Varmista järjestelmiesi toimivuus muutosten keskellä: NIS2, uudet teknologiat ja kyberuhkat

Kiristyvä EU-lainsäädäntö, teknologioiden huima kehitys  ja uutisotsikoissa näkyvät kyberrikokset pakottavat miettimään omien IT-järjestelmien toimintavarmuutta. Millaisia asioita tulee huomioida jokaisessa organisaatiossa, niin julkishallinnossa kuin yrityksissäkin?

• Kun pohdit organisaatiosi toimintavarmuutta, lähde liikkeelle arvioimalla omien järjestelmiesi kriittisyystaso. 
• Kriittisyyden tason perusteella tunnistat, minkälaisiin uhkiin javaatimuksiin järjestelmiesi täytyy vastata, ja kuinka paljon tietoturvan vahvistamiseen on hyödyllistä investoida. Ota turvallisuus huomioon kaikilla tasoilla, sovelluksesta ympäristöihin ja tietoliikenteeseen saakka.
• Seuraava askel on varmistaa turvallisuusosaamisen taso koko toimitusketjussa. 
• Sovelluskehityksen ja kyberturvan hallitseva kumppani voi toimia tässä korvaamattomana apuna. 

Mitä toimintaympäristön muutos tarkoittaa?

Kun puhumme muuttuvasta toimintaympäristöstä, puhumme monista asioista. Erityisesti kolme asiaa vaikuttaa kaikkien organisaatioiden toimintaan: regulaatio, teknologian kehitys ja ulkoiset uhkat. 

1) Regulatiiviset muutokset eli lainsäädäntö Suomessa ja EU:ssa

EU:n tietoturvadirektiivi NIS2 määrää, että lokakuusta 2024 alkaen laaja joukko yrityksiä ja organisaatioita toimii aiempaa tiukempien tietoturvavaatimusten mukaan. Juuri nyt Suomessakin uudistetaan kansallista lainsäädäntöä direktiivin vuoksi. 

Käytännössä yrityksillä ja julkishallinnolla tulee olla toimiva tietoturvan hallintajärjestelmä, jonka avulla:

• tunnistetaan riskit ja uhkat, varaudutaan niihin ja vähennetään niitä
• laaditaan toimintasuunnitelmia ja
• raportoidaan poikkeamista. 

NIS2:n lisäksi valtiovarainministeriön Cloud 1st -strategia ohjaa julkishallintoa siirtymään suljetuista ympäristöistä avoimiin pilvipalveluratkaisuihin. 

NATO-yhteistyö luo omat odotuksensa IT-järjestelmien toimintavarmuuteen sekä yhteensopivuuteen toisiin järjestelmiin. 

2) Kehittyvä teknologia

Uusista teknologioista esimerkiksi tekoäly tarjoaa paljon mahdollisuuksia: se litteroi puheen tekstiksi, ennustaa tulevaisuutta historiadatan avulla ja loistaa hahmontunnistuksessa.  
Tekoälyn avulla voidaan myös valvoa haavoittuvuuksia ja ratkoa tietoturva-ongelmia aikaisempaa tehokkaammin. Toisaalta tekoälyn huolimaton käyttö voi avata omia tietoja tihulaisille. 

Tekoälyn ohella hyvä esimerkki ristiriitaisesta teknologiasta ovat kvanttitietokoneet. Niiden kyky suorittaa laskutoimituksia on maallikolle käsittämättömän nopea. Vertailun vuoksi: 90-luvulta tutuissa soivissa postikorteissa on saman verran tehoa kuin ensimmäisissä talon kokoisissa tietokoneissa oli. Kvanttitietokoneet tuovat vastaavan mutta moninkertaisen muutoksen tulevaisuudessa nykyteknologiaan verrattuna. 

Kvanttitietokoneista tarvitaan apua myös tietoturvan vahvistamiseen, sillä rikolliset voivat murtaa niillä nykyisin järjestelmiä suojaavat salausalgoritmit hyvinkin nopeasti. 

Teknologian kehittyminen tuo siis tullessaan ristiriidan: ne tehostavat kaikkea työskentelyä, mutta toisaalta myös luovat uhkia – jopa sellaisia, joita emme vielä osaa kuvitellakaan. 

Lue myös: Tekoälyn mahdollisuudet turvallisuuskriittisissä ympäristöissä

3) Ulkoiset uhkat

Kuten äsken todettiin, tekoälyä käyttävät myös kyberhyökkääjät. Organisaation on valittava AI-työkalunsa oikein, jotta pahaa-aavistamattomat työntekijät eivät tietoja syöttäessään anna hyökkääjille valmiita työkaluja murtautumiseen.

Teknologia mahdollistaa myös mm. laittoman salakuuntelun ja tiedon muuntamisen.   Pelottavan todentuntuisten deepfake-videoiden lisäksi voidaan myös muuttaa perusdataa niin, että käyttäjät eivät tiedä tietoja muutetun.

Rajusti yleistyneissä palvelunestohyökkäyksissä hyökkääjä haittaa kohdeorganisaationsa toimintaa, tietomurroissa taas voi pyrkiä varastamaan dataa mahdollisia lunnaita vastaan. Motiivina voi olla rikollisen hyökkääjän oma hyöty, mutta yhtä lailla halu vahingoittaa yrityksiä tai kokonaisia valtioita. Pahin skenaario mille tahansa organisaatiolle on se, että sen tiedot ja palvelu tuhotaan täydellisesti varakopioita myöten. 

