Kirjoittaja: Kimmo Rousku

Geopolitiikan, kyber- ja digiturvan merkitys nousee kevään edetessä – tule kuuntelemaan tuoreimmat havainnot ja opit!

2020-luku on tuonut meille merkittäviä muutoksia, koronaviruspandemia ajoi meidät etätöihin ja samalla loimme uuden pohjan etätyömahdollisuuksille. Venäjän hyökkäys Ukrainaan on korostanut sotilaallisen puolustuksen ja samalla kyber- sekä digitaalisen turvallisuuden merkitystä entisestään. Kun tähän yhdistetään samaan aikaan kymmeniä, jopa satoja prosentteja kasvava globaali verkkorikollisuus sekä tekoälyn käyttömahdollisuudet niin hyvässä kuin pahassa niin ei ole ihme, että digitaalisten palveluiden ja laitteiden turvallisuus kiinnostaa kaikkia.

Mikä yhdistää kaikkia edellä olevia osa-alueita?

Onko mahdollista nostaa jokin kyber-digiturvan osa-alue, jonka merkitys olisi korostunut enemmän kuin muut? Mieleni tekisi, mutta en voi, koska tämä riippuu aina jokaisen organisaation tilanteesta ja toimintaympäristöstä. Jokaisen organisaation tulisi vuosittain tunnistaa seuraavat kehittämiskohteet, joihin resursoidaan. Tutkitaan tätä tarkemmin.

23 vinkkiä ja tarkistettavaa asiaa

1) Riskienhallinta – tunnista uhat, hallitse riskit!
– Tunnista kriittisimmät uhat ja niiden vaikutukset toimintaan.
– Arvioi riskien todennäköisyys ja seuraukset säännöllisesti.
– Toteuta ennaltaehkäiseviä toimenpiteitä riskien hallitsemiseksi.
– Varmista, että henkilöstö ymmärtää uhkien tunnistamisen, riskien ilmoittamisen merkityksen.

2) Toiminnan jatkuvuus ja varautuminen – jos sitä ei ole harjoiteltu, ei sitä ole olemassa!
– Tunnistettuasi kriittiset palvelut ja prosessit, laadi selkeät (vara)suunnitelmat häiriötilanteita varten.
– Varmista, että johto, vastuuhenkilöt ja henkilöstö tuntee toimintatavat poikkeustilanteissa.
– Testaa, harjoittele ja päivitä suunnitelmia säännöllisesti.
– Varmista myös, että alihankkijat ja toimitusketjut eivät muodosta kuuluisaa heikointa lenkkiä.

3) Tietoturvallisuus – henkilöstö, me ihmiset olemme keskiössä!
– Suojaa kriittiset tiedot monitasoisilla turvatoimilla eli ns. sipulimallinen puolustus.
– Päivitä järjestelmät ja ohjelmistot ajantasaisiksi, tarkista laitteiden haavoittuvuudet skannauksilla.
– Varmista tietomurto ja -vuotojen havainnointi- ja reagointikyky teknisin menetelmin ja tarvittavilla lokituksilla.
– Kouluta säännöllisesti henkilöstö tunnistamaan ja torjumaan tietoturvauhkia.

4) Tietosuoja mahdollistaa henkilötietojen turvallisen käsittelyn!
– Käsittele henkilötietoja vain käyttötarkoituksen mukaisesti, varaudu henkilötietojen tietoturvaloukkauksiin.
– Varmista, että tietojärjestelmiä kehitettäessä sekä tekoälypalveluita otettaessa käyttöön, tehdään tarvittavat (vaikutusten)arvioinnit.
– Toteuta selkeät prosessit, ohjeet ja käytännöt tietosuojaoikeuksien toteuttamiseen.
– Varmista, että esihenkilöt ja henkilötietoja käsittelevät henkilöt tunnistavat, mitä tietoja voi missä tilassa ja millä palvelulla käsitellä ja noudattavat näitä ohjeita.
– Sitouta palveluntuottajat ja muut henkilötietojen käsittelijät teidän henkilötietojen käsittelyn ohjeisiin sopimuksin ja kirjallisilla ohjeilla. Varmista säännöllisesti, että sopimuksia ja ohjeita myös noudatetaan

5) Muuta muistettavaa – onhan nämä asiat hallinnassa?
– Miten organisaationne seuraa nopeasti kehittyvää regulaatiokenttää ja toimeenpanee uudet vaatimukset?
– Ylläpidä henkilöstön medialukutaitoa, kykyä tunnistaa ja hallita informaatiovaikuttamista.
– Huolehdi, että varmuuskopiot ovat ajan tasalla sekä testaa säännöllisesti niiden palauttaminen.
– Miten usein ja mistä asioista vastuuhenkilöt raportoivat organisaation ylimmälle johdolle?
– Varmista, että organisaationne on tunnistanut ja ottanut käyttöön tarvittavat mittarit kyber- ja digiturvan seurantaan ja mittareiden pohjalta tunnistetaan kehityskohteet
– Ja dokumentoi kaikki tässä kuvatut asiat!

