Missiona toimiva digitaalinen yhteiskunta

Artikkeli
Digitalisaatio paineistaa myös tietoturvan. Kyberuhkien aikakaudella digitaalisten tietojen suojaaminen, verkkohyökkäysten havainnointi ja hyökkäyksistä palautuminen nousevat tietoturvan keskiöön. Pelkkä virustentorjunnan tai palomuurien päivittäminen ei enää riitä.

Isis-mieliset hakkerit kaappasivat ranskalaisen TV5 Monden televisiokanavat, nettisivut ja Facebook-sivun. Tv-yhtiö ei pystynyt pitkään aikaan lähettämään ohjelmaa yhdelläkään kanavistaan ja hakkerit ehtivät julkaista yhtiön verkkosivuilla omaa propagandaansa.

Saksalainen terästehdas kärsi massiivisia vaurioita, kun hakkerit pääsivät tuotantoverkon kautta peukaloimaan tehtaan masuunin hallintalaitteita. Sähköpostina lähetetyn kohdennetun tietojenkalastelun avulla tuotantojärjestelmän yksittäiset komponentit ja kokonaiset järjestelmät lakkasivat toimimasta. Sula teräs jähmettyi koneisiin ja koko tehdas jouduttiin ajamaan hallitsemattomasti alas.

Yhdysvalloissa hakkerit iskivät maan toiseksi suurimpaan vakuutusyhtiöön ja varastivat kymmenien miljoonien asiakkaiden tulotietoja, syntymäaikoja ja katuosoitteita. Vuoden vaihteessa useampi suomalaispankki joutui päiviä kestäneiden palvelunestohyökkäysten kohteeksi.

Kyberturvan tehtävänä on varmistaa uusien teknologioiden käytettävyys ja asioinnin sujuvuus

Erilaiset verkkohyökkäykset ovat arkipäivää ja haastavat niin yhteiskunnat, yritykset kuin kansalaisetkin miettimään, miten suojata omat tietonsa ja päätelaitteensa digitalisoituvassa maailmassa. Globaaliin verkkomaailmaan on kehittynyt oma harmaa taloutensa, joka kasvaa pikavauhtia.

Kansainvälisten arvioiden mukaan kyberrikollisuus aiheuttaa vuosittain jopa 500 miljardin dollarin globaalit tappiot ja vastaa volyymiltaan jo globaalin huumekaupan liikevaihtoa. Ilman verkkorikollisuutta internetin liiketoiminta voisi olla 15–20 prosenttia isompaa.

”Mitä enemmän maailma digitalisoituu, sitä monimutkaisempiin kyberuhkiin meidän pitää osata varautua”, sanoo Nixun toimitusjohtaja Petri Kairinen.

Nixu on tietoturvaratkaisujen kokonaistoimittaja, jonka missiona on pitää digitaalisen yhteiskunnan pyörät pyörimässä. Yrityksessä on 12 eri tiimiä, jotka ratkovat ja ennakoivat kyberturvan vaaranpaikkoja. Kyberturvan tehtävänä on varmistaa uusien teknologioiden käytettävyys ja asioinnin sujuvuus. Nixun asiakkaina on huomattava osa Suomen suurimmista yrityksistä.

Riskienhallinnan ydintä

Kairisen mukaan yritysten asenteet kyberturvaan ovat muuttuneet selvästi parin viime vuoden aikana.

”Toistuvat kyberhyökkäykset ovat havahduttaneet yritykset miettimään, miten niiden tulisi varautua mahdollisiin verkkohyökkäyksiin”, Kairinen sanoo.

Pelkkä virustentorjunnan tai palomuurien päivittäminen ei enää riitä. Kairisen mukaan yritysten kannattaisi nyt ymmärtää it-strategiansa laajemmin osana yrityksen riskienhallintaa. Olisi hyvä määritellä tarkoin, mikä on yrityksen liiketoiminnan kannalta kriittisintä tietoa ja osaamista, joka on suojattava erityisen huolellisesti.

”Monet yritykset eivät kuitenkaan ole riittävän hyvin selvillä, mitä nämä kriittiset ja suojeltavat kohteet ovat. Siten niiden on myös vaikea tunnistaa omat uhkakuvansa. Kun maailma digitalisoituu, tietoturvaan kannattaisi investoida enemmän ja ennakoivalla asenteella, eikä reagoida vasta sitten kun vahinko on jo tapahtunut. Muuten digitalisaatiosta ei saa irti haluttua tuottavuushyötyä”, Kairinen painottaa.

