Kyberturvallisuus on noussut jälleen erityiseksi puheenaiheeksi ja konkreettiseksi huoleksi Venäjän hyökättyä Ukrainaan, ja sodan tultua osaksi Euroopan nykyhetken todellisuutta.
Ensimmäistä kertaa historiassa perinteisen tuhovoiman käytön rinnalla voimakeinona käytetään avoimesti myös kybersodan keinoja sekä laajamittaista informaatiovaikuttamista
Kyberiskut eivät yksittäisinä tapauksina ole varsinaisesti uusia. Ukrainan hallintoa ja kriittistä infrastruktuuria vastaan on suoritettu suoria sekä epäsuoria teknisiä hyökkäyksiä jo yhdeksän vuoden ajan. Kohteena mm. kaasu- ja sähköverkot. Työkaluina haittaohjelmia, jotka ovat myöhemmin levinneet ensisijaisen kohteensa ulkopuolelle, aiheuttaen ongelmia tietojärjestelmissä globaalisti.
Informaatiovaikuttamien ja erilaisten sosiaalisen median kanavien hyödyntäminen valeuutisten levittämiseen ja mielipidevaikuttamiseen ei myöskään ole ilmiönä tuntematon. USA:n presidentinvaalit, Brexit ja Covid-19-pandemian tiimoilta tiedon vääristämisestä ja trollauksesta on tullut arkipäivää some-kanavilla. Myös Suomi ja Suomen kuntakenttä on jo saanut osansa molemmista edellä mainituista.
Kyberoperaatiot osana käynnissä olevia sotatoimia – mikä on muuttunut ja mitä tulee huomioida?
Mikä sitten on erityisesti muuttunut tässä hetkessä, ja miksi asia on tärkeä huomioida juuri nyt?
Sanotaan, että ensimmäisen laukauksen jälkeen sodan pauhu peittää tapahtumat alleen, eikä kokonaiskuva ole helposti nähtävissä. Yksittäisistä viesteistä on vaikea muodostaa kunnollista käsitystä tilanteesta, ja asioita on vaikea varmistaa todeksi. Tietoa on liian vähän tai aivan liikaa. Tämä on monelta osin tilanne juuri nyt.
Tiedämme varmuudella, että teknisiä kyberoperaatioita suoritetaan osana sotatoimia ja onnistuneesti. Ensimmäistä kertaa olemme nähneet, että myös vapaaehtoiset hakkerit kutsutaan auttamaan, ja pelkästään virtuaalisessa maailmassa vaikuttavat toimijat julistavat kybersodan tietylle valtiolle sekä suorittavat todistetusti onnistuneita operaatioita verkkopalveluita, automaatiojärjestelmiä, junaliikennettä sekä polttoainejakelua vastaan. Samanaikaisesti herättäen myös itselleen vastavoiman toisesta virtuaalimaailman toimijasta, jolla on takanaan lukuisia tuhoisia kiristyshaittaohjelmahyökkäyksiä mm. kriittistä infrastruktuuria ja terveydenhuoltoa vastaan.
Tämä kaikki osaltaan lisää ”hälyä ja usvaa” tapahtumien ympärillä ja on myös erittäin vaikea erottaa toisistaan valtiollista ja ei-valtiollista toimintaa tietoverkoissa. Jälkikäteen voidaan analysoida kyberhyökkäyksen tapahtumista sen mahdollista alkuperää sekä tavoitetta, esimerkiksi sen perusteella onko kyseessä rikollinen kiristyshaittaohjelmisto vai tuhoava ”wiper”. Mutta nämäkin ovat helppoja keskenään ”naamioida” ristiin todellisten jälkien peittämiseksi. Mitään ”sodan sääntöjä” ei verkkoon ole kirjoitettu ja käytäntöjä muodostetaan sitä mukaa, kun hyökkäyksiä toteutetaan. Kukaan ei linjaa missä ”rajat” ylitetään.
