Oras Group halusi selvittää perusteellisesti it-järjestelmien riskit ja niiden toteutumisen vaikutukset yrityksen liiketoimintaan.
Projekti onnistui erinomaisesti, ja esimerkiksi yhtiölle tarjotun kybervakuutuksen hinta laski lähes puoleen. Kun riskit ja niiden vaikutukset ymmärrettiin selvemmin, niitä voitiin myös alkaa vähentämään.
Oras Groupilla oli vuonna 2017 haaste. Maailmalla oli liikkeellä uudentyyppisiä vaarallisia kiristyshaittaohjelmia. Ne olivat jo iskeneet joihinkin yrityksiin ja aiheuttaneet vakavia käyttökatkoja. Oras Groupilla haluttiin varautua asianmukaisesti tähän ja muihinkin it-järjestelmien riskeihin. Yhtiöön oltiin hankkimasta myös kybervakuutusta, joka korvaisi vahinkoja pahimman tapahtuessa.
Oras Groupilla ei kuitenkaan ollut tarkkaa kuvaa siitä, millaisia kustannuksia erilaisten riskien toteutuminen aiheuttaisi, ja mitkä riskit olisivat pahimpia esimerkiksi mainehaittojen ja muiden epäsuorien vaikutusten kannalta. Tarkempi ymmärrys riskeistä auttaisi varautumaan niihin paremmin ja ennaltaehkäisemään ongelmia. Se vaikuttaisi myös siihen, miten kybervakuutus olisi paras mitoittaa. Yhtiössä haluttiin siksi tehdä kunnollinen riskianalyysi.
Kyseessä ei kuitenkaan olisi yksinkertainen projekti. Oras Group on kansainvälinen yritys, jolla on toimintaa parissakymmenessä maassa. Yhtiöllä on kaksi vahvaa brändiä, Oras ja Hansa, ja tuotteita valmistetaan neljässä tehtaassa eri puolilla Eurooppaa.
It-järjestelmistä vastaava johtaja Aki Saurimaa kertoo, että myös it-järjestelmät on hajautettu eri maihin. Konesaleja on Raumalla, Saksan Stuttgartissa sekä Puolassa, ja käytössä on myös erilaisia pilvipalveluja. Riskianalyysin tekeminen vaatisi sekä tekniikan että liiketoiminnan vankkaa ymmärrystä.
”Tuli heti sellainen ajatus, että voisimme tehdä projektin Niklaksen kanssa”, Saurimaa kertoo. Wallenius oli muutamaa vuotta aiemmin tehnyt Oras Groupille erään toisen projektin, ja yhtiössä oltiin hankkeeseen hyvin tyytyväisiä.
Riskianalyysi tuotti yllättäviä havaintoja
Uuden projektin tavoitteena oli saada kattava ymmärrys siitä, millaisia vaikutuksia erilaisten it-riskien toteutumisella olisi Oras Groupin liiketoimintaan. Työkaluksi valittiin siksi tietoturvan liiketoimintalähtöinen arkkitehtuurimalli SABSA. Se on malli, jolla tietoturvaa voidaan tarkastella kokonaisuutena liiketoiminnan lähtökohdista. Näin voidaan saada myös selvä kuva siitä, millaisia kustannuksia riskien toteutumisesta syntyisi.
Projektissa käytettiin myös niin sanottua bruttoriskiajattelua. Siinä riskit mallinnetaan siitä lähtökohdasta, että mitään suojautumismekanismeja ei olisi käytössä. Tämä on hyödyllistä, sillä joskus riskejä saatetaan vähätellä, kun ajatellaan, että niiltä on suojauduttu.
"Koko konsernille johtoryhmää myöten on äärimmäisen tärkeää, että ymmärrämme millaisia meidän riskimme ovat" - Aki Saurimaa, Oras Group
Bruttoriskejä tarkasteltaessa mietitään tilannetta, jossa vahinko voi kaikesta huolimatta tapahtua, ja suojausmekanismit otetaan huomioon vasta seurausten arvioinnin jälkeen.
