New Yorkin WTC terrori-isku ja toiminnan jatkuvuus

Transkriptio

1 Tietojärjestelmäjaoston julkaisu Tietojärjestelmäjaoston 4/2002 julkaisu 4/2002 New Yorkin WTC terrori-isku ja toiminnan jatkuvuus Opit suomalaisille yrityksille ja julkishallinnolle Puolustustaloudellinen suunnittelukunta Helsinki 2002

2 New Yorkin WTC terrori-isku ja toiminnan jatkuvuus Opit suomalaisille yrityksille ja julkishallinnolle Sisällysluettelo 1 Johdanto Tapahtumien taustaa Tutkimuksen taustaa 2 2 Jatkuvuussuunnittelu ja valmiuden rakentaminen 4 3 Katastrofin kohtaaminen ja suunnitelmien toimeenpano Tukipalvelut Kriisitilanteen hallinta Henkilöiden tavoittaminen Evakuointi ja kokoontuminen Tiedottaminen ja tiedotusvälineet Logistiikka ja kuljetukset Varatilat ja varakeskuspalvelut Varajärjestelmien käyttöönotto ja käyttö Tietoaineisto ja sovellukset Laitteisto Tietoliikenne Varavoima Käyttöoikeuksien hallinta Palaaminen normaaliin toimintaan 9 4 Johtopäätökset Mikä meni hyvin toipumista edistäen? Yleistä Tietoaineisto ja sovellukset Tekniikka Tilat ja puitteet Henkilöstö Mikä meni huonosti, mihin ei oltu varauduttu toipumista haitaten Yleistä Tietoaineisto ja sovellukset Tekniikka Tilat ja puitteet Henkilöstö Opit ja suositukset Yleistä Tietoaineisto ja sovellukset Tekniikka Tilat ja puitteet Henkilöstö 16 5 Lähteet 18

3 New Yorkin WTC terrori-isku ja toiminnan jatkuvuus Opit suomalaisille yrityksille ja julkishallinnolle 1 Johdanto 1.1 Tapahtumien taustaa Vuoden 2001 syyskuun 11. päivän terrori-iskun tapahtumat olivat järkyttävyydessään vertaansa vailla. Kaksi kaapattua matkustajalentokonetta törmäsi New Yorkissa World Trade Centerin pilvenpiirtäjätorneihin. Törmäykset aiheuttivat rakennuksiin rakenteellisia vahinkoja ja useampiin kerroksiin levinneen tulipalon. Lopulta vaurioituneet rakenteet, kuumuuden aiheuttama rakenteiden lisäheikentyminen ja pehmentyminen sekä yksittäisten kerrosten ketjureaktiona tapahtunut sortuminen johtivat siihen, että alueen kaksi suurinta rakennusta (kerroksia 110, korkeutta 405 m, toimistotilaa yhteensä m 2, rakennettu vv ) romahti täysin. Nykyisten tietojen (Hakala 2001) mukaan ihmistä sai surmansa, mukana lukuisia organisaatioiden ITasiantuntijoita ja toipumisjärjestelyjen vastuuhenkilöitä sekä n. 350 pelastustyöntekijää. World Trade Center kompleksi koostui seitsemästä rakennuksesta 1 WTC (Pohjoistorni), 2 WTC (Etelätorni), 3 WTC 7 WTC. Sortuvista torneista singonneet rakenteiden osat aiheuttivat ympäröivällä alueella lisää tulipaloja ja sortumia. Kaksoistornien ohella kaikki muutkin WTC-rakennukset sortuivat ainakin osittain. Tuhoutunutta aluetta kutsutaan nimellä Ground Zero. WTC-rakennuskompleksissa oli noin henkilön työpaikat ja siellä kävi noin vierailijaa päivittäin. Kaikkiaan tuhot johtivat noin henkilön uudelleensijoittamistarpeeseen. WTC-torneissa oli lähes organisaation toimipisteet, joukossa mm. American Express, Aon Corp., AT&T, Bank of America, Dow Jones, Deutsche Bank, Fiduciary Trust, Fuji Bank, Lehman Brothers, Morgan Stanley, New York Department of Taxation & Finance, New York Stock Exchange, Sprint, Sun Micro Systems, Verizon Communications ja WorldCom. Organisaatioita oli kaikkiaan 28 eri maasta. Toimialoista pankki ja rahoitus kärsi noin henkilön menetyksen. Osa WTCorganisaatioista ei kärsinyt lainkaan henkilömenetyksiä, kun taas esimerkiksi Cantor Fitzgerald, USA:n suurimpia rahastomeklareita, menetti 680 noin tuhannesta työntekijästään. WTC oli merkittävä finanssimarkkinoiden tietoliikenteen ja Atlantin ylittävän tietoliikenteen solmukohta. Miljoonien ihmisten puhelin- ja internet-yhteydet katkesivat. 1/21

