Fortumilla yli 20 vuotta työskennellyt Juha Härkönen on joutunut urallaan moneen tiukkaan paikkaan. Haastattelussamme hän kertoo tärkeimmät oppinsa Venäjältä ja listaa turvaohjeensa suomalaisille yrityksille.
Sattuma ja haasteiden hakeminen ovat johdattaneet Fortumin turvallisuusjohtaja Juha Härkösen uraa. Hän ilmoitti nuorena ammatinvalintapsykologille haluavansa olla joko poliisi tai juristi.
”Ammatinvalintapsykologi sanoi, että olen poliisiksi liian pehmeä ja takamus ei kestä juristina istumista”, Härkönen hymyilee nyt vuosia myöhemmin paljon asioita kokeneena juristina ja entisenä poliisina.
Viime aikoina hän on saanut paljon kiitosta työstään. Aalto EE, Elinkeinoelämän keskusliitto EK ja Finnsecurity ry palkitsivat Härkösen hiljattain vuoden turvallisuusjohtajana. Piakkoin odotettavissa on Tietoturva ry:n vuoden tietoturvapäällikön palkinto.
Turvallisuuden lisäksi musiikki on Härkösen intohimo. Hän esitteleekin ylpeänä Led Zeppelin vinyyliä ja David Bowie -kirjallisuutta.
Fortumin turvallisuusjohtajana Härkösen eteen ovat tulleet pandemia ja Venäjän hyökkäyssota. Aiemmin Härkönen oli mukana perustamassa ja johtamassa Keskusrikospoliisiin tietotekniikkarikosryhmää vuosina 1994–2000. Ryhmä on sittemmin kehittynyt nykyiseen muotoonsa KRP:n kyberrikostorjuntakeskukseksi.
Edessä tyhjä paperi ja käskynä hoitaa homma
”Todella monta kertaa olen ollut tilanteessa, jossa eteeni on laitettu tyhjä paperi ja sanottu, että hoida homma”, Härkönen kuvailee uratietään.
Härkönen aloitti 1980-luvulla poliisissa tietoturvarikosten parissa. KRP:ssä piti Härkösen piti todellakin aloittaa aivan tyhjästä. Kyberturvallisuuden tutkintametodit ja tarvittava lainsäädäntö puuttuivat. Samoin elintärkeät kansainväliset yhteydet FBI:hin, Scotland Yardiin ja muihin alan toimijoihin piti luoda nopeasti.
Kyberturvallisuus oli täysin uutta. Internet ei tunnetusti tunne valtioiden rajoja, mikä oli vallankumouksellista alalle. Haittaohjelmat, joita tuolloin kutsuttiin tietokoneviruksiksi, levisivät nopeasti.
”Jossain oli teinipoika, joka teki tietokoneella asioita, jota muut eivät halunneet tämän tekevän. Yksi ensimmäisistä tapauksissa oli se, kun joukko henkilöitä hakkeroi itsensä yliopiston tietokoneille. ”
Turvallisuus alkoi tuolloin siirtymään digitaaliseen muotoon. Ihmiset alkoivat käyttämään elektronisia laitteita. Näin myös poliisin käyttämät todisteaineistot olivatkin sähköisessä muodossa. Sitä ennen mentiin ihmisten kotiin katsomaan löytyykö mitään, Härkönen muistelee. Hän oli myös tuomassa Suomeen telekuuntelua ja televalvontaa.
Vuosituhannen taitteen maailma oli selkeämpi ja turvallisuustilanne vähemmän monimutkainen kuin nykyään. 1990-luvulla ja varsinkin kylmän sodan aikajana osapuolet näyttäytyvät paljon selkeämmiltä.
”Maailma on ihan sekaisin. En muista aikaa, milloin asiat olisivat olleet näin. Nyt voi tapahtua ihan mitä vain. Kukaan ei voi ennustaa, tapahtuuko Kaukoidässä tai Lähi-idässä jotain, mikä sitten eskaloi toisen konfliktin jossain aivan muualla.”
Tässä maailman tilanteessa turvallisuusosaamisen tarve ei tule ainakaan vähentymään, Härkönen toteaa. Tästä on helppoa olla samaa mieltä.