Näin todellisista riskeistä ja niiden välisistä riippuvuussuhteista saadaan tarkka kuva, mikä on tärkeää kokonaisuuden ymmärtämiseksi.
Saurimaa kertoo, että käytännön työ aloitettiin haastatteluilla. Wallenius haastatteli ensin toimitusjohtajaa ja johtoryhmän jäseniä, ja sitten esimerkiksi tehdaspäälliköitä ja it-yksikön vastuuhenkilöitä.
Tavoitteena oli selvittää, mitä liiketoiminnassa oikeasti tapahtuu, jos erilaiset järjestelmät eivät ole käytössä.
Sitten tutkittiin ongelmaskenaarioita ja sitä, miten kauan erilaisista vikatiloista toipuminen kestää.
Kävi ilmi, että joistain vikatilanteista pystyttäisiin toipumaan yllättävänkin nopeasti, mutta toisissa toipuminen olisi huomattavasti haastavampaa.
Järjestelmien väliltä löytyi myös sellaisia riippuvuussuhteita, joita olisi ollut vaikea havaita ilman kokonaisuuden analysointia.
"Ne olivat pysäyttäviä lukuja", Saurimaa toteaa. "Kävi ilmi, että vahingoissa aletaan aika nopeasti puhua miljoonista. Se laittoi asioita perspektiiviin", hän kertoo.
Yksi keskeinen havainto oli se, miten vikatilanteiden kesto vaikuttaa kustannuksiin. "Pystymme toimimaan vikatilanteissa käytännössä yhden päivän niin, ettei se kauheasti maksa. Mutta ensimmäisen päivän jälkeen kulut alkavat nousta voimakkaasti", kertoo Saurimaa. Tämä on hyödyllinen tieto, kun it-järjestelmille tehdään palautumisjärjestelyjä.
Vakuutuksen hinta laski puoleen
"Niklas teki projektin tuloksista pitkän dokumentin. Kun lähetimme sen vakuutusmeklarille, kybervakuutusten hinta lähes puolittui ensimmäisiin tarjouksiin verrattuna", kertoo Saurimaa.
Vakuutusyhtiöt pystyivät selvityksen avulla paremmin ymmärtämään, miten suuria riskit olivat, ja näin vakuutuksia voitiin tarjota huomattavasti edullisemmin. Projekti itse asiassa maksaisi itsensä jo vakuutusmaksujen ensimmäisen vuoden säästöinä. Saurimaa kertoo, että analyysin tuloksista on kuitenkin vielä enemmän hyötyä yhtiön sisällä.
Projekti maksaisi itsensä jo vakuutusmaksujen ensimmäisen vuoden säästöinä.
"Koko konsernille johtoryhmää myöten on äärimmäisen tärkeää, että ymmärrämme millaisia meidän riskimme ovat", hän toteaa.
Ja kun riskien kokonaisuus ymmärretään paremmin, ongelmia pystytään myös tehokkaammin ennaltaehkäisemään. Saurimaa kertoo, että loppuraportissa oli jo aloitteita riskien vähentämiseen, ja projektin jälkeen yhtiössä onkin tehty parannuksia esimerkiksi järjestelmien palautumisnopeuteen vikatilanteissa.
"Yhteistyö Niklaksen kanssa oli tässäkin projektissa äärimmäisen sujuvaa ja hänen tekemän dokumentaation taso on aivan loistava. Hänet voi laittaa keskustelemaan kenen kanssa tahansa toimitusjohtajasta it-asiantuntijoihin, ja hän osaa aina tulla kysymyksissä sopivalle tasolle. Pidän myös siitä, että projekti etenee ajallaan ja lopputulos on laadukas", kiittää Saurimaa.
"Olen erittäin tyytyväinen tuloksiin, joita projektissa saatiin", hän sanoo.
Samuli Kotilainen on teknologiaan ja talouteen erikoistunut viestinnän konsultti ja sisällöntuottaja. Samulin sähköposti: samuli.kotilainen at contentvision.fi