4 WTC-organisaatioiden omista IT-resursseista tuhoutui tieto- ja teleteknisesti lähinnä puhelinjärjestelmät sekä loppukäyttäjien atk, eli työasemat, liitännät ja sisäkaapelointi eli se, jolla oltiin yhteydessä muualla sijaitseviin keskusjärjestelmiin ulkoisine datasiirtoyhteyksineen. WTC:ssä tuhoutuneen omaisuuden vakuutusarvot olivat arviolta miljardia dollaria (Freda ym. 2001). Tuhoutuneen tietotekniikan (tietoliikenne- ja tietokonelaitteet) arvoksi on arvioitu 2-5 miljardia dollaria (Mignav 2002). Terroristi-isku kohdistui myös Yhdysvaltain puolustusministeriön päämajaan Pentagoniin, minkä seurauksena oli 189 kuollutta. Lisäksi yksi matkustajakone syöksyi maahan Shanksvillessä Pennsylvaniassa. Pelkoa ja hämmennystä lisäsi vielä entisestään näiden tapahtumien jälkeen alkanut pernaruttotapaus. Terrori-iskun vaikutukset olivat myös globaaleja tuntuen Suomessakin. Heilahtelut pörsseissä olivat suuria. Joissakin organisaatioissa asetettiin välitön matkustuskielto, mutta myös USA:ssa olleet suomalaiset jäivät lentoliikenteen pysähdyttyä matkustusloukkuun. Turvatoimia tiukennettiin useilla työpaikoilla. Tieto- ja teletekniikan toimitukset Yhdysvalloista viivästyivät tiettyjen komponenttien osalta jopa kahdella kuukaudella. 1.2 Tutkimuksen taustaa Puolustustaloudellisen suunnittelukunnan (PTS) tiedonkäsittelytoimikunnan organisoiman tutkimuksen tavoitteena oli selvittää, millaisia jatkuvuus- ja toipumissuunnitelmia New Yorkin World Trade Center torneissa toimineilla organisaatioilla oli ja miten näitä suunnitelmia voitiin toteuttaa syyskuun 2001 katastrofitilanteessa. Seuraaviin konkreettisiin kysymyksiin pyrittiin löytämään vastauksia: Millaisia toipumissuunnitelmia/varajärjestelmiä organisaatioilla oli käytössään? Mitä puutteita toipumissuunnitelmissa oli? Miten varajärjestelmien käyttöön siirtymisessä onnistuttiin? Mihin asioihin oli hyvin varauduttu? Mitä oppeja tästä olisi saatavissa suomalaisten yritysten varautumiseen? Tutkimusraportissa käsitellään yleisesti liiketoiminnan jatkuvuutta painottaen kuitenkin tiedonkäsittelyn varajärjestelyjä ja niiden käyttöön siirtymistä. Tehtävänä ei ole ollut laatia jatkuvuussuunnittelun käsikirjaa. Tutkimusaineistoa on koottu etupäässä yleisesti saatavilla olleita lähteistä, kuten seminaariesityksistä, www-sivustoista ja lehtiartikkeleista. Lisäksi aineistoa on koottu haastattelemalla kahta toipumisjärjestelyihin osallistunutta palvelutoimittajan henkilöä. Tutkimustyön ohjausryhmänä toimi PTS:n tiedonkäsittelytoimikunnan nimeämä työryhmä, johon kuuluivat: neuvotteleva virkamies Arja Terho, valtiovarainministeriö, puheenjohtaja turvallisuusjohtaja Erkki Heliö, TietoEnator Oyj 2/21

5 tietoturva-asiantuntija Pertti Mujunen, Osuuspankkikeskus-OPK osuuskunta palvelupäällikkö Heli Vihtari, Oy International Business Machines Ab Tutkimusraportin laati konsulttitoimeksiantona toimitusjohtaja Kari Pohjola, Claritas Security Consulting Oy. 3/21

6 2 Jatkuvuussuunnittelu ja valmiuden rakentaminen Gartnerin arvioiden (Fontana ym. 2001) mukaan 85 %:lla suurista organisaatioista on jatkuvuussuunnitelma, mutta vain 25 %:lla niistä on laajempi liiketoiminnan kattava suunnitelma ja vain % niistä on ajan tasalla. Datamation in tutkimuksen mukaan (September 11, Observations and Insights 2001) alle 60 %:lla organisaatioista on suunnitelmat. InternetWeek in tekemän tutkimuksen mukaan (Cheney 2002) 76 %:lla WTC-iskuista selviytyneillä oli liiketoiminnan jatkuvuussuunnitelma ja 16 %:lla sen tekeminen oli vasta budjetoituna. Vain 37 %:ssa suunnitelmista oli otettu huomioon terroristihyökkäys. Jatkuvuussuunnitelmien mukainen tavoitetaso suurimpien sallittujen keskeytysaikojen osalta oli useimmiten tasolla 2-24 tuntia. Suunnitelmissa ei yleisesti oltu varauduttu siihen, että organisaation toipumiseen liittyviä tukipalveluja (esimerkiksi varakeskuspalvelut, logistiikka, asennukset, huolto) olisivat samaan aikaan tarvinneet laajasti muutkin, henkilöstön menetys voisi olla näin mittavaa ja että henkilömenetykset koskisivat toipumisen kannalta ns. avainhenkilöitä. Ihmisten tavoittamista näin laajassa katastrofitilanteessa ei oltu suunniteltu. Jälkeen päin voidaan kuitenkin todeta, että terrori-iskut osuivat rakennuksiin, joissa toimineet organisaatiot olivat poikkeuksellisen hyvin varautuneet katastrofeihin ja joilla oli suunnitelmien lisäksi valmiit sopimukset palvelutoimittajien kanssa. Oletettavasti myös WTC:hen kohdistunut vuoden 1993 pommi-isku oli terävöittänyt varautumista. WTC-torneissa sijainneista keskeisistä toimialoista pankki- ja rahoitusalan organisaatiot olivat kaikki varautuneet jatkuvuussuunnittelulla, osin myös viranomaisvaatimuksista johtuen. Osalla näistä organisaatioista tietotekniikan toipumissuunnittelu pohjautui varakeskussopimukseen koskien tietokonejärjestelmiä ja toimistotilaa. Korkeampaa käytettävyyttä tavoitelleilla oli kahdennetut, kahdessa tai useammassa konekeskuksessa, aktiivisessa käytössä olleet järjestelmät (ns. hot backup transaktiotason peilauksella), jolla tavoiteltiin erittäin nopeaa toipumista. Ainakin yhdellä organisaatiolla tiedettiin kuitenkin varsinaisen keskuksen olleen toisessa WTC-tornissa ja peilauksen toisessa (Buliard 2001). Suunnitelmien ajantasalla pitäminen oli organisaatioissa todettu haasteelliseksi. Organisaatiot muuttuvat (yhdistymiset, pilkkomiset), henkilöt vaihtuvat, vastuut muuttuvat, toimipisteiden sijainnit ja fyysiset puitteet muuttuvat. 4/21

