Kyberturvallisuudesta puhutaan tänä päivänä hyvin paljon erilaisin sodan ja rikollisuuden termein. Vaikka uhkakuvat ovatkin todellisia, hyödyllisempää kuin uhkakuvien maalailu on ongelman torjuntaan tähtäävien ratkaisujen etsiminen ja käyttöönotto. Mallia voisi ottaa kansanterveydellistä etua tuoneesta rokotusohjelmasta.
– Olemme nähneet valtavia parannuksia kansanterveydessä – ihmisen elinikä on pidentynyt ja uusia parannuskeinoja vakaviin sairauksiin on löydetty. Samanlaista ratkaisukeskeistä ajattelumallia tulisi tuoda nykyistä enemmän myös kyberturvallisuuskeskusteluun, sanoo VTT:n tietoturva-alan erikoistutkija Kimmo Halunen.
Erikoistutkijan mukaan kyberturvallisuuden oman "rokotusohjelman" toteuttaminen edellyttää ensinnäkin ongelman tunnistamista. Keitä vastaan kyberrikolliset kohdistavat hyökkäyksiään ja mitkä kohteet ovat esimerkiksi valtiollisen vakoilun kohteena? Vasta sitten, kun tiedämme tämän, voidaan ongelmiin löytää ratkaisuja.
On huolehdittava myös siitä, että saadaan riittävä kattavuus ohjelmalle. Miten saadaan kannustettua yrityksiä panostamaan kyberturvallisuuteen ja vähentämään organisaation kyberturvallisuutta uhkaavaa riskikäyttäytymistä? Riskikäyttäytymistä voi Halusen mukaan yksinkertaisimmillaan olla toimiston oven lukitsematta jättäminen työpäivän päätteeksi.
Kannustamalla kyberriskit kuriin
Yrityksiä voidaan tulevaisuudessa kannustaa kyberturvallisuuteen esimerkiksi myöntämällä erilaisia sertifikaatteja sellaisille organisaatioille, joiden verkkoturvallisuus on toivotulla tasolla.
Tähän suuntaan ollaan jo menossa Suomessakin. Esimerkiksi FINSC (Finnish Cyber Security Sertificate) on yhteistyössä elinkeinoelämän ja julkishallinnon kanssa kehittänyt sertifiointijärjestelmän, jonka tavoitteena on lisätä yhteiskunnan toimijoiden kyberosaamista ja -ymmärrystä ja samalla auttaa organisaatioita hallitsemaan omaa turvallisuuttaan.
Myös EU ilmaisi viime kesäkuussa tehostavansa kyberuhkien sietokykyään perustamalla EU:n laajuisen sertifiointikehyksen tieto- ja viestintätekniikan tuotteille, palveluille ja prosesseille. Järjestelmien perusteella annetut sertifikaatit ovat aikanaan voimassa kaikissa EU-maissa.
Rajat verkkomaailmaan?
Mikäli porkkanasta ei ole apua, voisi keppi tulla tarpeeseen. Tulevaisuudessa voikin olla tarpeellista päättäjien taholta säädellä minkälaisia tietoturvavaatimuksia ja toteutuksia tulisi organisaatioilla olla. Tämän suuntaista mallia nykyisessä verkottuneessa IoT-maailmassa peräänkuuluttaa myös yhdysvaltalainen tietoturva-asiantuntija Bruce Schneier.
– Ei ole helppoa löytää sopivaa sääntelyä, mutta siksi on alan asiantuntijoita ja asiasta käydään jatkuvaa dialogia. Meidän tulee pohtia, minkälaista sääntelyä mahdollisesti tarvitsemme, jotta "rokotukset" saadaan kaikille ja parannuskeinot laajasti käyttöön.
Perusasiat kuntoon
Halunen muistuttaa, että organisaatioiden tietoturvan perusasioissa on edelleen paljon parannettavaa. Esimerkiksi päivityksistä, varmuuskopioinneista ja salasanoista ei edelleenkään pidetä riittävästi huolta.
Organisaatioiden tulisi nykyistä enemmän huolehtia myös riskitasostaan – katsomalla esimerkiksi, ettei jää organisaatiosta poistuvien henkilöiden käyttöön käyttäjätilejä.
Koska käynnissä oleva IoT-vallankumous on vasta alkumetreillä, kyberturvallisuuden merkitys vain lisääntyy tulevaisuudessa. Tietokoneet ja perinteiset älylaitteet, kuten älytelevisio ja -puhelin, ovat jo verkossa, mutta teknologian kehittyessä myös "tyhmät" laitteet siirtyvät pikkuhiljaa verkkomaailmaan. Tulevaisuudessa internetiin liitettävien kuluttajalaitteiden tietoturvan merkitys korostuu.
– Kuluttajan kannalta ei ole järkevää, että leivänpaahdin on verkossa: Hän ei tarvitse kännykkään ilmoitusta, että nyt se leipä on valmis. Mutta tulevaisuudessa leivänpaahdinkin tulee menemään verkkoon, koska laitteen valmistaja haluaa kerätä dataa, kertoo F-Securen tietoturva-asiantuntija Mikko Hyppönen.
– Data on rahaa ja myös leivänpaahdinfirmat tietävät sen. Jos he voisivat laittaa laitteensa jo nyt verkkoon, he tekisivät sen, mutta he eivät voi, koska se on liian kallista. Kymmenen vuoden päästä se on jo mahdollista, Hyppönen lisää.
Resilienssiä eli kestävyyttä hyökkäyksiä vastaan
Kyky varautua riskeihin on tärkeässä asemassa tulevaisuuden taistelussa kyberuhkia varten. Jotkut organisaatiot toimivat toimialalla, joka on alttiimpi verkkohyökkäyksille, ja tämä on otettava huomioon rakentaessa kyberturvallisuussuojaa.
– Organisaatioiden tulisi varautua mahdollisia hyökkäyksiä vastaan jo varhain. Tällöin, kun verkkohyökkäys osuu oman organisaation kohdalle ja käydään kanveesissa, tiedetään, miten sieltä noustaan ylös mahdollisimman nopeasti ja vähäisin vaurioin, korostaa Halunen.
Oleellista on miettiä, miten organisaatiossa huomataan, että kyberhyökkäys on tapahtunut ja mitä tehdään, kun niin tapahtuu. Tätä monikaan tämän päivän turva-alan ihminen ei halua miettiä, vaikka pitäisikin.
– Voi kestää jopa kuukausia ennen kuin kukaan organisaatiossa edes huomaa, että on jouduttu rikoksen uhriksi, koska ei seurata riittävän aktiivisesti verkkoliikennettä, eikä monesti edes tiedetä, miltä normaali verkkoliikenne näyttää, F-Securen Mikko Hyppönen päättää.
