Kyberturvallisuus on päivän sana. Se näkyy nyt kaikissa medioissa, esiin tuodaan uhkakuvia, mutta harvassa artikkelissa tai haastattelussa kerrotaan, mitä yritys tai julkishallinnon organisaatio voisi tehdä oman kyberturvallisuutensa parantamiseksi. Käyn tässä artikkelissa hieman tarkemmin läpi koko kyberturvallisuuden monia ulottuvuuksia.
Mitä kyberturvallisuus on?
Kyberturvallisuus kuvataan usein tietoturvan alueena, joka turvaa informaatioteknologiaa ja jonka tavoitteena on varmistaa sähköisen ja verkottuneen yhteiskunnan turvallisuus. Kyberturvallisuusajattelu yhdistää tietoturva-ajattelun, jatkuvuudenhallinnan ja kriisivalmiuden. Kuitenkin, tällöin keskitytään helposti vain kriittisten tietojen ja toimialojen suojaamiseen ja unohdetaan kokonaisuus. Tämä kokonaisuus, eli informaatiovaikuttaminen, koostuu informaatioteknologiasta ja informaatiopsykologiasta. Informaatiopsykologia voi olla tämän lukijalle uusi termi, joten avaan sitä hieman; se käsittää virheellisen / valheellisen tiedon, eli disinformaation, levittämisen.
Informaatioteknologinen ja -psykologinen vaikuttaminen kulkevat käsikädessä, erityisesti valtiollisella tasolla. Tyypilliset kyberrikollisjengit, kuten brittiläinen Lapsus$, sen sijaan keskittävät toimintansa informaatioteknologian puolelle, tiedon varastamisen ja yritysten kiristämisen muodossa. Suomessa muistamme kaikki vielä hyvin Vastaamon suuren tietomurron ja kiristämisen, joka johti lopulta kyseisen firman konkurssiin.
Suojauduttava ja varauduttava siis on, niin yrityksissä kuin julkishallinnon puolella. Kaikki uhkat eivät kuitenkaan tule rikollisjengien tai autokraattisten valtioiden suunnalta, kriisi voi syntyä muutenkin. Hyvänä esimerkkinä on Nokian kaupungin vesihuollon kriisi marraskuussa 2007, kun yli 400 000 litraa jätevettä sekoittui juomaveteen. Yli 8 000 kaupunkilaista sairastui, osa vakavasti ja yksi heistä kuoli saastuneen juomaveden vuoksi.
Toimenpiteet kyberturvallisuuden parantamiseksi
Mitä konkreettista yritysten ja julkishallinnon tulisi sitten tehdä? Ensinnäkin, budjetissa on huomioitava nämä asiat, kyberturvallisuus ei ole ilmaista, sen kehittäminen vaatii sekä investointeja että henkilöresursseja. Sen jälkeen kannattaa lähteä liikkeelle informaatioteknologian puolelta, tarkistamalla oman organisaation nykytila Kyberturvallisuuskeskuksen Kybermittarilla. Kybermittari on organisaatioiden johdolle ja tietoturva-ammattilaisille suunnattu konkreettinen työkalu kyberturvallisuuden hallintaan, toimialakohtaiseen vertailuun ja kehityspanostusten ohjaamiseen.
Teknologian ja datan turvaamisen ohessa kannattaa myös käynnistää jatkuvuudenhallinta, jonka pohjaksi tarvitaan usein vaikutusanalyysit ICT järjestelmien käyttökatkosten tai datan häviämisen seurauksista sekä tietoturvapoikkeamien hallintaprosessi ja kriisinhallinta suunnitelma. Kriisinhallintaa suunnitellessa organisaatioon kohdistuvia uhkia kannattaa miettiä työpajassa, jossa avainhenkilöt antavat mielikuvituksensa lentää vapaasti.
Edellä kuvatut kyberturvallisuuden perusasiat koskevat kaikkia organisaatioita. Huoltovarmuuskriittisten organisaatioiden, joiden varaan yhteiskuntamme toiminta nojautuu, on huomioitava kyberturvallisuus paljon syvällisemmin. Näihin kuuluvat muun muassa sähkön tuotanto ja jakelu, tietoliikenne, finanssisektori, ruoka- ja vesihuolto, logistiikka ja viranomaistoiminta. Näille alueille kohdistuvat kyberhyökkäykset voivat pahimmillaan lamauttaa koko yhteiskuntamme.
Valtionhallinnon tärkein asia tällä alueella on hoitaa kuntoon maanpuolustuksemme suurin puute: Suomesta puuttuu tällä hetkellä kokonaan informaatiopsykologisen puolustuksen taho, joka vastaisi kokonaisvaltaisesti kyberturvallisuuteen liittyvästä puolustuksesta molemmilla osa-alueilla. Tämän vakavan aukon nosti esiin Jyväskylän yliopiston kyber- ja hybridiuhkien opettaja, eversti evp. Martti J. Kari, Iltalehdessä 2.4.2022. Naapurimme Ruotsi on tässä ison askeleen edellä, siellä perustettiin viime syksynä elin, joka vastaa informaatiopuolustuksesta.
Kenelle asian korjaus kuuluu? Ensimmäisenä tulee tietysti mieleen Puolustusvoimat, mutta kuten OP Groupin kyberturvallisuusasiantuntija Catharina Candolin muistuttaa blogissaan, kyberpuolustuksen osalta Puolustusvoimien tehtäviin kuuluu kyllä tiedustelu, vaikuttaminen ja suojautuminen, mutta suojautuminen tarkoittaa tässä viitekehyksessä lähinnä puolustusvoimien oman toiminnan suojaamista. Asiasta voisi ottaa vastuun Liikenne- ja viestintäviraston alainen Kyberturvallisuuskeskus yhdessä Ulkoministeriön ja Puolustusministeriön kanssa.
Myös eduskunnan tulisi kiinnittää asiaan huomiota. Catharina Candolin painottaa, että sekä valmiuslaki että aluevalvontalaki edellyttävät tarkastelua. Hybridioperaatioita, kuten kyber- ja informaatio-operaatioita, toteutetaan jo rauhanaikana, pitkään ennen poikkeusoloja tai mahdollista sotatilaa. Nykyistä lainsäädäntöä pitää päivittää siten, että viranomaisilla on tarvittavat toimivaltuudet hybridioperaatioiden torjuntaan jo rauhan aikana.
Tekemistä ja korjaamista riittää siis kaikissa kyberturvallisuuden ulottuvuuksissa ja asiat on hoidettava kuntoon, mitä nopeammin, sen parempi.
Ei kommentteja:
Lähetä kommentti