Akuutti tilanne lisää selvästi myös muita tietoturvariskejä
Ukrainassa käynnissä oleva tilanne lisää merkittävästi riskejä erilaisiin ”sivuosumiin” ja eskalaatioihin myös tietoverkoissa ja niistä riippuvaisissa toiminnoissa. Oma asemamme Venäjän naapurivaltiona ja muun muassa yhtenä tietoliikenteen kauttakulkureittinä tuo oman lisänsä erilaisiin riskeihin. Tähän on meillä Suomessa myös varauduttu. Traficomin kyberturvallisuuskeskus, Huoltovarmuuskeskus, kovan turvallisuuden viranomaiset sekä yhdessä huoltovarmuuskriittiset organisaatiot ja operaattorit viranomaisten kanssa ovat tehneet kyseistä työtä jo pitkään ja reagoineet myös nyt syntyneeseen tilanteeseen.
Myös kunnissa ja niiden tietohallinnoissa on varauduttu, samoin kuin Tieralla ja muissa kaltaisissamme inhouse-yhtiöissä. Lähtökohtamme on, että asioita on huomioitu laajasti ja jatkuvuuden varmistaminen on vahvasti esillä päivittäisessä arjessa. Tiera huolehtii osaltaan omistaja-asiakkaidensa tietoturvan toteutumisesta ja tähän olemme 100% sitoutuneita.
Älä ylläpidä illuusiota
Illuusion ja harhakuvan siitä, että olisimme täysin immuuneja vastaaville tietoverkkohyökkäyksille tai kybervaikuttamiselle, voi kuitenkin siirtää sivuun. Samoin kuvitelman siitä, että nyt on oikea hetki varmistaa kaikkien järjestelmien tietoturvallisuuden olevan tip top. Todennäköisesti nyt toisaalle tehdyt onnistuneet hyökkäykset olisivat onnistuneet myös meille, ja tämä todellisuus on viimeistään nyt syytä sisäistää syvintä olemustaan myöden. Vasta tämän jälkeen pääsemme keskustelemaan tosiasiallisesta jatkuvuuden hallinnasta ja kybervarautumisesta.
Minulle ei tarvitse vakuuttaa, että tietojärjestelmät ovat kunnallemme tärkeitä – tiedän että monet kuntien toiminnoista ovat niistä merkittävästi riippuvaisia. Eikä minulle tarvitse todentaa, että olemme kirjanneet kyberturvallisuuden myös strategioihimme tai politiikkoihimme. Minulle riittää, kun näytätte talousarviosta ne rivit euroja, joilla tämä tekninen varautuminen tietoturvallisuuteen ja jatkuvuuteen on tarkoitus toteuttaa.
Varaudu tulevaan – kyberturvallisuusriskejä tulee toteutumaan
Lähitulevaisuuden tapahtumien ennustaminen on erittäin haastavaa, käytännössä mahdotonta. Joitakin asioita voi kuitenkin pitää erittäin todennäköisenä, oli tuleva tapahtumien kehitys millainen tahansa.
Erittäin todennäköistä on se, että myös Suomessa kuntiin ja kuntatoimijoiden piirissä olevien kriittisen infrastruktuurin organisaatioihin tulee kohdistumaan aiempaa enemmän teknisiä häiriöitä ja häirintää. Näemme kyberturvallisuusriskien toteutuvan.
Kuntien ja sen toimialojen varautuminen tulisikin lähteä ensisijaisesti siitä, miten toiminnot organisoidaan, jos tietojärjestelmät tai -verkot eivät ole lainkaan käytettävissä. Mikä on ”Plan-B”, jos ennuste häiriölle on tunteja? Entä miten toimitaan, jos häiriön odotettu kesto on päiviä tai jopa viikkoja?
Tämän perusteella muodostuu selkeämpi käsitys siitä, mikä mahdollisen häiriön tosiasiallinen vaikutus on, ja miten voidaan toteuttaa teknistä jatkuvuutta, palautumiskykyä sekä priorisointia. Vastattavien kysymysten listasta tulee pitkä ja se on osittain järjestelmä- tai käyttötapauskohtainen.