7 3 Katastrofin kohtaaminen ja suunnitelmien toimeenpano Parhaiten varautuneilla organisaatioilla toiminta jatkui lähes välittömästi terrori-iskun jälkeen. Henkilövahingoista kärsineillä toiminta jatkui parhaimmin niillä, joilla avaintehtävien henkilöriippumattomuuteen oli panostettu. Toisaalta oli myös niitä, jotka eivät tienneet mistä edes aloittaa katastrofin jälkeen. Seuraavassa kuvataan esimerkkejä ja arvioita erilaisista tapahtumista ja kokemuksista. 3.1 Tukipalvelut USA:ssa on pitkään ollut useita suuria ja kokeneita alan palvelutoimittajia, kuten Comdisco, IBM ja SunGard sekä pienempiä, mm. Compaq, DavisLogic, EDS, Global Continuity, GuardianIT, MM&I Business Continuity Services, OMS Business Continuity Services ja Strohl Systems. Tukipalvelutoimittajat auttoivat satoja sopimusasiakkaita, mutta palvelutoimittajille tuli lisäksi uusien sopimuksettomien asiakkaiden soittoja vielä viikkojenkin kuluttua. Myöhemmin ilmoittautuneilla oli tyypillisesti pelkät suojakopionauhat tukenaan. Monet organisaatiot (viranomaiset, yritykset) tarjosivat Internetin www-palvelujen kautta maksuttomia tietopalveluita, joita myös hyödynnettiin mm. seuraavista aiheista: kriisijohtaminen, energian saatavuus, viranomaisten tukipalvelut ja hallinnollisten velvoitteiden (verot, ilmoitukset, laskut, palkat ym.) hoitaminen kriisitilanteessa, henkilöstön tukeminen, bioterrorismiin varautuminen sekä linkit muille aiheeseen liittyville sivuille. Rahastamisesta toisten hädällä ei lähteistä löytynyt viitteitä. Pikemminkin linjana vaikutti palvelutarjoajien puolella olevan joustavuus, maksuttomat tiedotus- ja viestintäpalvelut, myös ei-sopimusasiakkaiden palveleminen, lahjoitukset ym. 3.2 Kriisitilanteen hallinta Tapahtuneella oli valtava vaikutus ihmisiin. Monet olivat menettäneet omaisia, ystäviä, sukulaisia ja kollegoja. Tapahtuma-alueella oli ympäriinsä poliiseja, sotilaita, pelastustyöntekijöitä ja ilmatilassa hävittäjälentokoneita. Henkilöstön psyykkinen apu, stressin ja tunteiden hallinta oli alue, johon monilla esimiehillä ei ollut valmiuksia. Trauman aiheuttama työskentelyn tehottomuutta kesti kuukausia. Henkilöstön kriisinhallinnassa suositeltiin (Nash 2001) varsin pian ( ) tapahtuman jälkeen mm. seuraavia toimintatapoja: Pysy rauhallisena, ajattele ennen toimenpiteitä. Toimi päättäväisesti. 5/21

8 Älä keskity syyttelyyn. Ole kärsivällinen, kuuntele henkilökuntaa ja heidän ideoitaan. Motivoi, suuntaa katseet tulevaisuuteen. Kerro totuus, tiedota usein. Jaa tehtäviä, älä koeta huolehtia kaikesta yksin. Johtajuutta kaivataan erityisesti kriisitilanteessa. 3.3 Henkilöiden tavoittaminen Ihmiset halusivat tavoittaa läheisensä ja kollegansa. Erityisesti sähköposti osoittautui käyttökelpoiseksi, samoin matkapuhelinsoitot ja tekstiviestit. Internetiin perustettiin useita vieraskirja-web-palveluita, joihin mm. WTC-työntekijät saattoivat ilmoittaa selviytyneensä ja muut pystyivät seuraamaan ao. tietoja. Tyypillisesti tällaisiin palveluihin rakennettiin linkit myös muihin vastaaviin palveluihin. Organisaatioiden jatkuvuussuunnitelmien mukaiset soittorinkiohjeet olivat usein vanhentuneita tai tuhoutuneet työpaikalla. Työntekijöiden kotona säilytetyt yhteystietoluettelot puolestaan osoittautuivat toimiviksi. 3.4 Evakuointi ja kokoontuminen Heti ensimmäisen törmäyksen jälkeen välittömän evakuointipäätöksen tehneet organisaatiot selvisivät vähimmillä henkilömenetyksillä. Esimerkiksi Morgan Stanley (Ferris 2002) aloitti evakuoinnin heti ja puolen tunnin kuluessa 2 km päässä sijaitseva varatoimipaikka oli toimintakunnossa. Ennalta sovitut kokoontumispaikat olivat usein liian lähellä. Kokoontumispaikat olivat joko tuhoutuneet, vaarallisia tai niihin ei muuten ollut mahdollista saapua. Tämän seurauksena ihmiset jäivät harhailemaan alueelle, eivätkä löytäneet toisiaan. 3.5 Tiedottaminen ja tiedotusvälineet Tiedotusvälineiden (mm. MSNBC.com, CNN.com, CBSNews.com) web-palvelut muutettiin yksinkertaisemmin toimiviksi räjähdysmäisesti lisääntyneen tiedonhaun vuoksi. Esimerkiksi CNN:n sivuilla oli normaalisti 14 milj. sivuhakua päivässä, katastrofin jälkeen jopa 9 milj. sivuhakua tunnissa. Uutisten seuraaminen siirtyi Internetiin, koska työpaikoilla oli vain harvoin radioita tai televisioita, mutta työasemat olivat kaikilla. Palveluiden toimintakyvyn turvaamiseksi www-sivujen grafiikka, videokuvat, mainokset ja linkit riisuttiin pois ja siirryttiin ns. text only- tai war mode tilaan. Lisäksi monet television uutispalvelukanavat jättivät omien web-sivujensa mainostamisen normaalia vähemmälle. Internetin hakukoneet puolestaan suosittelivat television ja radion seuraamista viimeisimpien uutisien seuraamiseksi ja kertoivat, että monet onlinepalvelut eivät ole saatavilla. Osa Internetin uutispalveluista kuitenkin jumiutui täysin ja osassa oli merkittävää hidastumista, mikä aiheutti usein selaimiin time out tilanteen. 6/21