Saattaa sinällään vielä vaikuttaa yksinkertaiselta, mutta piru asuu yksityiskohdissa. Jokainen edellä oleva kokonaisuus jakaantuu satoihin, tarvittaessa tuhansiin yksityiskohtiin. Eri toimijoiden vuosittaisissa tietoturvaraporteissa on pitkään korostettu, että edellä kuvatun kaltaisilla perusteilla saadaan > 90 % turvallisuus. Valitettavasti koskaan ei ole mahdollista saada 100 % turvallisuutta, aina jää verkkorikollisen tai valtiollisen toimijan kokoinen aukko. Vaikka sellaista ei tänä päivänä löytyisi helpolla oman organisaatiosi toimintaympäristöstä, todennäköisesti joltakin organisaation alihankkijalta sellainen kuitenkin löytyy. Tämän takia kannattaa muistaa entistä aktiivisemmin olla yhteydessä, huolehtia ja sopia alihankkijoiden ja toimitusketjukokonaisuuden kanssa siitä, että jokainen ymmärtää oman organisaationsa merkityksen tässä kokonaisuudessa. Tässä voisi todeta, että jos ette ole vielä joutuneet tietomurron tai kyberhyökkäyksen kohteeksi, joko ette ole havainneet sitä tai se on vasta edessä!

Mitkä asiat nousevat Jyväskylässä Digiturvallisuusmessuilla esille 10.4.?

Ennakolta hankalaa on ennakoida, miten Venäjän, Yhdysvaltojen ja Ukrainan väliset neuvottelut ovat edenneet. Periaatteessa tarjolla on useita vaihtoehtoja, esimerkiksi tilanne on pysynyt samanlaisena kuin tätä kirjoitettaessa helmikuun loppupuolella, ääripäässä on luotu malli rauhansopimuksesta, jonka toimeenpanoa suunnitellaan tai se on kenties osin käynnissä ja kolmas vaihtoehto on se, että nyt on saatu aikaan tulitauko, jonka aikana pyritään rauhansopimusprosessi saamaan valmiiksi.

Millainen vaikutus mahdollisella rauhalla on digi- ja kybermaailmaan? Huolestuttava. Jos rauhansopimus saadaan aikaiseksi, pelkään, että nyt tuonne suunnalle kerätyt kyberresurssit kohdistetaan globaaliin verkkorikollisuuteen sekä EU- ja NATO-toimijoita vastaan esimerkiksi valtiollisen tason hybridivaikuttamiseen.

Meillä on nyt ollut useita vuosia aikaa oppia siitä, miten Venäjä toteutti hyökkäyksiä ja on toiminut Ukrainaa vastaan kybermaailmassa, miten globaali verkkorikollisuus toimii ja jehittyy sekä miten tekoälyä voidaan käyttää apunamme – toivottavasti olemme saaneet hyödynnettyä näitä oppeja.

Kimmo Rousku juhlii tänä vuonna 40-vuotista uraansa 🎉 ATK:n, digitalisaation, kyber- ja digitaalisen turvallisuuden ja teknologian edistäjänä. Hän on pitänyt yli 5 000 esitystä 🎤, joiden aiheet ovat uudistuneet toimintaympäristön muutosten mukana. Vuodesta 2009 lähtien hänen fokuksensa on ollut tieto-, digi- ja kyberturvallisuuden 🔒 sekä v 2023 alkaen lisäksi tekoälyn 🤖 mahdollisuuksien edistämisessä.

Vapaa-ajallaan IT-Kimmo on perehtynyt verkkorikollisuuden 🕵️‍♂️ toimintamalleihin omakohtaisen kokemuksen kautta, menetettyään rahaa useissa digihuijauksissa 💸. Teknologian suurkuluttajana ja biohakkerina 🧬 hän tuo esityksiinsä tuoreita näkökulmia, huomioiden myös geopoliittiset muutokset 🌍 ja niiden vaikutukset fyysiseen ja digitaaliseen maailmaan. Hän toimii myös Tietoturva ry hallituksen varapuheenjohtaja sekä VAHTI-verkoston pääsihteerinä Digi- ja väestötietovirastossa.

🔗 Seuraa Kimmoa LinkedInissä: linkedin.com/in/kimmorousku