Strateginen kyberturvallisuuden tilannetietoisuus

Strateginen kyberturvallisuuden tilannetietoisuus

Nykypäivän johtajat ja päättäjät tarvitsevat tehokasta strategista kybertilannetietoisuutta turvatakseen arkaluonteiset tiedot, ylläpitääkseen yhteiskunnan perustoimintoja ja suojellakseen kansallista infrastruktuuria. Kyberturvallisuus edellyttää oikein mitoitettua kyberuhkien tiedustelua, reaaliaikaista kyberhyökkäysten havaitsemista ja etenkin kykyä kyberhyökkäysten varhaisvaroitukseen.

Internetissä ilmenee laaja valikoima uhkia ja hyökkäyksiä viruksista ja madoista aina hajautettuihin palvelunestohyökkäyksiin (DDoS) ja tietovarkauksiin sekä datan manipulointiin ja kriittisen infrastruktuurin lamauttamiseen. Monia ennakoivia tekniikoita on ehdotettu näiden uhkien torjumiseksi. Kaikilla näillä tekniikoilla on sama tavoite – estää hyökkääjiä saavuttamasta tavoitteitaan.

Kyberturvallisuusuhkien torjumiseksi on olemassa erilaisia järjestelmiä. Sellaisia ovat potentiaalisten vihamielisen toiminnan varhainen havaitseminen järjestelmässä, haitallisen toiminnan laajuuden arviointi ja sopivien vastatoimenpiteiden ehdottaminen ja käyttäminen kaikenlaisia havaittuja tietoturvapoikkeamia vastaan.

Kriittisten infrastruktuurien merkitys

Kriittisen infrastruktuurin toiminnan jatkuvuuden turvaaminen ja nopea häiriötilanteista palautuminen on erityisen tärkeää, jotta palvelukatkosten heijastusvaikutukset yhteiskunnan toimintaan kyetään pitämään mahdollisimman pieninä. Kriittisen infrastruktuurin toiminnan eri vastuutahoilla tapahtuva kyberturvallisuuden tilannetietoisuuden muodostaminen, ylläpitäminen ja tilannekohtaisesti tarvittavien päätösten aikaansaaminen ovat toiminnan jatkuvuuden hallinnassa keskeisessä roolissa. Kriittisen infrastruktuurin sisältämät monitahoiset riippuvuussuhteet edellyttävät laajaa ja kattavaa tilannetietoisuuden aikaansaamista kansallisesta kyberturvallisuustilanteestaan ja siihen vaikuttavista tekijöistä.

Valtionjohdon ja viranomaisten oikea-aikaista päätöksentekoa tuetaan muodostamalla yhteiskunnan elintärkeiden toimintojen turvaamisen johtamisessa tarvittava strateginen kybertilannekuva. Tilannekuvajärjestelmää käytetään erilaisten poikkeus- ja häiriötilanteiden hallintaan, tiedonkeruuseen ja analysointiin, viestintään, päätöksentekoon ja johtamiseen.

Organisaatioiden tilannetietoisuuden vahvuus on mahdollisuus oppia uhista omassa käyttöympäristössä, yhteistyökumppaneilta tai kansallisen kyberturvallisuuskeskuksen ilmoituksista. Toisaalta yleinen tilannetietoisuus perustuu usein hajautettuihin tietoihin, ja koko toimintaverkon tilannetietoisuuden kokoaminen on haastavaa. Reaaliaikainen tilannetietoisuus IT-varannoista ja toimintaympäristöteknologiasta (OT) on myös haastavaa.

EU näkökulma

EU:lla ei ole kollektiivista strategista tilannekuvaa kyberuhista. Tämä johtuu siitä, että kansalliset viranomaiset eivät kerää ja jaa järjestelmällisesti tietoja – kuten yksityiseltä sektorilta saatavissa olevaa tietoa – mikä voisi auttaa arvioimaan kyberturvallisuuden tilaa EU:ssa.