9 Anonyymipalveluita tarjoavat operaattorit keskeyttivät palveluitaan välttääkseen osaltaan harhaanjohtavien hälytysten ja neuvojen välittymistä eri verkkopalveluihin. Katastrofista kärsineet organisaatiot tiedottivat myös itse tilanteensa kehittymisestä omilla sivustoillaan. Useat yksityishenkilöt jättivät kotipuhelinvastaajiinsa tiedotteet tilanteestaan. 3.6 Logistiikka ja kuljetukset Ihmisten (myös toipumisen kannalta keskeisten ihmisten) ja tavaroiden (myös suojakopioiden, laitteistojen) liikkumista rajoitti oleellisesti lentoliikenteen ja -kuljetusten pysähtyminen kolmeksi päiväksi. Myös siltoja ja tunneleita suljettiin. Kuljetusongelmista huolimatta yksin IBM pystyi toimittamaan asiakkailleen korvaaviin toimitiloihin lähes tietokonetta (kannettavia, työasemia, palvelimia) asiakkailleen 10 päivän kuluessa hyökkäyksestä. Lentokuljetuksia korvattiin tieliikenteellä. Henkilöstön työmatkat uusiin ja usein kauempana sijaitseviin tiloihin veivät ymmärrettävästi enemmän aikaa. Kun matkustaminen väheni, lisääntyi kommunikointitarve muulla tavalla ja tietoliikennekapasiteetin tarve kasvoi, esimerkiksi tele- ja videokonferenssit, web-lähetykset sekä etätyö ja käyttö. 3.7 Varatilat ja varakeskuspalvelut Toimintaa hajautettiin paitsi organisaation omiin toimipisteisiin myös uusiin ja samalla myös useampiin toimipaikkoihin riskien hallitsemiseksi. Korvaavien työskentelytilojen järjestäminen edellytti lukuisia kontakteja ympäri aluetta ja kesti useita päiviä. Vaikeutena oli myös tietoliikenneyhteyksien saaminen ko. toimitilaan etäkäyttöä ja yhteyksiä varten. Käytännön vaikeuksiksi osoittautuivat myös puute pysäköintitiloista, kulunvalvonnan luotettava järjestäminen nopeasti uusiin tiloihin, ruokahuollon turvaaminen sekä tilapäisen majoitustilan järjestäminen. Toiminnan jatkuvuuspalvelujen toimittajat (business continuity service providers) puolestaan pystyivät huolehtimaan sopimusasiakkaistaan, vaikka asiakkaille osoitetut varatilat eivät aina sijainneetkaan ennakko-odotusten mukaisesti. Kulunvalvontaa kiristettiin henkilöstön ja palveluiden turvaamiseksi. Alueen kaikki rakennukset ja tilat jouduttiin vähintään siivoamaan pölyhaittojen vuoksi, vaikka muilta vaurioilta oltaisiin säästyttykin. Lähialueen rakennusten myöhemmän sortumisvaaran ja raivaustöiden vuoksi tiloihin pääsy saattoi lisäksi olla estyneenä viikkoja. 7/21

10 3.8 Varajärjestelmien käyttöönotto ja käyttö Tietoaineisto ja sovellukset Kriittistä tietoa ei raportoitu merkittävästi menetetyksi, vaikka huomattavan osan (jopa 60 %) datasta arvioitiin (Ohlson 2001b) olevan kannettavilla tietokoneilla tai työasemilla. Hajautettujen asiakas-/palvelin tyyppisten tietojärjestelmien todettiin olleen toipumisen kannalta kaikkein ongelmallisimpia. Ongelmana oli päästä hakemaan tuoreimmat varmuuskopiot/suojakopiot, vaikka sellaiset olisivat tallessa olleetkin. On myös huomattava, että WTC-tuhosta selviytyneiden organisaatioiden toipuminen ei voinut perustua varmuus- ja suojakopioiden kantamiseen rakennuksesta turvaan. Vanhoille käyttöjärjestelmille ja laitteille tehtyjä sovelluksia jouduttiin myös uudelleenkirjoittamaan uusia alustoja vastaaviksi. Hot backup järjestelyt varakeskuksiin toimivat hyvin. Mm. Comdiscolle peilasi 7 organisaatiota yhteensä 80 teratavua (Scheeres 2001). Myös sovellusvuokrausjärjestelmien (ASP) käyttöä oli helppo jatkaa, kunhan työasema, selain ja pääsy Internetiin oli järjestetty Laitteisto Julkishallinnon organisaatiot priorisoitiin tuotteiden ja palveluiden saannissa. Myös muiden loppukäyttäjien tuhoutuneiden laitteistojen korvaavat toimitukset sujuivat yllättävän hyvin. Vaikka taantuneen laitemyynnin yhteydessä laitemyyjien varastoja oli jo pienennetty, saatiin laitteita erilaisin priorisointitoimenpitein järjestettyä varsin suuria määriä. Toisaalta etsittiin työasemia, palvelimia, puhelinlaitteita, tulostimia ja telefakseja ympäriinsä, mistä niitä vain yksittäinkin oli saatavilla. Keskuslaitteita ei tuhoutuneissa rakennuksissa merkittävästi ollut, vaan ao. laitteet sijaitsivat jo lähtökohtaisesti muissa omissa tai käyttöpalvelutoimittajien tiloissa. Yhtensä syynä tähän oli sekin, että WTC-tornien korkeat vuokrakustannukset eivät houkutelleet atk-keskusten pitämiseen kyseisissä tiloissa Tietoliikenne Terrori-iskun seurauksena Verizon in keskus tuhoutui, mistä aiheutui viikkojen ja kuukausien korjaustyö. Keskus ohjasi yli tilaajayhteyttä (puhelin ja data). Vielä kahden viikon kuluttua tapahtuneesta puhelinliikenteessä oli merkittäviä ongelmia, koska maakaapelien tuhoutuminen oli mittavaa eikä radioverkon antenneja tornien katoilla enää ollut. Verizon in omien arvioiden mukaan kaikki saadaan ennalleen vasta 8/21