Verkkohyökkäykset ovat tarkoin kohdistettuja ja niiden torjunta on paljon vaikeampaa. Mikä tahansa yritys voi joutua niiden kohteiksi.

”On parempi ennakoida, miten toimia, havaita ja palautua verkkohyökkäyksestä. Resilienssin eli joustavuuden rakentaminen on kriittisempää kuin yrittää luoda järjestelmä, jota ei voi koskaan hakkeroida”, Kairinen sanoo.

Painopiste ennakoivaan havainnointiin

Yritysten kannattaisi kiinnittää enemmän huomiota, miten menetellä, jos käytössä olevan it-arkkitehtuurin tai verkon suojakontrollit pettävät. Tietoturvainvestointeja kannattaisi kohdentaa enemmän ratkaisuihin, joilla voidaan havaita ja rajata tietoturvaloukkauksia, etteivät ne pääse eskaloitumaan.

Kyberuhkien torjuntaan ei ole olemassa yhtä yleispätevää ratkaisua

Kairisen mielestä kyberuhkien torjuntaan ei ole olemassa mitään yhtä yleispätevää ratkaisua, vaan siihen vaikuttavat esimerkiksi yrityksen toimiala, liiketoimintamalli tai myös yrityksen koko. Kun yrityksen perustietoturva on kunnossa, tietoturvan hallintajärjestelmä mietitty, tiedot suojattu, kontrollit varmistettu ja palautuminen hyökkäysestä mietitty ja henkilökunta koulutettu toimimaan oikein, ollaan jo vahvoilla.

”Kyberturvallisuuden tulisi olla koko johtoryhmän vastuulla eikä pelkästään tietoturvapäällikön erikoisaluetta. Yrityksen kaikki työntekijät pitää myös saada ymmärtämään, miten käsitellä turvallisesti tietoja verkossa tai omalla koneellaan. Turhan usein yrityksen verkkoon pesiytyvä haittaohjelma lähtee liikkeelle siitä, että joku on vahingossa avannut sähköpostin liitetiedoston, jossa piilee vaara.”

Ei työkoneita Kiinaan

Globaaleille markkinoille tuotteitaan ja palvelujaan myyville suomalaisyrityksille kyberturva tuo myös uusia vaatimuksia. Esimerkiksi yhdysvaltalaiset yritykset edellyttävät alihankkijoiltaan yksityiskohtaisia tietoja, miten tuotteissa tai palveluissa käytetyt tiedot ja koodit on suojattu tai miten alihankkijat käsittelevät kumppaniyritystensä tietoja.

”Esineiden internet -maailmassa yhä useammassa tuotteessa on enemmän älyä eli koodia, olipa kyseessä hitsauslaite, lääketieteellinen laite tai voimalan yksikkö. Kun tällainen komponentti liitetään verkkoon, on pystyttävä vakuuttamaan asiakkaat, että tuotteen ohjelmistoratkaisu on puhdas ja haavoittumaton, ja että sen teolliset oikeudet ovat kunnossa”, Kairinen sanoo.

Hän kehottaa vienninedistämistehtävissä liikkuvia ihmisiä myös varovaisuuteen esimerkiksi Kiinan tai Yhdysvaltain markkinoilla.

”Yksi kyberuhkan muoto on teollisuusvakoilu. Suomalaisetkin yritykset ovat joutuneet tietomurtojen kohteeksi Aasiassa, kun paikallinen alihankkija on kopioinut tiedot ja alkanut valmistaa omia kilpailevia tuotteitaan. Harkitsisin useampaan kertaan, ottaisinko edes suojatun läppärin mukaan Kiinan markkinoille, sillä riskit tietomurtoihin ovat niin tavallisia. Nixun ohjeissa asiakastietoja sisältävien työkoneiden vienti Kiinaan tai Yhdysvaltoihin on kielletty”, Kairinen kertoo.

Teksti: Olli Manninen
Kuvat: Jari Härkönen

Tämä artikkeli on mukana Visio-lehdessä ja -uutiskirjeessä.