Viimeisimmässä EU:n kyberturvallisuusstrategiassa (16.12.2020) korostetaan tilannetietoisuuden ja kyberturvallisuuspoikkeamia koskevien varhaisvaroitusten merkitystä viranomaisille ja kaikille asiasta kiinnostuneille sidosryhmille. Tätä varten EU:n komissio ehdottaa turvallisuudesta vastaavien operaatiokeskusten (SOC) verkoston rakentamista kaikkialle EU:hun, nykyisten keskusten parantamista ja uusien perustamisen tukemista. Tämä verkosto antaa jatkuvan yhteistyön avulla oikea-aikaisia varoituksia kyberturvallisuuspoikkeamista, myös Joint Cyber Unit:lle. Se toimisi virtuaalisena ja fyysisenä yhteistyöalustana EU:n erilaisille kyberturvallisuusyhteisöille keskittyen operatiiviseen ja tekniseen koordinointiin merkittäviä rajat ylittäviä kyberpoikkeamia ja uhkia vastaan.

Suomen nykytilan haasteet

Perustuen tutkimukseen vuonna 2018 Suomessa tilannekuva kybertoimintaympäristöstä on fragmentaarinen ja sen kokonaisuuden hahmottuminen perustuu jaettuun tietoon viranomaisten, yksityisen sektorin, tutkijoiden ja asiantuntijoiden välillä. Kaikkia valtakunnallisia kybertoimijoita kattava tilannekuvan kokoaminen, analysointi ja päätöksentekokyvykkyys puuttuvat. Toimivaltuuksien puute estää tehokkaan havainnointikyvyn luomisen ja siten johtamisen kannalta tehokkaan kybertilannekuvan luomisen. Eri toimijoilla on oma niiden käyttöön rakennettu järjestelmä, mutta kansallinen jaettu tilannetietoisuus puuttuu käytettäväksi sekä strategisella että operatiivisella tasolla. Nykyisellä toimintamallilla voidaan hallita pieniä kyberhyökkäystilanteita, mutta monimutkaisten ja laaja-alaisten hyökkäyksien torjuntaan tilannetietoisuus ja -ymmärrys ovat puutteellisia.

Tilannetietoisuuden ylläpitämisen rakennetta on kehitetty Suomen kyberturvallisuusstrategian myötä, mutta käytännön tasolla siinä on kuitenkin puutteita. Jaetun tilannekuvan ylläpitoon liittyy vielä ratkaisemattomia kysymyksiä, kuten mitä tietoa kukin tarvitsee ja millä syklillä ja minkä tyyppistä tietoa tarvitaan. Kybervarautumisen parantamisen näkökulmasta pitää voida luottaa siihen, että häiriötilanteissa tieto kulkee ja toimijat osaavat siihen reagoida tehtäviensä mukaisesti.

Strategisen tason tilannekuvan kannalta on ongelmallista, että yksityisen sektorin toimijat eivät tuo laajasti havaitsemiaan loukkauksia tai tietomurtoja viranomaisten tietoon. Syy tähän löytyy usein tiedon luottamuksellisuudesta ja maineriskeistä. Kybertoimintaympäristön monimutkaisuuden vuoksi olisi tärkeää saada analysoitavaksi kaikki havainnot, koska ainoastaan analysoidun kokonaiskuvan avulla on mahdollista ymmärtää kybertoimintaympäristön tapahtumia.

Analyysi kyberturvallisuuden tilannetietoisuuden nykytilasta

Kansallisen tilannetietoisuuden kehittämisen eri osapuolten on kyettävä parantamaan toimintaansa aiempaa tehokkaammilla teknillisillä menetelmillä, vahvistettava verkostomaista toimintaa sekä parannettava yhteiskäyttöisten älykkäiden menetelmien hyödyntämistä.

