Mitä on kyberturva?
Kyberturva on aihe, joka nauttii ansaitusti maailmanlaajuista mediahuomiota. Suuret organisaatiot ovat lähiaikoina nousseet uutisotsikoihin niiden toimintoihin kohdistuneista kyberhyökkäyksistä ja tietomurroista. Aiheutuneet kustannukset ovat olleet merkittäviä sekä altistuneille organisaatioille itselleen että heidän asiakkailleen ja sidosryhmilleen. Esimerkkinä Microsoft Exchange haavoittuvuuteen kohdistetut hyökkäykset (2021). Ne ovat vaikuttaneet arviolta yli 60,000 yksityisen yrityksen toimintaan. Toisena esimerkkinä Vastaamon tietomurto (2020), jossa yli 30,000 suomalaisen potilastiedot vuosivat julki.
Tästä kehityksestä huolimatta, monille organisaatioille kyberturva on kuitenkin vielä epävarmuusaluetta. Tiedetään että aihe on tärkeä, ja että organisaatioiden tulisi suojautua kyberuhilta. Se mitä kyberturva pitää sisällään, ja mitä riittävä suojautuminen käytännössä tarkoittaa, ei ole kuitenkaan vielä laajalti yleisessä tietoisuudessa. Tämä on täysin ymmärrettävää, sillä aihealueen syvempi tuntemus edellyttää perehtyneisyyttä aihealueeseen tasolla, jollaista harvemmin muodostuu arkielämässä.
Kyberturva käsitteenä
Kyberturva käsitteenä on jo pidemmän aikaa ollut osa yleistä keskustelua. Tästä huolimatta termiä käytetään kuitenkin valitettavan epäsäännöllisesti. Se osaltaan hankaloittaa kyberturvaan liittyvien konseptien ymmärtämistä. Arkielämässä kyberturva käsite assosioitiin pidemmän aikaa virusten ja virustorjuntaohjelmistojen kanssa. Nykypäivänä kyberhyökkäysten ja nettihuijausten kasvun myötä parrasvaloihin ovat nousseet myös salasanojen turvallisuus sekä tietojenkalasteluhyökkäykset.
Kyberturva tosiasiassa sisältää paljon enemmän, kuin mitä edellä mainitut yleiset käsitykset antavat ymmärtää. Kyberturvan tavoitteena on niin sanottujen kybertoimintaympäristöjen suojaaminen. Käytännössä tällä viitataan niin yksittäisten kotien kuin suurten organisaatioidenkin digitaalisiin toimintaympäristöihin, jotka muodostuvat yhdestä tai useammasta digitaalisesta tietojärjestelmästä. Yksinkertaisimmillaan tämä voi tarkoittaa kodin tietokonetta, laajakaistamodeemia ja kotiverkkoa. Organisaatiotasolla voidaan puhua konesaleista, palvelimista sekä eri tietoverkkojen, verkkolaitteiden ja työpisteisteiden laitteistojen muodostamasta kokonaisuudesta.
Kyberturvalla varmistetaan kybertoimintaympäristön järjestelmissä säilytettävän ja käsiteltävän digitaalisen tiedon luottamuksellisuus, eheys ja käytettävyys. Luottamuksellisuudella viitataan sen varmistamiseen, että tiedot saa käsiteltäväkseen vain siihen oikeutetut henkilöt. Eheydellä puolestaan siihen, ettei tietoja päästä oikeudettomasti muuttamaan tai poistamaan. Käytettävyydellä sitä, että tieto on tarvittaessa saatavilla oikeutetuille henkilöille.
Miksi kyberturva on tärkeää?
Kyberturvan rooli organisaatioissa on kasvanut digitalisaation ja kyberhyökkäysten kehityksen myötä. Organisaatioiden toiminta ja niiden tehokkuus ovat yhä enemmän riippuvaisia tietojärjestelmistä ja laitteista, joiden saatavuus sekä toimintakyky ovat organisaatioissa monille välttämättömiä työtehtäviensä suorittamiseksi. Tämän lisäksi organisaation arkaluontoiset sekä toiminnan kannalta tärkeät tiedot ovat yhä enemmän siirtyneet fyysisistä dokumenteista ja arkistoista digitaalisiin ympäristöihin.
