”Kyberturvallisuusriskeihin herätään vasta niiden toteuduttua”, Pekka Blomberg kertoo. Kuva: Vitali Gusatinsky

Kyberuhat – nopeasti liikkuva maali

Tänä vuonna Suomen pitäisi kansallisen kyberturvallisuusstrategian vision mukaan olla kyberturvallisuuden edelläkävijämaa. Missä todellisuudessa mennään?

Teksti: Päivi Remes

Palvelunestohyökkäyksiä, haittaohjelmia, käyttäjätunnusten kalastelua, identiteettivarkauksia… kyberuhat ovat muodostuneet osaksi elämäämme niin töissä kuin vapaa-aikana. Kun moderni yhteiskunta rakentuu tietoverkkojen varaan, on sen halvaannuttaminen hakkereiden toimesta paitsi pelottava ajatus myös yhä realistisempi uhkakuva.

”Tänä päivänä kaikki on verkottunutta ja digitaalinen informaatio hallitsee maailmaamme”, vahvistaa kahdeksan vuotta Combitechin toimitusjohtajana toiminut Pekka Blomberg, joka on tänä aikana havainnut kokonaisturvallisuustrendin nousun.

LIIKETOIMINTAA KEHITETTÄESSÄ HUOMIO KYBERTURVALLISUUDEN HALLINTAAN

Puolustusvoimat on tehnyt paljon kyberpuolustuksen kehittämiseksi: nykyisin voi mm. suorittaa varusmieskoulutuksen kyberpuolustukseen erikoistuen. Poliisi on perustanut yksikön torjumaan kyberrikoksia. Lainsäädäntö laahaa jäljessä, sillä sitä mukaa kuin ehditään reagoida havaittuihin tietoturvarikoksiin, on kymmenen uudenlaista jo tietämättämme toteutettu.

”Joka kerta yritysjohdossa yllätytään raportoituamme, millaista liikennettä yrityksen verkossa tapahtuu.”

Yritysmaailmassa kyberturvallisuuden hallinnan merkitykseen on herätty kantapään kautta tietomurron jälkipyykin myötä. Jatkuvasti laajemmin verkottuva liiketoiminta tarkoittaa, että yrityksen kriittisiä tiedostoja siirretään, käytetään ja hyödynnetään yhä useammin niin, ettei yrityksen liiketoimintajohdolla ole asiasta tietoa tai oikeanlaista käsitystä. ”Näin on”, Blomberg vahvistaa ja jatkaa: ”Liiketoimintaa voidaan kehittää turvallisesti, kun sekä yritysjohto että henkilöstö ovat tietoisia liiketoimintaan liittyvistä riskeistä ja hallitsevat kyberturvallisuuden kannalta oikeanlaiset toimintatavat. Tämä edellyttää jatkuvaa riskitason seurantaa”.

PIRULLISIN TIETOMURTO ON SELLAINEN, JOTA EI EDES HUOMATA

Yrityksissä kohdataan niin sisäisiä kuin ulkoisia uhkia. Henkilöstö aiheuttaa tahattomasti ja tahallisesti tietovuotoja. ”Jokaisessa isommassa tietomurrossa on yleensä mukana sisäpiiriläisiä”, Blomberg muistuttaa.

”Yrityksen toiminta voi loppua hämmästyttävän nopeasti, jos digitaalinen ympäristö lamautuu.”

Ulkoisista uhista erilaiset tietomurrot tai palvelunestohyökkäykset ovat yritysten riesana. Uusimpana kasvavana uhkana Blomberg näkee tietomurtotilanteen, jossa ei varasteta mitään. ”Yksi pirullisimmista tietoturvarikostyypeistä on sellainen, jossa murtaudutaan sisälle ja käydään muuttamassa esimerkiksi asiakaskannan tietoja. Murtoa ei havaita ennen kuin tietoa ryhdytään hyödyntämään. Pahimmillaan koko järjestelmään menetetään luottamus, kun ei enää tiedetä, mihin versioon tiedosto pitäisi palauttaa ja onko puhdasta versiota edes olemassa”.

Yrityksissä on yleensä suunnitelma siitä, miltä tietoverkko näyttää. ”Kun näytämme, että tällainen teidän verkko käytännössä on, löytyy täysin tunnistamattomia verkkoon kytkettyjä laitteita, kiellettyjä ohjelmistoja ja tunnettuja uhkia sisältäviä ohjelmistoversioita. Puhumattakaan, miten paljon tietoa ladataan Dropboxiin tai muistitikuille”, Blomberg painottaa verkkoliikenteen valvonnan ja tietoturvastrategian jalkauttamisen tärkeyttä.

HYVÄ, PAHA SOSIAALINEN MEDIA

Sosiaalisen median käyttö yrityksissä on kaksiteräinen miekka. ”Sosiaalisessa mediassa esiintyvä vihapuhe voi muuttua konkretisoiduksi toimenpiteeksi. Toisaalta voidaan selvittää, vuotaako yritys hallitsemattomasti sosiaalisen median kautta esimerkiksi tuotekehityshankkeiden osalta. Yrityksissä tulisi tehdä selväksi, mitä sosiaalisessa mediassa saa yrityksestä kertoa.”

EU:N TIETOSUOJAUUDISTUS 2018

Keväällä 2018 astuu voimaan EU:n tietosuojauudistus: tietosuoja-asetus tulee olemaan suoraan sovellettavaa lainsäädäntöä Suomessa. Uudistuksen tavoitteena on paitsi parantaa yksilöiden tietoturvaa myös edistää EU:n digitaalista sisämarkkinoiden kehittämistä.

Yrityksille asetetaan velvollisuus nimittää tietosuojavastaava sekä velvollisuus ilmoittaa tietoturvaloukkauksista. ”Yrityksille on tulossa kovia sanktioita henkilörekisterien vuotamisesta”, Blomberg varoittaa.

Tänä vuonna Suomen pitäisi kansallisen kyberturvallisuusstrategian vision mukaan olla kyberturvallisuuden edelläkävijämaa. ”Kunnianhimoinen tavoite, jonka tarkoitus on varmasti ollut motivoida ihmisiä toimimaan. Olemme kaukana tavoitteesta, mutta oikeanlaisia hankkeita on saatu liikkeelle. Pienenä kansakuntana suomalaiset ovat hyviä eri toimijoiden välisessä yhteistyössä”, Blomberg toteaa. Kyberturvallisuuden osalta työsarka ei ihan heti ole loppumassa. ”Kyseessä on nopeasti liikkuva maali”, Blomberg vahvistaa.

Liittyvät artikkelit