11 vuoden 2004 aikana. WTC:n alla sijainnut AT&T:n kaukoverkon keskus sen sijaan oli kahdennettu toisaalle, eikä merkittäviä ongelmia esiintynyt. Tietoliikenteen osalta huomattiin, ettei suunnitelmiin oltu kattavasti päivitetty kaikkia tietoliikenteeseen tehtyjä muutoksia, millä oli hidastava vaikutus toipumisaikoihin. Kun yhteyksien tarve oli monilla samaan aikaan, jouduttiin uusien yhteyksien toimintakuntoon saamista odottamaan normaalia pitempään. Valmiiksi rakennetut ja aktiivisessa tuotantokäytössä olleet vaihtoehtoiset kommunikointitavat osoittautuivat hyödyllisiksi ja toimiviksi. Lähiosavaltioiden välinen puhelinliikenne kaksinkertaistui tapahtumapäivänä. Joillakin organisaatioilla oli valmius siirtää puhelunsa Internetiin. Yhdysvaltojen matkapuhelinliikenne kasvoi nelinkertaiseksi lähitunneiksi tapahtuneesta. Tunnin kuluttua hyökkäyksestä viranomaiset vetosivat kansalaisiin lanka- ja matkapuhelimen käytön hillitsemiseksi hätäpuheluiden ja alueen työntekijöiden sekä omaisten välisten puhelujen pääsemiseksi läpi. Internet-liikenne lisääntyi noin neljänneksen grafiikan ym. riisumisesta huolimatta. Internet-verkko uudelleenreititysominaisuuksineen toimi hyvin Varavoima Sähkönjakelussa oli katkoksia ja häiriöitä koko Manhattanin eteläosassa muuntoasemien ja varasyöttöreittien tuhouduttua. Näille ennustettiin pitkiä korjausaikoja. Varavoiman tarve ylitti varautumisasteen ja generaattorien jatkuva käyttö johti ylikuumenemisiin. Lisäksi poltto- ja voiteluaineiden sekä huoltopalvelujen saannissa oli vaikeuksia. Palvelujen kysyntä lisääntyi, kun pöly ym. partikkelit tukkivat varavoimalaitteiden ilmansuodattimet Käyttöoikeuksien hallinta Heti katastrofitilanteen käynnistyessä osa organisaatioista tarkisti, että autentikointitiedot käyttäjäprofiileinen olivat käytettävissä. Autentikointitietoja ja salausavaimia myös katosi. Ainakin yksi pankki tarjosi asiakkailleen (Hansell ym. 2001) noin kymmenen päivän ajan mahdollisuutta asioida toisten pankkiryhmien automaateilla ilman lisäveloitusta, koska oma automaattiverkosto ei mahdollistanut kaikkia tarvittavia toimia. Kontrollien purkaminen johti myös väärinkäytöksiin, kun pankkiautomaatteja tyhjennettiin nostamalla rahaa ilman online-saldorajatarkistuksia. 3.9 Palaaminen normaaliin toimintaan Jatkuvuuspalvelujen toimittajilla oli tyypillisesti kuuden viikon enimmäispalveluaika, minkä jälkeen kustannukset sopimusten mukaisesti nousivat olennaisesti. Pääosin asiakkaat pystyivät järjestämään siirtymisensä sopimuksenmukaisessa ajassa, koska oli- 9/21

12 vat riittävästi varautuneet asiaan. Viiveitä normalisoinnissa kuitenkin tapahtui, sillä sopivien tilojen löytämisessä ja niiden käyttökuntoon saamisessa oli vaikeuksia. Uusiin pysyvämpiin tiloihin siirtymisen jälkeen on voitu todeta yhteiskunnan toiminnan kannalta merkittävien organisaatioiden (esimerkiksi julkinen sektori, pankki- ja rahoitusala, sähkö- ja vesilaitokset) ryhtyneen parantamaan varajärjestelyjensä tasoa entisestään. 10/21

13 4 Johtopäätökset Tämän mittaluokan katastrofit ovat olleet erittäin harvinaisia. Toisaalta ehkä juuri siksi niitä kannattaakin tutkia huolellisesti, jotta tarvittava oppi saataisiin nykyjärjestelyjen kehittämiseen. Mikä toimi, mikä ei ja miksi? Seuraavassa on luettelomaisesti esitettynä niitä asioita, joissa raportoitiin onnistumisia ja epäonnistumisia. Esitykset voivat olla keskenään osin ristiriitaisia johtuen siitä, että ne eivät kuvaa minkään yksittäisen organisaation tilannetta vaan yleisesti esille nousseita teemoja eri organisaatioissa. Osalla tietty asia toimi osalla ei. 4.1 Mikä meni hyvin toipumista edistäen? Yleistä Jatkuvuussuunnittelu toimii! Tutut yleiset suunnitteluperiaatteet (mm. skenaarioitten läpikäynti) olivat oikeita. Eri organisaatioiden suunnitelmat toimivat varsin hyvin, vaikka niissä ei oltu varauduttu näin mittavaan katastrofiin suunnitelmat joustivat. Aiemmista katastrofeista oppia ottaneet selviytyivät parhaiten. Tilannetta vastaavia harjoituksia oli pidetty. Palvelutoimittajien sopimusasiakkaat olivat olleet säännöllisen testauksen piirissä Tietoaineisto ja sovellukset Kriittistä dataa ei merkittävästi menetetty. Järjestelmien reaaliaikainen varmistaminen (hot backup) varakeskuksen koneille mahdollisti teknisesti nopean toiminnan jatkamisen Tekniikka Palvelu- ja laitetoimittajat hoitivat tehtävänsä hyvin. Internetiä ja muita vaihtoehtoisia viestintäkeinoja/-välineitä käytettiin onnistuneesti Tilat ja puitteet Muita toimipisteitä sekä omien että jopa kilpailijoiden voitiin hyödyntää henkilökunnan sijoittamisessa. 11/21

