Mitäs me sanottiinkaan?

Mitäs me sanottiinkaan?

Viime maaliskuun alussa FISC (Finnish Information Security Cluster) järjesti ensimmäistä kertaa tilaisuuden, missä suomalaisia kyberturvallisuusyrityksiä oli esittämässä arvioitaan tulevista kehityskuluista. Koronaa, sen räjähdysmäistä leviämistä ja vaikutusta toimintaympäristöömme meistä kukaan ei ennusteissaan maininnut, mutta muut kehityskulut olivat tavalla tai toisella esillä.

14.1. eli ihan kohta me ennustellaan taas ja siksi päätimme vilkaista taustapeiliin ja palauttaa mieliin: Mitäs me sanottiinkaan maaliskuussa 2020?

Teema 2. Globaali kaupungistuminen

Ennuste

  • Älykaupungit ja älykodit – kasvava haaste
  • Toiminnot on liitettyinä verkkoon – hyökkäyskohteiden määrä kasvaa
  • Digiturvallisuus korostuu
  • Logistiikkajärjestelmät muuttuvat – miehittämättömät itseohjautuvat laitteet yleistyvät

Miten vaikuttaa?

  • Kriittisen infran suojaaminen (CIP) täytyy järjestää uudelleen
  • Turvallisuuskulttuurin ja luottamuksen merkitys korostuu
  • Mietittävä toimenpiteet super kriittisten ja kriittisten toimintojen osalle

Älyteknologia tarvitsee kylkeensä kyberkilven

Innostus digitaaliteknologian mahdollisuuksia kohtaan on viime vuosikymmeninä ollut valtaisaa – parantaahan se kiistatta kotitalouksien, yritysten ja julkisten organisaatioiden palveluja ja kipeästi kaivattua yhteiskunnan tuottavuutta eli käytännössä tärkeintä kasvavan hyvinvoinnin lähdettä.

Innostus on kuitenkin helposti sokeaa niitä riskejä ja uhkia kohtaan, mitä toimintojen siirtäminen langallisiin ja langattomiin verkkoihin aiheuttaa. Tilaisuus tekee varkaan myös verkossa suunnitelmallisesta ammattirikollisuudesta puhumattakaan.

Urbanisoituminen jatkaa kasvuaan

Ehkä hieman laajempana käsitteenä urbanisoituminen tuo mukanaan niin sanotun hyperkytkeytymisen, jossa yhteiskuntien eri toiminnot liittyvät tietoverkkojen kautta toisiinsa ja muodostavat keskenään riippuvaisia järjestelmiä. Tämän seurauksena ei riitä, että järjestelmän osat huolehtivat vain omasta kyberkyvykkyydestään, vaan koko systeemisen orkesterin on soitava aukottomasti ja mieluiten ilman heikkoa lenkkiä.

Kodit, kaupungit, kiinteistöt, liikkuminen, tuotantoprosessit jne. digitalisoituvat ja entistä useammat niiden toiminnoista ohjautuvat itsenäisesti olosuhteiden mukaan, tai niitä ohjataan tietoverkkojen välityksellä etäyhteyksillä. Digitalisoituva maailma on kyberrikollisten graalin malja, jonka pahnan pohjimmaiset saavat välinpitämättömyydellään ja osaamattomuudellaan vuotamaan, mistä kärsivät myös kaikkein tunnollisimmat ja osaavimmat.

Kyberstrategia pelastaisi paljon

Suomessa viime aikojen tunnetuimpia kaupunkeihin kohdistuneita ja puolustuksen läpäisseitä kyberhyökkäyksiä tehtiin Lahteen, Kokemäelle ja Poriin. Hyökkääjien tavoitteena oli kerätä kaikenlaista dataa jatkokäyttöä varten ja kiristää rahaa järjestelmien palauttamisesta. Digitaalisessa maailmassa kun jokseenkin kaikelle varastetulle tiedolle löytyy asiakas.