Edellä kuvatun kehityksen vuoksi myös tietotekniikkaan kohdistuneiden vikojen ja häiriöiden sekä tiedon käytettävyyteen, luottamuksellisuuteen ja eheyteen liittyvien ongelmien vaikutukset ovat vastaavasti kasvaneet merkittävästi. Nämä eivät muodosta uhkaa ainoastaan toiminnan tehokkuudelle, mutta organisaatioiden toimintarakenteesta riippuen, ne saattavat vaikuttaa jopa liiketoiminnan jatkuvuuteen. Monet organisaatiot eivät välttämättä ole edes tietoisia riippuvuudestaan eri laitteisiin, järjestelmiin ja tietoihin osana toimintaansa.
Mitä kyberuhat ovat?
Kyberuhat käsitteenä viittaavat tapahtumiin, joissa kybertoimintaympäristöön kohdistetaan hyökkäys tai muu haitallinen teko, jolla tavoitellaan omaa hyötyä, aiheutetaan haittaa hyökkäyksen kohteelle, tai molempia. Esimerkkeinä rahallista hyötyä tavoitteleva työntekijä, joka vuotaa kolmansille osapuolille organisaation arkaluontoisia tietoja, tai ilkeämielinen hyökkääjä, joka murtautuu organisaation digitaalisiin tietojärjestelmiin lukiten ne, jonka jälkeen hyökkääjä kiristää organisaatiolta lunnasrahoja sitä vasten, että järjestelmä palautettaisiin organisaation käyttöön.
Kyberuhat voidaan jakaa esimerkiksi sisäisiin ja ulkoisiin uhkiin, mitkä voivat olla seurausta joko tahattomasta taikka tahallisesta väärinkäytöstä tai hyökkäyksestä. Sisäisellä kyberuhalla viitataan organisaation sisäisten toimijoiden, pääasiallisesti henkilöstön, toiminnasta johtuviin uhkiin. Ulkopuolisella kyberuhalla vastaavasti viitataan organisaation ulkopuolisiin toimijoihin, ja niiden toiminnasta johtuviin uhkiin. Näiden osalta usein puhutaan krakkereista tai muista ilkivaltaisista henkilöistä, jotka pyrkivät murtautumaan organisaatioiden tietojärjestelmiin joko rahallisen hyödyn perässä tai puhtaasti aiheuttaakseen haittaa ja vahinkoa organisaatiolle. Jälkimmäistä kutsutaan kybervandalismiksi.
Sekä organisaation sisäiset että ulkoiset toimijat voivat tahattomasti saada aikaan vahinkoa kyberturvaan liittyvillä väärinkäytöillä, kuten vahingossa poistamalla organisaatiolle tärkeitä tiedostoja, taikka rikkomalla tärkeitä laitteita. Puhuttaessa Kyberuhista viitataan kuitenkin useimmiten joko ilkivaltaisessa mielessä tehtyihin teknisiin hyökkäyksiin taikka väärinkäyttöihin. Teknisissä hyökkäyksissä ilkivaltainen henkilö pyrkii murtautumaan organisaation järjestelmiin eri keinoin, kuten esimerkiksi hyödyntämällä digitaalisia hyökkäystyökaluja, joiden avulla hyökkääjä pystyy hyväksikäyttämään laitteisiin, järjestelmiin tai ohjelmistoihin liittyviä haavoittuvuuksia käyttöoikeuksien saamiseksi ja eskaloimiseksi. Ulkoisille hyökkäyksille tavanomaista on myös se, että hyökkääjä huijaa kohdeorganisaation henkilöstöltä hyökkäysten mahdollistavia tietoja sosiaalisen manipuloinnin keinoin. Vahinkoa pystytään tekemään myös manipuloimalla laitteita fyysisesti esimerkiksi käyttämällä niissä haittaohjelmistoja sisältäviä muistitikkuja tai muita oheislaitteita.