Suomalaisiin yhteiskunnan toimintakykyyn liittyvien merkittävimpiin organisaatioihin on kehittynyt kohtalaisen hyvä tilannekuvan havainnointikyky teknisten valmiuksien osalta. Sitä parantaa myös niiden verkostoituminen toimialakohtaisesti ja osittain myös laajemmin, jota tuetaan hyvällä viranomaisten ja yksityisen sektorin yhteistyöllä. Eri organisaatioiden tilannekuvien kautta muodostuvan tilannetietoisuuden (tilannekuva ja sen analysointi) merkitys koko kansallisen kyberturvallisuuden johtamisen osalta on aivan keskeinen tekijä.

Kansallinen häiriötilanteiden hallinta koostuu eri organisaatioiden käyttämistä tekniikoista, häiriötilanteiden reagointiin kehitetyistä menettelytavoista ja eri luottamusverkostojen havaintotiedoista. Tätä hajallaan olevaa organisaatiokohtaista tilannekuvan havainnointikykyä ja sen sisältämää datavarantoa voitaisiin hyödyntää myös laajamittaisten häiriötilanteiden hallinnan analysointiin. Järjestely edellyttäisi strategista kybertilanneymmärrystä, yhteisten toimintamallien luontia ja vapaaehtoiseen tietojen vaihtoon pohjautuvaa järjestelyä. Yhteinen datavaranto mahdollistaa tiedon jatkojalostuksen laajamittaisen häiriötilanteen analysoimiseksi. Tarvittava analysointikyvykkyys voitaisiin toteuttaa verkostomaisena toimintana (virtuaalianalysointi).

Loppupäätelmiä

IT / OT:ssa ja kriittisen infrastruktuurin järjestelmissä lisääntyvä hyökkäysala ja kansallisten kyberkapasiteettien rajallisuuden vuoksi häiriöt palveluissa, kyberhyökkäysten määrä elintärkeitä järjestelmiä ja verkkoja kohtaan kasvaa jatkuvasti. Siksi strateginen kybertilannetietoisuus on ehdottoman välttämätöntä.

Kansallisen tilannetietoisuuden kehittämiseen osallistuvien eri osapuolten on voitava parantaa toimintaansa tehokkaammilla teknisillä menetelmillä, vahvistettava verkkokeskeistä toimintaa ja keskityttävä teknisten menetelmien jaettuun hyödyntämiseen.

Verkottuneiden ja kompleksisten kriittisten infrastruktuurien tehokas kyberturvallisuus on haastava tehtävä. Tässä tehtävässä kyberturvallisuuden strateginen tilannetietoisuus on kulmakivi sen varmistamiseksi, että kaikkia yhteiskunnan kannalta elintärkeitä järjestelmiä suojellaan mielekkäällä tavalla. Strategista kyberturvallisuustilannetietoisuutta voidaan kuitenkin rakentaa monin tavoin. Siinä voidaan käyttää useita tekoälypohjaisia seuranta- ja analysointitekniikoita. Tilannetietoisuuden käyttö vaihtelee lyhyen aikavälin operatiivisesta pitkän aikavälin strategiseen päätöksentekoon.

Kansallinen strateginen kyberpolitiikka, asianmukainen lainsäädäntö ja sen soveltuvuus strategisen tilannetietoisuuden parantamiseksi ovat keskeisiä kriteereitä ja välttämättömiä kansallisen kyberresilienssin kannalta.

Martti Lehto

Kyberturvallisuuden professori

Jyväskylän yliopisto

Artikkelissa mainittu tutkimus on tehty Jyväskylän yliopistossa: Lehto M., Limnéll J., Kokkomäki T., Pöyhönen J., Salminen M. Kyberturvallisuuden strateginen johtaminen Suomessa, Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarja 28/2018

Jaa tämä artikkeli

Share on facebook
Share on twitter
Share on linkedin

Löysitkö etsimäsi?

Kerromme mielellämme lisää kyberturvallisuuspalveluistamme.