Kaikkien kaupunkien tulisi omalla kohdallaan kiireesti miettiä, kuinka digitaaliset palvelut saataisiin tuotettua kaikille sen jäsenille ja asiakkaille tietoturvallisesti. Liikkeelle kannattaisi lähteä laatimalla kaupungille oma kyberstrategia ja sen ketterä toimenpideohjelma.

Muutama vuosi sitten havaittiin ulkoministeriön tietoverkon olleen vuosia todennäköisesti kahden vieraan valtion vakoiluohjelmien kohteena ja viime syksynä ulkomainen vakoilu havaittiin eduskunnan tietoverkossa, muun muassa sähköpostijärjestelmässä.

Viime vuonna kyberhyökkäykset haittasivat Suomessa noin 38 prosenttia tietokoneista, joilla hallitaan älykkäitä rakennusautomaatiojärjestelmiä. Useimmiten kyseessä olivat yleiset tietokonejärjestelmien haittaohjelmat, eivät suoranaiset hyökkäykset näitä järjestelmiä vastaan.

Osassa hyökkäyksistä pyrittiin varastamaan tilitietoja vakoiluohjelmien avulla. Tilitietojen lisäksi myös henkilöiden yhteystiedot ja identiteetit ovat kysyttyä kauppatavaraa rikollismarkkinoilla. Psykoterapiakeskus Vastaamon tietomurto ja tiedoilla kiristys hakee vertaistaan ainakin Suomen kyberrikollisuuden historiassa.

Verkkoon kytketyt laitteet riskialttiita

Erityisesti tuotannollisessa toiminnassa ja logistiikkaketjuissa hyödynnetään usein mobiiliratkaisuja, kuten IoT- ja bluetooth-yhteyksiä. Myös autonomisessa liikenteessä nämä ovat keskeisiä teknologioita matkapuhelinverkkojen lisäksi. Verkkorikollisia kiinnostavat muun muassa näihin liittyvät innovaatiot, sekä tutkimus-, tuotekehitys- ja asiakastieto. Rikollisten onnistuminen autonomisten järjestelmien haltuunotossa on osa synkeimpiä kauhuskenaarioita. 

Koko digitaalista toimijoiden muodostamaa ekosysteemiä tulisi pitää kriittisenä infrastruktuurina ja käsitellä sen mukaisesti yhtenä kokonaisuutena. Jo tällä hetkellä tähän kuuluvat erityisesti pilvipalvelut ja datakeskukset, wifi- ja laajakaistaverkot, maksujärjestelmät, finanssi-, sosiaali- ja terveystietojärjestelmät, sekä matkapuhelinverkot, lähitulevaisuudessa etenkin 5G-verkot. Sen suojaaminen tulisi olla aivan eri tasolla, kuin tällä hetkellä.

Kyberturvallisuuden hallinta tämän mittaluokan ympäristöissä tulisi toteuttaa luokittelemalla käsiteltävä tieto eri kriittisyysluokkiin ja tehdä samoin eri toimintojen ja palvelujen suhteen. Sen jälkeen vuorossa on perusteellinen riskienarviointi koko tuotanto- ja palveluketjussa, haavoittuvuuksien tunnistaminen ja päätökset ratkaisut haittojen minimoimiseksi.

Kansalaisista aina yrityksiin, organisaatioihin ja aina valtiotasolle saakka tulisi rakentaa huolellista ja kyberkyvykästä turvallisuuskulttuuria. Silloin tiedostetaan digitaalisen elämäntavan elämää helpottavien palvelujen rinnalla niiden sisältämät riskit ja toimitaan sen mukaisesti.

We’re on social media and we’d love you to give us a follow! You can catch us on LinkedIn and Twitter by using hashtags #cyberwatchFI #CyberCatchFI

Jaa tämä artikkeli

Share on facebook
Share on twitter
Share on linkedin

Löysitkö etsimäsi?

Kerromme mielellämme lisää kyberturvallisuuspalveluistamme.