14 Samaan rakennukseen varsinaisen toiminnan kanssa ei oltu sijoitettu suuria atkkeskuksia. Varakeskukset sijaitsivat riittävän etäällä Henkilöstö Valmiusryhmät saatiin toimimaan. Välittömän evakuointipäätöksen tehneet selvisivät vähimmillä henkilömenetyksillä. Henkilökuntaa oli koulutettu järjestelyihin. 4.2 Mikä meni huonosti, mihin ei oltu varauduttu toipumista haitaten? Yleistä Kaikilla ei ollut toiminnan jatkuvuutta tukevia suunnitelmia tai ne olivat liian tietotekniikkapainotteisia. Liiketoiminnan jatkuvuuteen liittyvät tarpeet ja edellytykset oli arvioitu väärin. Ilman varakeskus- tms. toipumispalvelusopimuksia olevat organisaatiot joutuivat kääntymään palvelutoimittajien puoleen. Suunnitelmien heikkoja lenkkejä olivat ihmiset, työtilat, hajautettu tietojenkäsittely, logistiikka, vaikutusten laajuus ja liiketoimintaprosessit. Jatkuvuus- ja toipumissuunnitelmat eivät huomioineet loppukäyttäjiä riittävästi (esim. työpöydät ja -tuolit, puhelin, puheposti, PC, tulostin, faksi, verkkoliitäntä keskusjärjestelmiin). Oletettiin, että kaikki yhteistyökumppanit ovat sovitusti käytettävissä toipumisjärjestelyihin. Lisäksi suunnitelmissa odotettiin yhteistyökumppaneilta tiettyä roolia, mutta yhteistyökumppaneilla ei itsellään ollut tästä tietoa. Suunnitelmien testauksessa, koulutuksessa ja ylläpidossa oli puutteita. Testeihin oli osallistunut yleensä suppea ryhmä, joka oli myös tehnyt suunnitelmat. Muut eivät välttämättä pystyneet toimimaan suunnitelman mukaisesti. Useilla vastuuhenkilöillä ei ollut suunnitelmasta kopiota Tietoaineisto ja sovellukset Suojakopioita säilytettiin liian lähellä (esim. samassa rakennuksessa tai samassa korttelissa). 12/21

15 Oletettiin, että tuoreimmat varmuus-/suojakopiot ovat aina noudettavissa (jos säilyneet). Tärkeä manuaalinen aineisto ja yhden käyttäjän järjestelmät olivat usein jääneet huomioimatta. Työasemien (ml. kannettavat) olivat usein varmistamatta. Hajautettujen järjestelmien (mm. työasemat, autentikointipalvelin, sovelluspalvelin, tietokantapalvelin) toimintakuntoon saaminen oli hankalaa. Vanhalla tekniikalla tehtyjä järjestelmiä jouduttiin koodaamaan uudelleen. Järjestelmien välinen priorisointi oli virheellinen. Esimerkiksi sähköpostin, puhepostin ja www:n huomiointi osoittautui liian niukaksi Tekniikka Laitteiden ja varaosien saanti oli vaikeaa liikennerajoituksista ja häiriöistä johtuen. Luotettiin vain yhden teleoperaattorin palveluihin. Toimittajien kanssa ei oltu tehty sopimuksia Tilat ja puitteet Suunnitellut kokoontumispaikat eivät olleet saavutettavissa. Varatilat olivat saavuttamattomissa. Ne olivat joko liian lähellä (tuhoutuneet katastrofissa) tai liian kaukana (logistiset ongelmat). Oletettiin, että vapaata toimisto- ym. tarvittavaa työskentelytilaa aina löytyy oman organisaation tarvetta vastaavasti. Ei oltu huomioitu sekä varmuus- että suojakopiotilojen samanaikaista tuhoutumismahdollisuutta. Varatilat havaittiin usein kooltaan selvästi alimitoitetuiksi. Ei oltu varauduttu siihen, että suhteellisen ehjinä säilyneisiin rakennuksiinkaan ei päästetty henkilökuntaa useisiin viikkoihin. Rakennusten romahtamisesta aiheutunut valtava tärähdys alueella oli jäänyt huomioimatta. 13/21

16 Työntekijöille ei varatiloja oltu useinkaan suunniteltu, eikä valmiina siten ollut käsitystä vapaista toimitiloista. Toimitilaturvallisuudessa oli puutteita varkauksia vastaan niin entisten kuin uusienkin tilojen kohdalla Henkilöstö Oletettiin, ettei % henkilöstöstä voida menettää kerralla. Kaikki olivat valmistautumattomia näin suuriin henkilömenetyksiin. Vain harvat olivat varautuneet psyykkisten ongelmien käsittelyyn. Stressi ja tunteet laskivat myös avainhenkilöstön tehokkuutta. Avainhenkilöriippuvuus oli liian suurta. Ei oltu varauduttu siihen, että koko toipumisryhmä menetettiin. Avainhenkilöitä ei saatu myöskään kuljetettua haluttuihin paikkoihin. 4.3 Opit ja suositukset Yleistä On muistettava, että pohjimmiltaan on kyse organisaation toiminnan ja siihen liittyvien prosessien jatkuvuudesta. Kun esimerkiksi koko toiminta siirretään muualle, on se koko toiminnan jatkuvuuteen liittyviä asia, ei pelkkä tietotekniikka-asia. Vaikka totaalista tuhoa pidettäisiin erittäin epätodennäköisenä, organisaation tulee tehdä päätös tilanteeseen suhtautumisesta ei vain jättää noteeraamatta. Skenaarioita on täydennettävä onnettomuuksista tahallisiin tekoihin (ovat usein hankalammin hoidettavia, koska tahallisessa teossa kohteena voivat olla samanaikaisesti myös varajärjestelyt). Organisaatiossa on käsiteltävä samanaikaisesti tapahtuvat vahingot henkilöstölle, tiloille, tietoliikenteelle ja muulle infrastruktuurille sekä laajasti muillekin organisaatioille, jopa suunnitelluille tukipalvelujen toimittajille. On pyrittävä laatimaan joustavia ja soveltamiskelpoisia suunnitelmia keep it simple liian yksityiskohtaiset ja monimutkaiset suunnitelmat voivat olla tehottomia. Kriisitilanteessa tarvitaan koordinointia, mutta tulee välttää yksityiskohtaista ohjausta. Tarvitaan runsaasti luovia ratkaisuja tilanteiden käsittelyyn eri tahoilla ja tasoilla. Toipumissuunnitelmat ja ohjeet yms. dokumentit on säilytettävä toimitilan ulkopuolellakin useissa paikoissa, mahdollisesti myös avainhenkilöiden kodeissa. 14/21