Tyypillisiä kyberhyökkäyksiä
- Palvelunestohyökkäykset
- Tiedonkalasteluhyökkäykset
- Haittaohjelmistot
- SQL injektiot
- Salasanahyökkäykset
- Väliintulohyökkäys
Väärinkäytöllä puolestaan viitataan tekoon, jossa henkilö vaarantaa organisaation kyberturvan laitteisiin, järjestelmiin tai tietoihin liittyvällä tahattomalla tai tahallisella väärinkäytöllä. Esimerkkinä tahallisesta väärinkäytöstä tilanne, jossa organisaation tyytymätön työntekijä hyväksikäyttää käyttöoikeuksiaan organisaation järjestelmään poistaakseen sieltä tärkeitä tietoja aiheuttaakseen haittaa organisaatiolle. Tahattomasta väärinkäytöstä esimerkkinä tilanne, jossa organisaation työntekijä aiheuttaa organisaation toiminnalle merkittäviä häiriöitä poistamalla sen järjestelmistä vahingossa tärkeitä tietoja.
Keitä kyberuhat koskettavat ja miten suojautua?
Organisaatioiden kyberturvan kannalta on valitettava tosiasia, että kyberuhkat sekä kyberhyökkäykset kehittyvät jatkuvasti, muuttuen yhä ammattimaisemmiksi. Samanaikaisesti teknologiset kehitykset kuten esimerkiksi Internet of Things (IoT) ja pilvipalveluihin pohjautuvien ratkaisujen yleistyminen, tuovat mukanaan täysin uusia haasteita. Se millaisia kyberturvaan liittyviä haasteita kuhunkin organisaatioon kohdistuu, riippuu monesta tekijästä. Yleisinä tekijöinä voidaan nähdä esimerkiksi organisaation koko, liikevaihto sekä toimiala. Mitä suurempi organisaatio ja liikevaihto tai arkaluontoisempi toimiala, sitä enemmän rahallista hyötyä hyökkääjä todennäköisimmin saa irti onnistuneesta hyökkäyksestä.
Korkean riskiluokan organisaatioiden kohdalla kyberuhkien ja kyberhyökkäysten kehitys tarkoittaa uusia, jopa organisaatiokohtaisesti räätälöityjä hyökkäysmenetelmiä, sekä tapoja tunnistaa ja hyväksikäyttää organisaation järjestelmiin liittyviä haavoittuvuuksia. Pienemmän riskiluokan organisaatiot puolestaan kohtaavat nyt uhkia, jotka olivat ennen vain suurempien riskiluokkien huolenaiheita. Tämä on seurausta siitä, että hyökkäyksissä hyödynnettävät työkalut kehittyvät jatkuvasti, ja ajautuvat usein julkiseen jakeluun helposti saataville. Samanaikaisesti tietoturvahyökkäyksiin kykenevien henkilöiden määrä sekä heidän osaamisensa taso kasvavat, kun tarvittava tieto on yhä paremmin saatavilla julkisissa yhteisöissä.
Myös kyberturvaan liittyvään suojautumisen tarpeeseen liittyy paljon muuttujia. Tavoiteltavaa olisi, että organisaation kyberturvaa suunniteltaisiin aina riskilähtöisesti ja tapauskohtaisesti, suhteessa organisaation toimintaympäristöön, kulttuuriin, tarpeisiin sekä muihin olennaisiin taustatekijöihin. Tämä on erityisesti suositeltavaa suuremman riskiluokan organisaatioissa, jotka ovat houkuttelevampia kohteita hyökkääjille. Myös pienempien organisaatioiden tulisi ottaa Kyberturva vakavasti. Näiden kohdalla hyökkäykset eivät todennäköisesti ole yhtä edistyneitä, mutta yksinkertaistenkin hyökkäysten kohteeksi joutuminen on mahdollista elleivät kyberturvaan liittyvät perusteet ole riittävissä määrin kunnossa. Vaikutukseltaan kyberuhkien toteutuminen on suhteessa samaa luokkaa, oli kyseessä sitten suuri taikka pieni organisaatio. Pienemälle organisaatioille kyberturvaan liittyvät hyökkäykset taikka väärinkäytöt voivat kuitenkin koitua erityisen kohtalokkaaksi, sillä on todennäköisempää, ettei organisaatiolta löydy resursseja vahinkojen paikkaamiseksi.