Tunnista omien IT-järjestelmien kriittisyys

Miten uhkiin sitten pitäisi varautua? Se riippuu siitä, kuinka kriittinen oma järjestelmä on ja miten arkaluontoista dataa se pitää sisällään. Arvioiminen voi tuntua haastavalta – aiheuttaahan minkä tahansa järjestelmän toimimattomuus tarpeetonta hikkaa. 

Yksi tapa on arvioida, mitä seuraisi, jos järjestelmä ei yhtäkkiä olisikaan käytössä. Näin voidaan jakaa järjestelmät kolmeen ryhmään: 

1. Toimintakriittiset järjestelmät

Toimintakriittisen järjestelmän pysähtyessä pysähtyy koko organisaation operatiivinen toiminta. Tällaisia järjestelmiä voivat olla vaikkapa logistiikkaa ohjaava sovellus, tuotannon etäohjaus tai terveydenhuollon toiminnanohjausjärjestelmä.  

On katastrofi koko organisaatiolle, jos se ei voi tehdä ydintehtäviään. Siksi toimintakriittisten järjestelmien on oltava kuin linnoitus, joka on varautunut kaikkien mahdollisten tuttujen uhkien lisäksi tuntemattomiin vaaroihin. Tämän päivän mahdoton voi olla huomenna mahdollista.

 2. Tärkeät järjestelmät

Tärkeitä järjestelmiä ovat ne, joiden sakkaamisesta seuraa merkittävää vahinkoa. Ydintoiminta ei ole kuitenkaan uhattuna. Operatiivinen toiminta jatkuu, vaikka järjestelmä sulkeutuisi joksikin aikaa tai siitä katoaisi tietoa. 

Tällainen järjestelmä voisi olla esimerkiksi HR-järjestelmä, jonka toimimattomuudessa työntekijöiden palkanmaksu viivästyisi päiviä tai viikkoja.

3. Tukijärjestelmät

On turhauttavaa, jos dokumentteja ei pysty arkistoimaan sujuvasti, tai intranet on alhaalla eikä sieltä voi tarkistaa, miten matkalaskut tehdään. Kyse on kuitenkin tukijärjestelmistä, joiden kyykkäys ei välittömästi uhkaa työntekoa. 

Luokittelun avulla voi punnita, miten paljon eri järjestelmien suojaamiseen kannattaa investoida. Paras laatu maksaa tietoturvassakin eniten. Kaikki järjestelmät tulee suojata, mutta toimintakriittisten järjestelmien kohdalla on pelissä kaikkein eniten.

Näin rakennat vahvan linnoituksen

• Tee riski- ja uhka-analyysit eli arvioi, millaisia riskejä ja uhkia kuhunkin järjestelmään kohdistuu. 
• Rakenna tietoturvaa jo ohjelmistoja suunniteltaessa. Näin voit alusta alkaen huomioida tietoturva-arkkitehtuurin ja integraatioiden merkityksen tietoturvaan.  Suunnitteluvaiheessa otetaan kantaa myös haavoittuvuuksien tunnistamiseen ja otetaan tätä varten käyttöön erilaisia työkaluja. 
• Huomioi eri palvelualustojen toimintavarmuus. Pohdi, missä kriittisiä toimintoja ja dataa säilytetään: pilvessä, omassa konesalissa vai hajautetaanko niitä molempiin? Tärkeää on miettiä myös, miten nopeasti data saadaan tarvittaessa käyttöön.
• Katso asioita myös tietoliikenteen näkökulmasta: Kuinka vahvaa varmennusta käytetään? Millaisia vaihtoehtoisia reittejä on tietoliikennekatkosten varalta? Miten analysoidaan, tunnistetaan ja estetään haitallista liikennettä? 
• Kiinnitä huomiota myös pääsynhallintaan eli siihen, kuka pääsee sisälle mihinkin alustaan ja ohjelmiston osaan. Hyvänä ohjenuorana toimii zero trust -ajattelu, jonka mukaan kaikki käyttäjät nähdään lähtökohtaisesti vaarana tietoturvalle. Tämän takia vahva tunnistautuminen tulisi olla oletuksena kaikissa järjestelmissä. 
• Päätä, miten lokeja valvotaan ja monitoroidaan. On hyvä nähdä reaaliajassa, jos joku yrittää murtautua järjestelmään. 
• Varaudu myös siihen, että joku pääseekin tunkeutumaan järjestelmään. Kuinka nopeasti toipuminen tapahtuu? Minkälaisia erilaisia varmuuskopioita ja varajärjestelmiä on käytettävissä ja kuinka nopeasti järjestelmä saadaan näiden avulla takaisin toimintaan?
• Satsaa järjestelmien rakentajien ja ylläpitäjien sekä niiden käyttäjien osaamiseen. Oma henkilöstö ja heidän turvallisuusosaamisensa on kriittisessä roolissa, kun varaudutaan ja torjutaan uhkia. Usein järjestelmissä on myös monta eri palveluntarjoajaa ja on tärkeää varmistaa koko toimitusketjun osaaminen.  Varautuminen ja erilaisten tilanteiden harjoittelu on olennaista, jotta tositilanteessa uhkat havaitaan nopeasti, tiedetään toimintamallit ja tilanteesta toivutaan mahdollisimman nopeasti.

Vahvimman linnoituksen rakentaminen kriittisten järjestelmien ympärille vaatii kaikkein eniten huomiota ja investointeja, tukijärjestelmien kanssa voit soveltaa kevyempiä ratkaisuja. Tärkeintä on löytää oikea suojautumisen taso sovelluskehityksen tasosta alkaen.