“Kaikkien tulisi miettiä miten toimia, jos normaalit ja tutut työkalut eivät olekaan käytössä.” – taloushallintoalan varautumisen nykytila
Huoltovarmuuskeskuksen huoltovarmuusorganisaatioon kuuluva Taloushallintoalan pooli selvitti taloushallintoalan varautumisen ja jatkuvuudenhallinnan nykytilaa. Selvityksen mukaan varautuminen häiriötilanteisiin on alalla lähes lineaarisessa suhteessa yrityksen kokoon, mutta myös suurilla yrityksillä on parantamisen varaa.
Pelkistäen voi sanoa, että mitä suurempi yritys, sitä paremmin erilaisiin häiriöihin, katkoihin tai poikkeuksiin on varauduttu. Selvityksen mukaan valtaosassa taloushallintoalan yrityksiä varajärjestelyihin olisi hyvä paneutua nykyistä paremmin.
Varajärjestelyllä tarkoitetaan suunnitelmia miten toimitaan, jos esimerkiksi palvelutuotannossa käytettävässä ohjelmistossa on merkittävä ja pitkäkestoinen häiriö tai miten palveluita tuotetaan, jos alueella on kiertäviä sähkökatkoja. Jokainen taloushallintoalan toimija voi aloittaa oman varautumisen suunnittelunsa vastaamalla kahteen kysymykseen:
1) Mitä kaikkea tarvitsen tuottaakseni palveluita?
2) Mikä on palvelun minimitaso eli mitä priorisoin häiriötilanteessa?
Millä tasolla olet?
Selvitys jakaa taloushallintoalan toimijat kolmeen kategoriaan sen perusteella, miten hyvin häiriötilanteisiin on varauduttu.
Ensimmäinen taso on reaktiivinen selviytyjä. Tällä tasolla ”toimija tunnistaa riskit pääasiassa reagoimalla maailman tapahtumiin. Varautuminen perustuu paljolti henkilöstön osaamiseen ja kiinnostukseen aihetta kohtaan. Tätä tasoa kuvaa ajatus kyvystä ratkaista ongelmat niiden ilmetessä ja kehittää ratkaisut häiriötilan jo ollessa päällä.”
Seuraava varautumisen taso on kokemusvetoinen korjaaja. Tällä tasolla ”toimija pyrkii ennakoimaan riskejä ja tekemään parannuksia tekniseen tietoturvaan ja henkilöstön tietoturvaosaamiseen liittyen, mutta ei vielä omaa kattavia varautumisen prosesseja. Näissä organisaatioissa työskentelee tyypillisesti henkilöitä, jotka ovat aiemmin urallaan kohdanneet vakavia häiriötilanteita ja heillä on kokemusperäistä osaamista tilanteeseen liittyen.”
Ylimpänä tasona on systemaattinen turvaaja. Tällä tasolla ”toimijat ovat ottaneet käyttöön systemaattiset riskienhallintaprosessit ja riskien tunnistaminen on strukturoitua. Systemaattinen turvaaja keskittyy varautumisessaan erityisesti digitaalisiin uhkiin, mutta on myös huomioinut muun tyyppisiä uhkia omassa varautumisessaan.”
Jokaisen taloushallinnon toimijan on hyvä miettiä, millä tasolla itse on ja miten omaa varautumisen tasoa voisi parantaa.
Varautuminen on muutakin kuin tietoturvaa
Taloushallintoalalla koetaan yleisesti, että varautuminen häiriötilanteisiin on yhtä kuin yrityksen tietoturvaratkaisut. On totta, että taloushallinto on tänä päivänä tietotyötä, jota tehdään tietojärjestelmillä, joten siksi tietoturvan korostunut merkitys toimialan varautumisessa on ymmärrettävää.
Tietoturvaan kannattaa ja on syytä panostaa, mutta varautuminen ja jatkuvuudenhallinta on paljon muutakin: henkilöstön osaaminen ja kouluttaminen, tie(-to)liikenneyhteyksien toimivuuden varmistaminen, energian saatavuus, riippuvuussuhteet muista toimijoista, pankkiyhteyksien varmistaminen ja niin edelleen.
Valtaosa tilitoimistoista käyttää kolmansien osapuolien tarjoamia ja ylläpitämiä ohjelmistoja. Tämä voi luoda mielikuvan, että vastuu ohjelmiston ylläpidosta ja jatkuvuudenhallinnasta on yksinomaan ohjelmistotoimittajalla. Yksittäinen yritys voi kuitenkin omalla toiminnallaan kasvattaa tai pienentää ohjelmiston käytettävyyteen liittyviä riskejä. Yrityksen kannattaa miettiä valmiiksi vaihtoehtoiset tavat toimia, jos ohjelmisto ei olisi käytettävissä.
”Tietojärjestelmien toimintahäiriötilanteissa katse kääntyy hyvin nopeasti järjestelmätoimittajien suuntaan, koska vaihtoehtoisia toimintamalleja ei ole mietitty valmiiksi. Vastuut on hyvä linjata sopimuksissa, mutta miettiä vaihtoehtoiset toimintatavat myös käytännössä, ennen kuin se kuuluisa ruskea aines osuu tuulettimeen”, sanoo valmiuspäällikkö Juuso Lehmuskoski.