Myönteistä on se, että niin suuret kuin pienetkin organisaatiot voivat saavuttaa riittävän kyberturvan suojaustason kustannustehokkaasti. Ensiaskeleita keskeisten kyberuhkien ehkäisemiseen ovat muun muassa organisaation tietojärjestelmien käyttöoikeushallinnasta sekä säännöllisistä ohjelmistopäivityksistä huolehtiminen, organisaation turvallisuuskulttuurin ja henkilöstön kyberturvatietoisuuden kehittäminen sekä kyberturvaan liittyvien toimintatapojen ja ohjeistusten suunnittelu. Pienille organisaatioille on olemassa myös monia ilmaisia resursseja, joihin perehtymällä organisaation kyberturva saadaan oikeille raiteille. Sekä suuret että pienet organisaatiot voivat hyödyntää myös kyberturvaan liittyviä standardeja, jotka tarjoavat suuntaviivoja organisaatioiden toiminnan sekä järjestelmien suunnittelemiseksi kyberturvalliseen muotoon.
Organisaatioiden kyberturvan kannalta on tärkeää, että suunnittelun toteuttaa asiantunteva henkilö. Pienemmissä organisaatioissa tämä saattaa olla aihealueeseen syvemmin perehtynyt, ja suuremmissa organisaatioissa kyberturva-alan ammattilainen. Sekä pienet että suuret organisaatiot voivat hyötyä merkittävästi Seclionin kaltaisen turvallisuuden asiantuntijayrityksen konsultoinnista, jonka avulla kyberturvaan liittyviin haasteisiin voidaan vastata tapauskohtaisesti. Olipa organisaatollanne sitten epäselvää mistä aloittaa, taikka tarve kyberturvaan liittyvän hankkeen läpiviemiseksi, Seclionin asiantuntijat ovat erinomainen asiantuntijaresurssi toiminnan tueksi taikka sen johtamiseksi.
Varaa maksuton etäpalaveri ja keskustele lisää kyberturvasta asiantuntevan turvakonsultin kanssa
Esimerkkejä yleisesti käytetyistä viitekehyksistä
- Katakri (2020)
- ISO 27000
- NIST SP 800-53
- Cyber Essentials (Yhdistyneet kansakunnat)
- UL 2900 (UL LCC)
- CIS Controls
Lisäksi voidaan hyödyntää esimerkiksi:
- VAHTI-tietoturvaohjeistukset
- Kybeturvallisuuskeskuksen -ohjeet ja oppaat
Pikatesti oman organisaation Kyberturvan perusteista
1. Tietojenkäsittely-ympäristöt ovat riittävissä määrin kuvattu (mm. laitteet, järjestelmät ja ohjelmistot)
2. Tietojenkäsittely-ympäristöt ja toimintatavat ovat suunniteltu pohjautuen riskien arviointiin
3. Organisaatiota ja mahdollisesti sen sidosryhmiä auditoidaan kyberturvan osalta
4. Organisaation kyberturvan suunnittelussa huolehditaan järjestelmien koventamisesta
5. Organisaatiossa otetaan systemaattisesti huomioon tietojenkäsittely-ympäristön muutokset
6. Käyttäjäoikeuksien hallinnasta on huolehdittu vähemmän oikeuden periaatteen mukaisesti
7. Organisaation järjestelmissä hyödynnetään monivaiheista tunnistautumista
8. Organisaatiolla on olemassa prosessit tietojen varmuuskopioimiseksi
8. Organisaatiolla on määrämuotoiset käytänteet ohjelmistopäivitykseen
9. Henkilöstö saa riittävää kyberturvaan liittyvää koulutusta