Varmista ainakin nämä
Kyberturvallisuudesta huolehtimisen tulisi olla jatkuvaa, mutta tässä ajassa tärkeimpiä kuntaorganisaatioiden varmistettavia asioita ovat:
- Varmista, että laitteille ja sovelluksille on olemassa palvelusopimukset, joissa on sovittu riittävät palvelutasot (SLA)
- Varmista tiedon sijainti määritellyssä ja sovitussa paikassa sekä varmuuskopiointi
- Virustorjuntaohjelmisto EDR-ominaisuuksilla
- Palomuurin kyvykkyyksien parantaminen
- Lokienvalvonta
- Tarvitaan suunnittelua, päätöksentekoa ja aikaa toteuttaa – kyberturvallisuus osaksi arkea ja jatkuvaa palvelua
Tutustu konkreettiseen muistilistaan kyberturvallisuuden parantamiseksi tästä >>
Jokaisella toimijalla on merkitystä
Yksilötasolla toteutetuilla toimenpiteillä on aivan erityistä merkitystä. Usein kuulee, että ihminen on tietoturvan heikoin lenkki. Näin voi helposti ollakin, varsinkin jos käyttötarkoitus ja tarpeet eivät kohtaa hyödynnettäviä järjestelmiä ja niihin suunniteltuja suojaominaisuuksia, tai käyttäjien perehdytystä ja koulutusta.
Käyttäjänä yksilö voi kuitenkin olla myös erityisen vahva lenkki. Tietoturvallisuuden kannalta perusasiat ovat tärkeitä ja nämä on syytä kerrata koko henkilöstön kanssa.
Kaikkein on syytä vaihtaa salasanansa ja siirtyä samalla käyttämään salalausetta, vähintään 15-merkkiä pituudeltaan. Tekninen peruste tälle ”vaatimukselle” pituudesta on yksinkertainen. 15 merkin jälkeen salasanasta ei tallennu helposti purkukelpoisia tiivisteitä eri laitteille, joissa salasanaa käytetään.
Yhtä tärkeää on, että eri palveluissa, ja varsinkaan julkisen verkon palveluissa ja sosiaalisen median tileillä, ei käytetä samoja salasanoja keskenään. Toinen aivan erityisen merkittävä suojakeino on vahvan monivaiheisen kirjautumisen (MFA/2FA) käyttöönotto jokaisen käyttäjän osalta.
Tunnista ja varaudu myös informaatiovaikuttamiseen
Meneillään olevassa kriisissä merkille pantavaa on informaatiovaikuttaminen, propaganda ja valeuutisointi. Tämä on tärkeää tunnistaa ja siihen on syytä myös varautua. Varmistaa tiedon lähteet ja niiden luotettavuus, sekä vahvistaa saamansa tieto eri lähteisiin nojaten. Organisaation ja sen henkilöstön virallisen viestinnän säännöt ja ohjeet on hyvä kerrata.
Tärkeää on myös se, että jokainen käyttäjä osaa ja tietää miten hän voi ilmoittaa kaikista poikkeamista ja havainnoistaan tietoverkkoihin liittyen.
Jokainen meistä voi myös varautua tietoverkkojen erilaisiin uhkiin ja häiriötilanteisiin omaa osaamistamme kehittämällä. Omatoimiseen opiskeluun suosittelen esimerkiksi osallistumista Jyväskylän Yliopiston avoimen yliopiston Kansalaisen Kyberturvallisuus -kurssille. Tämä on ilmaiseksi saatavilla oleva 2:n opintoviikon laajuinen yliopistotasoinen kurssi kyberturvallisuuden perusteista ja se sopii aivan kaikille.
Kyberturvallisuus rakennetaan yhdessä
Kyberturvallisuutta rakennetaan yhdessä, päivittäin kehittäen ja parantaen. Myös näinä poikkeuksellisina aikoina.