Erilaisiin häiriötilanteisiin liittyvät vastuut ovat keskeinen osa häiriöiden hallintaa ja liiketoiminnan jatkuvuuden turvaamista. Kun tilanne on niin sanotusti päällä, on hyvä tietää, mistä esimerkiksi tilitoimisto on itse vastuussa ja mistä tilitoimiston käyttämän ohjelmiston palveluntarjoaja on vastuussa. Tämä on syytä dokumentoida varautumissuunnitelmaan, eli kuvata miten ja mistä häiriötä kannattaa aloittaa ratkaisemaan.
Paluuta paperiin ei ole
Selvitys nostaa esiin muutamia alan kannalta kriittisiä perusasioita. Jokaisen alan toimijan pitää tehdä ainakin seuraavat toimenpiteet: varmistaa säännölliset varmuuskopioinnit, harjoitella tietojen palauttamista varmuuskopioista ja ottaa käyttöön kaksivaiheinen tunnistautuminen, jos se ei vielä käytössä ole. Varmuuskopioiden avulla palautuminen vakavistakin järjestelmähyökkäyksistä on mahdollista ja palauttamisen harjoittelu nopeuttaa häiriöstä toipumista takaisin normaaliin palvelutasoon.
Toimiala on erittäin riippuvainen viranomaisten sähköisistä luottamus- ja asiointipalveluista. Digi- ja väestötietoviraston Suomi.fi-tunnistautuminen on sähköinen avain kaikkiin viranomaispalveluihin. Esimerkiksi Verohallinnon, Kelan ja PRH:n palvelut ovat lähes poikkeuksetta sähköisiä. Myös pankkien maksuliikenne on puhtaasti sähköistä. Paluuta paperiseen maailmaan ei käytännössä enää ole.
”Kyberturvallisuuskeskuksen ohjeistuksen mukaan kaksivaiheinen tunnistatuminen on paras keino ehkäistä identiteettivarkauksia tai tunnusten kalastelua. Tämän käyttöönotto kaikille olisi todella matalalla roikkuva hedelmä. En pysty keksimään yhtään hyvää syytä olla käyttämättä kaksivaiheista tunnistautumista kaikissa kirjautumisissa.”, Lehmuskoski sanoo.
Selvityksen mukaan toimijat kokevat, että taloushallintoalan suurimmat uhat liittyvät tietojärjestelmien toimivuuteen, tietoturvaan ja henkilöstöön.
Mitä pooli tekee varautumistason parantamiseksi?
Taloushallinnon pooli julkaisee loppuvuoden aikana taloushallintoalan tietoturvan tiekartan, jonka avulla jokainen alan yritys voi parantaa omaa tietoturvansa ja tietosuojansa paremmalle tasolle. Ennen tiekartan julkaisua jokainen voi tutustua Huoltovarmuuskeskuksen ja Suomen Taloushallintoliiton tuottamiin maksuttomiin tietoturvakoulutuksiin liiton verkkosivuilla. Nämä koulutukset on räätälöity taloushallintoalalle ja siksi niissä huomioidaan toimialan kannalta keskeisimmät seikat.
Kaikkien tulisi miettiä miten toimia, jos ohjelmisto kyykkää.
Varautumisen toimenpiteitä helpottaakseen pooli julkaisee varautumissuunnitelman pohjan, joka huomioi taloushallintoalan huoltovarmuuskriittiset prosessit ja toimialan erityispiirteet. Tämä pohja toimii yksinkertaisena mallina siitä, miten jokainen yritys voi laatia varautumissuunnitelman itselleen, minkälaisia asioita tulee ottaa huomioon ja miten niihin voi varautua.
Harjoittelutoiminta on tärkeä osa varautumista. Taloushallinnon pooli tuottaa loppuvuoden aikana materiaalia harjoitusten pitämistä varten ja järjestää toimialan omia varautumisharjoituksia.
Keskeinen osa varautumista ovat keskustelut asiakkaiden kanssa ja prioriteeteistä sopiminen ”hyvän sään aikaan”. Häiriön sattuessa ennakkoon sovitut poikkeavat tai priorisoidut prosessit, johtovastuut ja valtuutukset auttavat häiriön hallinnassa merkittävästi.
”Yksi tapa harjoitella on myös pohtia vaihtoehtoisia prosesseja. Miten esimerkiksi alv-ilmoitukset annetaan silloin, jos ohjelmisto ja OmaVero eivät toimi tai voidaanko palkkahallinnossa tehdä kopio edellisen kauden maksuaineistosta, jos järjestelmä ei ole normaalilla tavalla käytettävissä. Näitä aiheita on hyvä miettiä yhdessä myös omien asiakkaiden kanssa etukäteen”, Lehmuskoski sanoo.
Selvitys toteutettiin touko–lokakuun aikana vuonna 2024. Selvitykseen kerättiin tietoa sekä avoimella kyselyllä että erillisillä haastatteluilla.
