Kyberturvallisuus – miten pääsemme kuplan ulkopuolelle?

Kimmo Rousku Julkaisupäivä 9.10.2018 0.21 Blogit

Lokakuu on kyberturvallisuuden teemakuukausi Euroopassa. Nyt teemakuukauden kahdeksantena vuotena tapahtumia löytyy 33:sta valtiosta yli 420 eri tilaisuutta. Miksi kyberturvallisuus on niin tärkeää ja kuinka sen tulisi olla meillä sisäänrakennettuna kaikkeen toimintaan?

Miltä tulevaisuus näyttää – ruusutarhalta vai helvetin esikartanolta?

Yhdysvaltalaisessa Wired-lehdessä julkaistiin artikkeli  alkuvuoden 2018 aikana tapahtuneista keskeisistä kyberhyökkäyksistä ja niiden kautta tapahtuneista tietovuodoista tai henkilötietojen tietoturvaloukkauksista. Laitoin tähän ja tulevaisuuteen liittyen Twitteriin kyselyn, johon ehtii vastaamaan 14.10 saakka. Kyselyssä pohditaan, onko digitaalisessa toimintaympäristössä nyt meneillään poikkeuksellinen vaihe, jossa sattumalta tapahtuu näitä ilmiöitä niin paljon. Vai tuleeko tästä tällä tasolla ns. uusi musta tai normaali, johon pitää vain tottua. Entä jos tilanne tästä vielä pahenee painajaiseksi asti, jolloin meidän on enää hankala luottaa digitaaliseen toimintaympäristöön?

Mielestäni kysely ja vaihtoehdot jo hyvin kuvaavat sitä, millaisten ongelmien äärellä ollaan. Mikä muu asia tai ilmiö voi uhata vastaavalla tavalla yhteiskuntaamme ja toimintaamme kuin kyberturvallisuuden pettäminen?

Miten saamme kyberturvallisuutta edistettyä?

Me elämme erilaisissa kuplissa, joista kyberturvallisuus ja tietosuoja ovat hyviä esimerkkejä. Me, jotka työskentelemme päivittäin näiden asioiden parissa, pidämme näitä luonnollisesti äärimmäisen tärkeinä asioina. Ne, jotka elävät kyberturvallisuus- tai vaikka tietosuojakuplan ulkopuolella, suhtautuvat näihin asioihin varsin tyynesti ja saattavat ihmetellä meitä, joilla on varsin tiivis, jopa intohimoinen suhde niihin.

Jotta voimme edistää asiaamme eli kyberturvallisuuden toteutumista ja kehittymistä, edellyttää se mielestäni seuraavaa kolmea asiaa:

  1. Kyberturvallisuus pitää saada sisäänrakennetuksi kaikkeen toimintaan
  2. Digitaaliseen maailmaan liittyvistä uhista pitää viestiä ja kouluttaa säännöllisesti
  3. Meillä täytyy olla tarjolla ratkaisuja, ei uhkia, joilla nämä ongelmat hanskataan
  4. Kyberturvallisuus leivotaan kaikkeen sisään

Turhan usein huomaa sen, että tietovuoto on tapahtunut siksi, että jokin tekninen asia on unohtunut tai sen toteutus on ollut laadullisesti ala-arvoinen. Esimerkiksi salasanat on tallennettu selväkielisinä tietokantaan, palvelimien ja päätelaitteiden tietoturvapäivitysprosessi ei ole toiminut niin kuin on kuviteltu tai tietojen varmuuskopiointia ei ole testattu. Tämän takia kaikki turvallisuuteen liittyvät asiat pitäisi nähdä osana laatua ja toiminnan ylläpitämistä ja kehittämistä. Näitä ei pitäisi erikseen miettiä siten, että ”kyllä meidän tietoturva- ja tietosuojavastaavat nämä asiat muistavat ja huolehtivat”. Kyberturvallisuus on meidän kaikkien yhteinen asia. Ja usein kyseessä on siis inhimillinen erehdys. Joita voit vähentää ottamalla käyttöön MMKT-toimintamallin turvalliseen työskentelyyn, jonka opit viidessä minuutissa.

Säännöllinen viestintä ja koulutus

”Sinä olet tietoturvallisuuden | kyberturvallisuuden | tietosuojan | (nimeä itse) heikoin lenkki”

Kukaan ei ole voinut olla kuulematta tätä varsin masentavaa osatotuutta. Haluan itse tapelle tätä vastaan toteamalla, että motivoinut, osaava, ohjeistettu ja koulutettu henkilöstö, jolla on käytössä turvalliset työkalut ja palvelut, ei ole enää yhtä heikko lenkki kuin, mitä se on joskus saattanut olla. Parantamalla osaamisen tasoa organisaatio pystyy erittäin kustannustehokkaasti pienentämään henkilöstön kautta tapahtuvan tietoturva-, kyberturva- tai tietosuojariskin todennäköisyyttä ja vahingon vaikutusta. Miksi tätä riskienhallintakeinoa ei käytetä enempää?

Ei pelotella vaan tarjotaan mahdollisuuksia

EU:n yleisen tietosuoja-asetuksen (GDPR) osalta pahin virhe tapahtui siinä, että sitä ”myytiin” pelolla ja sanktioilla – 20 miljoonaa euroa tai 4% liikevaihdosta. Sen sijaan kaikissa uudistuksissa, kuten muussa toiminnan kehittämisessä, tulisi aina nähdä ne mahdollisuudet, joita muutos tarjoaa. Sama koskee kyberturvallisuutta: meidän tulee nostaa esille sen mahdollistava vaikutus, sillä ilman kyberturvallisuutta ei ole digitalisaatiota.

Ja tässä yhteydessä on välttämätöntä korostaa riskienhallinnan merkitystä, koska se tuo mahdollisuudet tarjolle, kunhan uhat tunnistetaan ja riskit otetaan hallintaan. On toki olemassa sellaisia riskejä, joita organisaatio ei voi ottaa – tätä varten tarvitaan kyvykkyys jäännösriskien käsittelyyn.

Tervetuloa kuuntelemaan Cyber Society -lavalle esityksiämme kyberturvallisuuden eri osa-alueista, suomeksi.

Kyberturvallista tulevaisuutta, mutta nyt etenkin lokakuuta!

 

Kimmo Rousku toimii Väestörekisterikeskuksessa johtavana erityisasiantuntijana sekä valtiovarainministeriön asettaman julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI) pääsihteerinä. Kimmo törmäsi elämänsä ensimmäiseen tietokonevirukseen heinäkuussa 1993 ja sen jälkeen #digiturva on eri muodoissa ollut osa hänen elämäänsä.

Twitter:@kimmorousku / kimmo.rousku@vrk.fi

Kirjoitus on julkaistu alunperin Cyber Security Nordic -seminaarin blogissa https://cybersecuritynordic.messukeskus.com/cyber-blogi/?lang=fi

 

Selaa blogin artikkeleita