17 Kaikki toipumisjärjestelyt tulee testata. Testaaminen tulee mieltää harjoitteluksi ja kouluttautumiseksi henkilöstölle. Testaamiseen tulee osallistua riittävä määrä henkilöstöä, ei pelkästään harjoitellut vakioryhmä. Toiminnan sisäiset ja ulkoiset riippuvuudet on selvitettävä. Enää ei voi tarkastella pelkästään omaa organisaatiota. Nykyisin on runsaasti myös virtuaaliorganisaatioita, joissa keskeistä on kommunikointi yhteistyökumppaneiden, myyjien, toimittajien ja asiakkaiden kanssa. Organisaatiossa on tunnettava asiakkaat ja omalle kohdalle sattuneen katastrofin vaikutus asiakkaiden suuntaan. Pelkkä datan suojakopiointi ja vahingon sattuessa kopioiden siirtäminen varakeskukseen ei riitä suunnitelmaksi, jos toiminta sietää enintään päivän tai muutaman päivän katkoksia. Vahinkojen syiden rinnalle nostettava seurausten hallinta. Organisaatioiden johdon tulisi entistä paremmin tunnistaa vastuunsa toiminnan jatkuvuudesta. Suunnitelmissa on huomioitava myös normaalitilanteeseen paluu (jos esim. sopimuksen mukaan enintään 6 viikkoa varakeskuskäytöllä). Suunnitelmat ja järjestelyt tulee tarkastaa (auditoida) käyttäen suunnittelutyöstä riippumatona asiantuntijaa Tietoaineisto ja sovellukset Varajärjestelmät on suunniteltava jo itse järjestelmiä suunniteltaessa. Suunnittelussa ei tule lähteä olettamuksesta, että data kannetaan tiloista ulos vahingon satuttua. Dataa ei voi säilyttää pelkästään yhdessä toimipaikassa. Skenaarioihin on otettava varmuus-/suojakopio ym. tilojen denial of access tilanne; kopioiden paloturvallinen säilytys ei välttämättä riitä. Toiminnan tietojärjestelmäriippuvuuden mukaan on syytä harkita laajojen fyysisten vahinkojen varalle esimerkiksi etäpeilausta tai replikointia tai varmistusten ajamista nopealla yhteydellä toisen toimipisteen varmuuskopiointijärjestelmään. Kannettavien tietokoneiden ja työasemien datan varmistamiseen on kiinnitettävä huomiota (esim. varmistusten automatisointi verkkolevyille). Tiedotusvälineiden ja keskeisten viranomaisten web-palveluista olisi tehtävä pelkät tekstiversiotkin, jotta keskeiset palvelut voitaisiin turvata. Sähköiset palvelut ml. tiedotuspalvelut on muutenkin otettava myös varautumisen ja suunnittelun piiriin hankkien keventämisvalmius kriittisten palveluiden käynnissä pitämiseksi. 15/21

18 4.3.3 Tekniikka Turvallisen etäkäyttömahdollisuuden suunnittelu ja järjestäminen tuotanto- ja varajärjestelmään kasvaa yhä tärkeämmäksi. Etähallintamahdollisuuteen tulee varautua tilanteissa, joissa tiloihin ei esim. bioterrorismin vuoksi päästä, mutta laitteet ja järjestelmät sinällään olisivat käyttökunnossa. On huomattava, että tietoliikennekapasiteetin tarve vain kasvaa häiriötilanteessa tietoliikenteen osalta ei ole suositeltavaa suunnitella käytön supistamista. Suunnittelutyössä on ehdottomasti tunnettava palvelimien ja varapalvelimien sisällöt ja sijainnit, ettei laajemmatkaan toimitilavahingot tuhoa molempia ympäristöjä. Laitteita tulisi hajauttaa eri toimipisteisiin tärkeimpien järjestelmien osalta. Puhelinliikenteen osalta on erityisesti suunniteltava saapuvien puheluiden uudelleen reititys Tilat ja puitteet Varakeskuksen on oltava riittävän kaukana varsinaisista omista toimitiloista (vähintään 10 km etäisyys, eräiden vahinkojen osalta suurempi). Suunnittelussa on otettava huomioon vahinkojen heijastusvaikutukset muihin toimipisteisiin sekä huomattava riippuvuus perusasioista: sähkö, vesi ja viemäröinti, lämmitys, jne Henkilöstö Ihmisten suojaaminen on keskeistä verrattuna tietotekniikan tai muun fyysisen omaisuuden suojaamiseen. Suunnitelmat tulee laatia henkilökeskeisemmiksi laitekeskeisyyden sijaan. Suunnittelussa on huomioitava tiedonkulun varmistamiseen liittyvistä järjestelyistä koko henkilöstölle, ml. tilapäiset henkilöt ja yhteistyökumppanit. Vahingon satuttua on tärkeätä varmistaa mahdollisimman nopeasti, että henkilöstö on turvassa; vastaavasti henkilöstöllä on tarve tietää, että perheenjäsenet, kollegat ym. ovat turvassa ja että missä he ovat. Yhteyksien uudelleen rakentaminen henkilöstöön ja asiakkaisiin on keskeistä varsinaisen toiminnan palauttamisessa. On oltava vaihtoehtoisia viestintäkanavia: matkapuhelimet, satelliittipuhelimet, tekstiviestit, sähköposti, www, 16/21

19 On tunnettava, missä henkilöstö kulloinkin on ja ylläpidettävä kattavia ja täsmällisiä yhteystietoja. Johtamisen ja kriisitilanteen hallinta tulee varmistaa ao. avainhenkilöiden menetyksestä huolimatta. Kattavat suunnitelmat ja kattava harjoittelu vähentävät avainhenkilöriippuvuutta. On syytä harkita, onko mahdollista hajauttaa organisaation henkilöstö toimintojen sisälläkin (ml. atk-henkilöstö) useampaan toimipisteeseen. 17/21

