kyberturva
Uutinen

Mitä yritysten pitäisi tietää kyberturvasta juuri nyt?

Viime aikoina erilaiset kyberturvauhat, kuten Log4shell-ohjelmistohaavoittuvuus, ovat olleet tapetilla. Mitä tämä merkitsee yritysten kannalta? Digipoolin poolisihteeri, valmiuspäällikkö Antti Nyqvist ja Kyberalan (FISC) toiminnanjohtaja Peter Sund vastaavat kysymyksiin.

Mitä kyberturvallisuutta koskevaa keskustelua ja ohjeita yrityksissä kannattaa seurata? Miten erottaa omaa yritystä koskettavat uhat kaikista raportoiduista uhista?

Kyberriskien hallinnoinnin pitäisi olla yrityksessä jatkuvasti käynnissä: Yrityksen tietojärjestelmät pitää tuntea ja niiden haavoittuvuuksia käydä läpi asiantuntijoiden kanssa. Kun haavoittuvuuksia löytyy, ne pitää korjata välittömästi. Myös muita tietojärjestelmiin kohdistuvia uhkia on hyvä arvioida jatkuvasti, erityisesti jos ne kohdistuvat liiketoiminnalle keskeisiin järjestelmiin.  

Peter Sund
Peter Sund

Yritysten kannattaa seurata julkisesti saatavilla olevaa tietoa ohjelmistoihin, ohjelmistokomponentteihin ja haavoittuvuuksiin liittyen. Esimerkiksi Kyberturvallisuuskeskuksen tilannekuvatuotteet ja sähköpostilistat tiedottavat erilaisista uhista.

Kyberturvallisuuskeskuksen mukaan erilaisissa nettipalveluissa laajasti käytettyyn Log4j-komponenttiin liittyviä hyväksikäyttötapauksia ja haavoittuvia palveluita havaitaan edelleen jatkuvasti lisää. Ylläpitäjiltä vaaditaankin nopeaa reagointia. Kyseistä joulukuussa 2021 esiin noussutta haavoittuvuutta pidetään yhtenä tietojärjestelmien suurimmista uhista, yhtä vakavana kuin laajasti tuhoa ja vahinkoa aiheuttanutta Wannacry-tapahtumaketjua vuonna 2017. Haavoittuvuus on hyvin vakava, koska se toimii käytännössä haavoittuvuneen palvelun yleisavaimena, eli hyökkääjä voi halutessaan ottaa palvelun haltuunsa ja käyttää sitä haluamallaan tavalla. Erinomaiset yleistajuiset ohjeet Log4j-haavoittuvuuteen reagoimiseksi yritysten johdolle löytyvät Kyberturvallisuuskeskuksen sivuilta.

Miten yrityksen kannattaa muuten varautua kyberuhkiin?

Riskienhallinnan kautta tunnistettuihin riskeihin tulee varautua kahdella tapaa: asettamalla vahingon riskiä pienentäviä mekanismeja sekä varautumalla tilanteeseen, jossa tietojärjestelmät vahingoittuvat. Häiriöiden varalta on syytä myös harjoitella tai vähintään kokeilla toimivatko suunnitellut toimet (kuten varmuuskopioiden palautus), sillä erilaisten kyberhäiriötilanteiden simulointi auttaa kehittämään toimenpiteitä ja voi parhaimmillaan säästää suuriakin summia, kun liiketoiminta pääsee jatkumaan nopeammin häiriön jälkeen.

Kyberturvakysymykset liittyvät myös huoltovarmuuteen, eli yhteiskunnan ja yritysten toimintakyvyn varmistamiseen kriisioloissa. Miten yritysten digitaalisesta huoltovarmuudesta huolehditaan?

 

Antti Nyqvist
Antti Nyqvist

Huoltovarmuus lähtee siitä, että liiketoiminta pääsee jatkumaan erilaisissa häiriötilanteissa. Yhteiskunnan toiminta on nykyisellään täysin riippuvainen liike-elämän toimintakyvystä, joka taas on riippuvainen kansainvälistenkin digitaalisten järjestelmien toiminnasta.

