden tietoturvaryhmän puikoissa on Netumin vanhempi kyberturvallisuuskonsultti Atte Karhu. Strategiatyötä on viety eteenpäin systemaattisesti ja toimenpiteitä jalkautetaan organisaatioon sitä mukaa, kun organisaatio on siihen valmis. Kymen Vesi on Karhun mukaan vankalla polulla kohti parempaa tietoturvaa.
– Tärkein muutos on jo tapahtunut, sillä Kymen Vesi toimii nyt järjestelmällisesti tietoturvan parantamiseksi ja eri yksiköt tekevät yhteistyötä. Toimintaa arvioidaan riskilähtöisesti ja sekä puutteet että kyvykkyydet on tehty näkyviksi, Karhu sanoo.
Ulkoistetun tietoturvapäällikön palvelu on osoittautunut joustavaksi ja kustannustehokkaaksi ratkaisuksi. Jokainen projekti ei vaadi uutta toimeksiantoa.
– Tietoturvapäällikköpalvelun puitteissa voi saada aikaan laajoja uudistuksia. Yhteydenpito on jatkuvaa ja asiakkaan kanssa muodostuu tiivis kumppanuus. Toimenpiteiden jalkauttaminen organisaation vastaanottokyvyn mukaan on palvelun ehdoton vahvuus, koska työ voidaan kohdistaa oikein aina tilanteen mukaan. Silloin jokainen tehty työtunti on asiakkaalle merkityksellinen, Karhu sanoo.
Myös Leppänen on tyytyväinen palveluun.
– Ulkopuolinen asiantuntija, jolla ei ole aiempia sidoksia taloon näkee usein selkeämmin asiat, joihin pitää puuttua. Tämän yhteistyön myötä meillä ei ole enää niin suurena vaarana kangistua kaavoihimme, Leppänen sanoo.