20 5 Lähteet A Message to Our Clients and Friends. KPMG, <URL: Arnold, R.L Recovery From Sept. 11 Events Is Slow Process. Vendors Provide Vital Services To Businesses Following Sept. 11 attacks. Disaster Recovery Journal <URL: Ballman, J. 2001a. Merrill Lynch Resumes Business Critical Functions Within Minutes of Attack. Disaster Recovery Journal, Fall <URL: Ballman, J. 2001b. Terrorist Attacks Have Far Reaching Effects On Businesses. Disaster Recovery Journal, Fall <URL: Bament, S Rethinking Telecom Architectures. Business Communications Review, Dec <URL: Barker, O Cell phones prove a lifeline following attacks. USA Today, <URL: Brill, A. Some Lessons from the NYC Experience. Compsec <URL: Buliard, F NY disaster underlines business continuity needs. Banking technology online, <URL: Business & Legal Reports. <URL: Business Continuity Institute, Lesson to be learnt form 11 th September <URL: Business Continuity Planning. The Depository Trust & Clearing Corporation, <URL: Business Tax Extensions New York City. <URL: Cheney, G. 2002, Business as unusual. Australian CPA February <URL: Christian, D.P The Road Ahead: Business Continuity Planning and Risk Management Post 9/11. Federal Emergency Management Agency Observation, Findings, and Recommendations (relating to WTC towers) and Executive Summary. 18/21

21 Ferris, G.J Business Continuity Planning and Disaster Recovery. Presentation to the IIR, Fontana, J., Connor, D Disaster recovery then and now. Network World Fusion, <URL: Foremski, T Assault on America Corporate Impact: Disaster adds to demand for more data back-up technology. Financial Times <URL: Freda, B., Treanor, C., Lesser, M., Closs, R. September 11: Business Continuity Lessons Learned. <URL: Gamble, R Finance Fights Back. Financial Executives International. Gaudin, S. 2001a. Lehman Brothers network survives. Network World Fusion, <URL: Gaudin, S. 2001b. Security takes center stage. Network World Fusion, <URL: Gibson, S America Recovers. eweek <URL: Greenemeier, L The New Face Of Contingency Planning. InformationWeek, <URL: Hakala, P Kuolemaa, tuhkaa ja kyyneliä. Helsingin Sanomat, Hall, M., Mearian, L IT focus turns to disaster recovery. CNN <URL: Hansell, S., Atlas, R.D Disruptions Put Bank of New York to the Test. The New York Times, <URL: Harowitz, S.L Rebuilding on Security s Solid Foundation. Security Management Online, November <URL: Helmer, M.O Security and Disaster Preparedness: New York s Experience. Horvitz, P. IBM Supplies 20,000 Computers to Disaster Recovery Customers. Bloomberg. <URL: Huchette, D.P., Schultz, B The Impact of September 11th on e-government Initiatives. FISSEA Newsletter, December <URL: Huopio, K New Yorkin terrori-iskun välittömät vaikutukset. 19/21

22 Industry Vendors Meet Demands of Clients During WTC Event. Disaster Recovery Journal, Fall <URL: Internet Lifeline amid the World Trade Center. Computer Research & Technology. <URL: Internet proves vital communication tool. CNN. <URL: Lanning, D., Maier, M. The I.T. Toll, World Trade Center tenants struggle to get back to business. Business 2.0. <URL: Lindorff, D Case Study: New York Shipping Association Inc. CIO Insight, Middlemiss, J IT Challenge. Wall Street & Technology, <URL: Mingay, S Business Continuity Planning What has been learnt from Sept 11th. Briefing Presentation. Gartner. Nash, K Ten tips for getting through a disaster. Computerworld <URL: Newell, A. Backup, Recovery and Beyond. Bank Technology News. <URL: Ohlson, K. 2001a. Businesses start the recovery process. Network World Fusion, <URL: Ohlson, K. 2001b. Planning for the worst: Bring in the best. Network World Fusion, <URL: Olavsrud, T Firms Face Daunting Task Of Disaster Recovery. InternetNews.com, <URL: Pappalardo, D., Marsan, C.D How ready are the nation s networks? Network World Fusion, <URL: Sauers, M. (toim.) Attack On America Tuesday 11 September Web Archive of the Sept 11 Attack, <URL: Scannell, E Boss of IBM s Disaster Recovery Center tells what he learned from last week s crisis. InfoWorld, <URL: Scheeres, J Attack Can t Erase Stored Data. Wired, <URL: /21

23 September 11, 2001 Observations and Insights IBM Business Continuity and Recovery Services, US and Canada Client Teleconference, Shore, D Disaster recovery: Hard lessons from September 11. ZDNet UK Tech Update, <URL: Stafford, G.A., Spreen, R.B 2002, IBM Business Continuity and Recovery Services, Teleconference, Surmacz, J IT News in the Time of Crisis. CIO.com <URL: The World Trade Center Attacks A Critical Infrastructure Impact Analysis Office of Critical Infrastructure Protection and Emergency Preparedness. Incident Analysis, Thwaits, A Disaster Planning Makes All The Difference, The new reality after September 11, CRN Canada November <URL: Tietotekniikan turvallisuus ja toiminnan varmistaminen Puolustustaloudellisen suunnittelukunnan tietojärjestelmäjaosto, ohje 1/2002. Wagner, J ISPs, Carriers To The Rescue. InternetNews.com, <URL: Weil, N Networks hit, but telecom stays operational. CNN <URL: Zipperer, J Just-in-Time Recovery. Internet World Magazine, <URL: /21

24 New Yorkin WTC-terrori-isku ja toiminnan jatkuvuus Opit suomalaisille yrityksille ja julkishallinnolle Tätä julkaisua voi tilata osoitteesta: Huoltovarmuuskeskus Pohjoinen Makasiinikatu 7 A Helsinki Puh. (09)