Mitä Fortumissa tapahtui helmikuussa 2022?
Härkösen yli 20 vuoden Fortum taipaleen aikana yritys on kasvanut rajusti, mikä on lisännyt työtaakkaa.
”Olin vastuussa siitä, että yhtiö selviää kuivin jaloin pandemiasta. Aikamoisia kuperkeikkoja sain tehdä.”
Myöskään pandemian hoitoon ei ollut valmista tiekarttaa.
”Alan aina miettimään asioita eri näkökulmista. Se on auttanut haasteellisissa työtehtävissä. Tärkeää on myös erottaa olettamukset ja faktat toisistaan.”
Venäjälle laajentuminen ja sieltä vetäytyminen tarjosivat Härköselle unohtumattoman kulttuurisen oppitunnin. Esimerkiksi ruotsalaiselle ei voi puhua samalla tavalla, kuin venäläiselle.
Venäjän aloitettua suurhyökkäyksen helmikuussa 2022 Fortumin ykköshuoli oli yhtiön Venäjällä olevat työntekijät ja liiketoiminta.
Venäjän lainsäädäntö kielsi esimerkiksi sota-termin käytön Ukrainan yhteydessä. Härkösen työpöydälle tuli pohtia, että miten Fortum kommunikoi työntekijöidensä kanssa, ilman että nämä joutuisivat vankilaan.
Fortumilla oli tuolloin 3 500 työntekijää Venäjällä.
”Jouduimme myös länsimaalaisten hakkereiden mustille listoille. Potentiaalinen uhka tuli sekä sieltä että venäläisistä hakkereista. Minulle oli pienoinen yllätys, miten hyvin selvisimme ensimmäisestä talvesta.”
Huhtikuussa 2023 Venäjän viranomaiset ottivat hallintaansa Fortumin omaisuuden Venäjällä. Fortum joutui toukokuussa alaskirjaamaan koko 1,7 miljardin euron Venäjän-liiketoimintonsa. Venäjä-taipaleen hinnaksi tuli on yhteensä noin kaksi miljardia euroa, Fortumin toimitusjohtaja Markus Rauramo arvioi tuolloin.
Venäjä, Venäjä, Venäjä
Härkösen tärkein oppi Venäjästä on se, että venäläisten toimintaa ei voi hahmottaa länsimaisesta näkökulmasta. Länsimaalaisten näkökulmasta irrationaaliset päätökset voivat olla venäläisille täysin järkeenkäyviä.
Härkönen kertoo saaneensa venäläisiltäkin kiitosta kyvystä ajatella asioita venäläisen kulttuurin näkökulmasta. Länsimaissa uskottiin pitkään, että Venäjä kykenisi demokratisoitumaan. Jälkiviisaana tämä vaikuttaa turhalta toivolta.
”Venäjällä on ollut 1500-luvulta eteenpäin yksinvalta. Venäjän kansalla ei ole mallia päätöksentekoon osallistumisesta, joten he päättävät etteivät halua lainkaan osallistua siihen.”
Härkönen kertoo ymmärtäneensä Venäjään paremmin hoksattuaan, että muilla Itä-Euroopan mailla on huomattavasti erilainen historia.
Kommunismin romahdettua Puolassa, Unkarissa, Romaniassa ja muissa Itä-Euroopan maissa oli edelleen ihmisiä, jotka muistivat toista maailmansotaa edeltäneen itsenäisyyden, suhteet länsimaihin ja yksityisyrittäjyyden. Venäjällä näin ei ollut.
Olisiko Härkönen enää ikinä valmis työskentelemään yrityksessä, joka toimisi Venäjällä?
”Täytyy mennä aikaa, että tällainen luottamus syntyy. En pysty kuvittelemaan mitä Venäjällä tapahtuisi, että luottamus palaisi. Pelkästään presidentti Vladimir Putinia vaihtamalla maa ei muutu.”
Pakko varautua pahimpaan
Venäjän hybridivaikuttamiseen on yrityksissä pakko varautua. Jättämällä ikävät skenaariot huomioimatta yritys kerjää itselleen vaikeuksia.