Digipooli toteutti 2020 selvityksen kotimaisen yrityskentän kypsyydestä kyberturvallisuudessa, ja selvityksen perusteella kyberturvallisuudesta huolehditaan hyvin vaihtelevasti.

Yritysten välillä on suuriakin eroja: suuret yritykset ovat keskimäärin paremmin valmistautuneet uhkiin kuin pk-yritykset, mikä johtunee myös käytettävissä olevista resursseista.

Sama selvitys nosti esiin kaikille suomalaisyrityksille yhteisiä kyberturvallisuusaiheita, joissa olisi kehitettävää. Tällaisia ovat esimerkiksi kyberturvallisuuden asema yritysten strategiassa, kyberturvallisuusarkkitehtuuri sekä tekninen jäljitettävyys – ja ehkä vähän yllättäen turvallinen ohjelmistokehitys.

Kyberturvallisuuden haasteita ei siis selvityksen mukaan huomioida yritysten strategioissa tarpeeksi hyvin. Tähän pyritään vastaamaan Digipoolin projektissa #Strategia22 , jossa tuetaan yritysten strategiatyötä digitalisaation turvallisen toteutuksen huomioimiseksi.

Ohjelmistokehityksen turvallisuuteen ja huoltovarmuuteen on selvityksen perusteella myös syytä kiinnittää huomiota. Parannettavaa vaikuttaisi olevan ihan siinä, että yritykset toimintoja automatisoidessaan tekisivät sen turvallisen ohjelmistokehityksen periaatteiden mukaisesti (esim. OWASP). On tärkeää myös huolehtia, että ohjelmistokehityksen riippuvuudet ovat riskienhallinnan piirissä – esiin on tullut tapauksia, joissa ohjelmistokehitykselle välttämättömät avoimen lähdekoodin yleisesti käytetyt komponentit ovat vaikuttamisen kohteina.

Mitä Digipooli tekee?

Digipooli on osa kansallista huoltovarmuusorganisaatiota ja tukee toiminnallaan suomalaisyritysten liiketoiminnan jatkuvuussuunnittelua ja varautumista ICT-aiheissa. Toiminnan piirissä on erityisesti ICT-alan yrityksiä, mutta myös muita yrityksiä. Digipooli tarjoaa yrityksille kybervarautumisen kehitysmahdollisuuksia, kuten erilaista harjoitustoimintaa ja materiaaleja. Parhaiten liiketoiminnan jatkuvuussuunnittelua vie eteenpäin verkostoituminen muiden yritysten ja kyberturvallisuustoimijoiden kanssa.

Mitä Kyberala ry eli FISC tekee?

Finnish Information Security Cluster (FISC) eli Kyberala ry on suomalaisten ja Suomessa toimivien kyberturvallisuuden ratkaisuja tarjoavien ja kehittävien yritysten ja organisaatioiden edunvalvontajärjestö, joka toimii Teknologiateollisuus ry:n yhteydessä. FISCin tavoitteena on Suomen kyberalan ja yhteiskunnan pitkäaikainen etu – rakennamme siis jäsenistömme avulla turvallista, omavaraista ja menestyvää digitaalista Suomea yhteistyössä muiden toimijoiden kanssa.

Lisätietoja:

Antti Nyqvist, valmiuspäällikkö, Digipooli, antti.nyqvist@teknologiateollisuus.fi
Peter Sund, toiminnanjohtaja, Kyberala ry (FISC), peter.sund@teknologiateollisuus.fi

Digipooli:
Mikä digipooli – mistä on kyse?
Strategia22:n yrityksille suunnattu tapahtuma: 9.3. 2022 kello 13-16 ”Turvallisuus, vastuullisen yrityksen strategisena kilpailuetuna”

Kyberala ry:
Nettisivut
Finnish Information Security Cluster - Kyberala ry Teknologiateollisuuden toimialayhdistykseksi