Verkottunut maailma tarvitsee kyberturvaa

Tämänhetkisessä kansainvälisessä kyberturvallisuuskeskustelussa ajankohtaisia teemoja ovat muun muassa 5G-verkkojen ja tekoälyn käytön turvallisuus, tekoälyn eettisyys sekä esineiden internetiin ja automaatiojärjestelmiin liittyvät kysymykset.

Elämme pitkälle digitalisoituneessa ja verkottuneessa maailmassa, jossa kyberuhkien ja -riskien esiinnousu on tuonut kyberturvallisuuden jopa korkeimman tason poliittiselle agendalle: esimerkkinä tästä ovat tasavallan presidentti Sauli Niinistön hiljattain käymät, 5G-verkkojen turvallisuuta käsitelleet keskustelut Yhdysvaltojen presidentti Donald Trumpin kanssa.

5G-verkkojen ja niiden mahdollistamien palveluiden hyödyntäminen nähdään nykyisten LTE/4G-verkkojen tuomaa mobiilidatan laajaa käyttöä merkittävämpänä kehitysaskeleena. 5G mahdollistaa innovaatioita ja verkon uusia ominaisuuksia laajemmin hyödyntävien palveluiden ja sovellusten kehittämisen.

Pari viikkoa sitten julkaistu EU:n 5G-riskiarvio nostaa esiin mobiiliverkkojen ohjelmistopohjaisuuden lisääntymisen ja sen mukanaan tuomat riskit. Vuoden loppuun mennessä julkaistava "risk mitigation toolbox" tuo konkreettisia keinoja riskien hallintaan.

Kansalliseen turvallisuuteen liittyvästä sääntelystä päätetään Suomessa, joten voimme yhteistyössä toimialan ja viranomaisten kanssa luoda parhaat mahdollisuudet 5G:n hyödyntämiselle ja siihen liittyvien riskien hallinnalle.

Suomi sai uuden kyberturvallisuusstrategian – alalla annettavaa sen toimeenpanoon

Vasta julkistettu Suomen kyberturvallisuusstrategia 2019 on tiivis esitys kyberturvallisuuden keskeisistä painopisteistä. Ne ovat

  1. kansainvälisen yhteistyön kehittäminen,
  2. kyberturvallisuuden johtamisen, suunnittelun ja varautumisen parempi koordinaatio sekä
  3. kyberturvallisuuden osaamisen kehittäminen.

Kansainvälinen yhteistyö on tärkeää, koska kyberuhat ja -rikollisuus eivät tunne valtakunnan rajoja. Toisen kohdan kiinnostavia teemoja ovat mm. kyberturvallisuusjohtajan tehtävän perustaminen, yhteiskunnan elintärkeiden toimintojen, välttämättömien palveluiden ja infrastruktuurien määrittäminen, Kyberturvallisuuskeskuksen tilannekuvatoiminnan vahvistaminen sekä yhteiskunnan kriittisten toimijoiden jatkuvuuden hallinnan edistäminen.

Kyberriskien ratkaisuksi esitetään usein yksityiskohtaista sääntelyä tai erilaisia sertifiointijärjestelyjä. Kyberongelmien ratkaiseminen puhtaasti regulaation keinoin on kuitenkin haastavaa ja voi johtaa innovaatioiden sekä niistä saatavien höytyjen vähenemiseen.

Alan teollisuudella on varmasti paljon annettavaa tulevan kehittämisohjelman määrittelyyn ja sen toimeenpanoon. Paras tapa edistää suomalaista kyberteollisuutta on hankkia siltä palveluja.

Rikollisuus siirtyy sinne, missä tapahtuu

Digitalisaatio ja kyberturvallisuus koskettavat kaikkia, vaikka sitä ei aina huomaisikaan.  Valtaosa ihmisistä on mukana sosiaalisessa mediassa ja tekee ostoksia sekä hoitaa pankki- ja viranomaisasioita verkossa.  Kiinteistöjä hallitaan etäkäyttöisillä automaatiojärjestelmillä ja teollisuudessa verkottuneet toiminnanohjausjärjestelmät muodostavat prosessien ytimen. Myös kuljetuslogistiikan ohjaus perustuu täysin tietojärjestelmiin.   

Toiminnan siirryttyä laajasti verkkoon rikolliset ovat tulleet perässä. Jo vuosia sitten laskettiin, että kyber- tai verkkorikollisuuden arvo maailmanlaajuisesti on huumerikollisuutta suurempi. Verkkorikollisuuden ilmenemismuodoista on viime aikoina julkisuudessa ollut ns. toimitusjohtajahuijauksia, kiristyshaittaohjelmia, uhkauksia palvelunestohyökkäyksillä ja kryptominingia.  Kuluttajiin on kohdistunut mm. pankki- ja käyttäjätunnusten kalastelua, tilauspetoksia ja kiristyshaittaohjelmia.

Ennakkovarautuminen ensisijaista

Kyberhäiriötilanteiden hallintaan liittyy myös lainsäädännöstä tulevia reunaehtoja. Huoltovarmuuskeskuksen Digipooli ja FiCom ovat julkaisseet selvityksen kyberhäiriötilanteiden juridisista kysymyksistä. Yksi selvityksen keskeisistä havainnoista on, että ilman sopimuksia ja riittävää ennakkovarautumista toimintamahdollisuudet häiriötilanteessa ovat huomattavan rajatut. Selvitystä ollaan paraikaa täydentämässä ja työstämässä ohjeistuksen muotoon.

On hyvä muistaa, että kaikki häiriöt eivät ole hyökkäyksiä, ja valtaosa häiriöistä johtuu edelleen erilaisista vioista ja virheistä. Tarvittavat varmennukset ja muut varajärjestelyt pystytään helpommin ottamaan huomioon, kun jo toimintaa suunniteltaessa ymmärretään sen kriittisyys. Vioista johtuvien häiriöiden hallinta ja vähentäminen vaatii pitkäjänteistä laadun kehittämistä, kyberturvallisuuden kehittämisen tapaan.

Kyberuhkia torjutaan monin tavoin

Kyberhyökkäyksistä puhutaan usein myyttisinä verkkohyökkäyksinä ja teknisesti monimutkaisina ja ennen tuntemattomia haavoittuvuuksia hyödyntävinä operaatioina.  Yleensä totuus on kuitenkin vähemmän dramaattinen. 

Hyökkääjä voi hankkia toimivat käyttäjätunnukset kalasteluviestillä tai vaikkapa puhelinsoitolla urkkien. "Oikeilla" käyttöoikeuksilla voi lähettää uskottavampia huijausposteja organisaation sisältä, hankkia tietoja tai tehdä kohteessa monia muita asioita.

Käyttäjien koulutus ja kaksivaiheinen tunnistaminen ovat tehokkaita keinoja riskin hallintaan. Mobiilivarmenteen käytön laajeneminen ja suomalaisten pankkien tunnistamisentekniikoiden muutokset ovat hyviä esimerkkejä varmuuden parantamisesta ja kuluttajien paremmasta suojaamisesta.

Puhelinten, työasemien, palvelinten ja muiden laitteiden ohjelmistopäivitykset voivat myös jäädä tekemättä. Käyttöjärjestelmien ja ohjelmistojen päivitysten nopea käyttöönotto niiden julkaisemisen jälkeen vähentää selvästi riskiä haavoittuvuuksien hyödyntämiseen.

 

Jaakko Wallenius on Elisan turvallisuusjohtaja.