Pitää luoda suunnitelmat, jolla turvataan liiketoiminnan jatkuvuus. Alan muotisana on sietokyky. Kaikkea ei voida estää tapahtumasta, mutta varautua voidaan. Kotonakin pitää olla juomapullo, siltä varalta hanasta ei tule mitään, Härkönen vertaa.
Miten yrityksen kannattaa toimia, kun tilanne on jo päällä ja yritys on joutunut esimerkiksi kyberhyökkäyksen kohteeksi?
Etukäteen on pakko olla pohdittuna, ketkä hoitavat yrityksen päätöksenteon kriisitilanteessa. Härkönen suosittelee pitämään ryhmän pienenä, jotta tilanne ei monimutkaistu enempää. Yritysten on syytä varautua jo kriisin sisällä tulevaan. On pohdittava, mikä on seuraava asia, joka voi mennä rikki.
”Tiedottaminen on elintärkeää. Usein tiedottamisella joko hävitään tai voitetaan kriisit. Huonosti hoidettu tiedottaminen saattaa olla pahempi mainehaitta kun itse kriisi.”
Härkönen kertoo, että yksityisten kyberrikollisliigojen ja valtiollisten toimijoiden erottaminen toisistaan on todella hankalaa. Useat valtiot, kuten esimerkiksi Venäjä, Kiina ja Pohjois-Korea, hyödyntävät kyberrikollisuutta.
Erityisen ikäviä ovat kyberhyökkääjien käyttämät kiristyshaittaohjelmat, jotka estävät yritysten pääsyn omaan dataan tai ohjelmistoon. Usein rikolliset pyytävät lunnaita tietojen palauttamisesta.
Toinen uhkatekijä ovat vakoiluohjelmat, jotka voivat kaivaa yritysten taloustietoja ja henkilöstön tietoja. Nämä tiedot ovat internetissä rahanarvoista valuuttaa.
Erityisesti Härkönen kehottaa seuraamaan energiasektoria, joka on yhteiskunnan kannalta kriittisen tärkeä. Myös Vladimir Putin tietää tämän.
”Putin on sanonut ääneen, että he haluavat tarkkailla energiatuotantoa.”
Tekoäly huolettaa
Turvallisuusala on jatkuvaa kilpajuoksua ja kilpavarustelua. Kaiken nähnyt ja kokenut Härkönen kertoo, että alalla ei enää tule vastaan järisyttäviä yllätyksiä. Tämä siitä huolimatta, että kyberturvallisuus kehittyy jatkuvasti. Tekoäly on uusin buumi.
Historiaa kun katsoo niin isoihin mullistuksiin on sopeuduttu. Ovatko ne sitten mullistuksia ollenkaan, Härkönen sanailee. 1980-luvulla atk mullisti maailmaa, 1990-luvulla puolestaan internetin yleistyminen.
Tekoälyssä Härköstä huolettaa valtaisa into, joka saattaa kostautua naiiviudeksi. Herkästi unohdetaan, että tekoälyn takana on aina joku ihminen tai muu taho. Härkönen suosittelee yrityksille malttia tekoälyn valjastamisessa.
Yrityksen pitää ymmärtää, että tekoälylle annettu tieto on poissa omista käsistä ja sitä voidaan käyttää jopa yritystä vastaan.
”Pitää olla kriittinen sen suhteen. Ei saa pitää tekoälyä absoluuttisena totuutena. Tekoälyä voi manipuloida tai se voi manipuloida meitä. Voimme pian olla tilanteessa, jossa ei tunnisteta, mikä on totta ja mikä valhetta.”
Turvallisuusalasta monelle saattaa tulla ensimmäisenä mieleen vartijat, lukot ja fyysinen turvallisuus.
Joillakin ihmisillä on virhekäsitys, että kyberturvallisuuden ja fyysisen turvallisuuden pystyisi edelleen erottamaan toisista, Härkönen kuvailee.
Yritykselle on aivan yhtä vaarallista, että hakkeri kääntelee tehtaan nappeja digitaalisen yhteyden kautta.
”Ala on tekninen, mutta viime kädessä olen ihmisten kanssa tekemisissä.”