Linkitin Oy

Työkaveria ei jätetä! Linkitin tukee organisaatioita, johtoa ja henkilöstöä, oli porukkasi iso tai pieni.

Tietoturvaseteli – tukea pk-yrityksen kybervarautumiseen

harjoittelu

Tietoturvaseteli – tukea pk-yrityksen kybervarautumiseen

Tietoturvayhtiö Check Pointin selvityksen mukaan suomalaisiin yritysverkkoihin kohdistui tämän vuoden heinä-syyskuussa 93% enemmän kyberhyökkäyksiä, kuin vuotta aikaisemmin samalla ajanjaksolla. Hyökkäyksiä oli viikottain reilusti yli 1000. Suomalaisiin organisaatioihin kohdistuu nyt entistä enemmän hyökkäyksiä ja ne ovat myös vakavampia. Hyökkäysten taustalla on valtiollisia toimijoita, mutta myös rikollisia jotka pyrkivät saamaan taloudellista hyötyä mm. kiristyshyökkäyksillä (ransomware).  Eniten hyökkäyksiä maailmalla tehdään koulutusalalle, mutta suurinta kasvu on terveydenhuoltoalalla.

Kyberhyökkäykset ovat hyvin yleisiä ja niiden määrä kasvaa kokoajan. Kaikki yritykset toimialasta ja koosta riippumatta ovat mahdollisia kyberhyökkäysten kohteita ja varautuminen niihin kuuluu aina johdon agendalle. 

Tietoturvauhkaan varaudutaan kahdella tavalla, teknisesti ja toiminnallisesti. Luonnollisesti tietojärjestelmät ja ohjelmistot tulee pitää ajantasalla ja suojattuna teknisesti ja fyysisesti väärinkäytöksiltä. Lisäksi on varmistettava, että yrityksen henkilöstö on koulutettu käyttämään järjestelmiä tietoturvallisesti.

Uusimmat ohjelmistot ja kirjatut käytänteet eivät kuitenkaan riitä. Varautumisen kannalta ensiarvoisen tärkeää on harjoitella säännöllisesti. Vain harjoittelemalla parannetaan yrityksen kykyä vastustaa kyberuhkia ja toipua hyökkäyksestä mahdollisimman nopeasti.

Valtioneuvosto antoi asetuksen tietoturvan kehittämisen tuesta eli niin kutsutusta tietoturvasetelistä 13.10.2022.

Tietoturvasetelissä on kaksi suuruusluokkaa ja se on suunnattu yhteiskunnan toiminnan kannalta kriittisten alojen yrityksille. Pienempi seteli on enintään 15 000 euroa yritystä kohden ja se on suunnattu erityisesti pk-yrityksille. Tietoturvaseteliä voidaan hyödyntää esimerkiksi tietojärjestelmiensä tarkastus- ja arviointityöhön tai henkilökunnan kouluttamiseen ja osaamisen kehittämiseen. Isompi tietoturvaseteli on arvoltaan 100 000 euroa ja se on tarkoitettu tukemaan isompien tietoturvaprojektien toteutumista. Isommassa setelissä on 30% omavastuuosuus.

Asetus tulee voimaan 1.12.2022. ja tukea voi hakea Liikenne- ja viestintäviraston Kyberturvallisuuskeskukselta 1.12.2022 alkaen.

Kyberturvallisuuskeskuksen verkkosivuilla on paljon hyvää materiaalia kyberharjoituksiin liittyen ja siellä on myös lista harjoitus- ja koulutuspalveluita tarjoavista yrityksistä. Listalta löytyy myös Linkitin Oy. 

Tarjoamme kustannustehokkaan harjoituspaketin, jonka avulla on helppo mitata mikä on organisaation kyky vastata kyberhyökkäykseen ja minimoimaan siihen liittyvän mainehaitan. Harjoituksemme on toiminnallinen ja se paljastaa kehittämiskohteet organisaation toiminnassa ja yhteistyössä kyberhyökkäyksen koittaessa. Erityinen hyöty harjoittelusta saadaan, kun se toistetaan sen jälkeen kun ensimmäisen harjoituksen esiin nostamat haasteet on ratkaistu. Tietoturvasetelillä on nyt mahdollista parantaa organisaation osaamista ja kykyä vastata kyberuhkiin valtion tuella, ilman investointia.

Mikko

Photo by FLY:D on Unsplash 

Viestintä voitelee kyberturvallisuuden rattaita

Pointtini: viestintä leviää kaikkialle

Eräässä kyberturvallisuuteen liittyvässä harjoituksessa saimme aikaan vain aika huonon puhelinluettelon. Ne pari muuta yhteistä suoritetta olivat vieläkin keskeneräisempiä. Olimme harjoitukseen erittäin tyytyväisiä – ja syystä!

Puhelinluettelo lähti yhdistämään teemaan liittyviä toimijoita. Verkostomme alkoi muuttua näkyväksi. Eri tahot ja vastuut eivät olleet vain yksittäisiä post it -lappuja aivoissamme, vaan tiedonpalaset yhdistyivät jaetuksi yhteiseksi verkostoksi.

Luetteloon tuli henkilöitä, jotka edustivat organisaatioidensa eri haarakkeita. Siellä he pystyisivät viemään eteenpäin ongelmia korjaavia toimia. Harjoituksessa – tai oikeassa tilanteessa – tilannetta pystytään korjaamaan rivakammin, kun tiedetään kehen otetaan yhteyttä ja mitä silloin sanotaan.

Ihmiset, prosessit ja teknologia ovat kyberturvallisuuden osia, turvallisuuskoneiston rattaita. Nämä osat eivät ole erillisiä osia, mutta niiden yhteistoiminta ei myöskään synny itsestään. Päinvastoin, näissä rattaissa voi olla kitkaa, jota (sisäinen) viestintä voi vähentää. Käyn rattaita läpi seuraavissa kappaleissa.

Viestinnän ytimessä on kommunikointi ihmisten välillä. Aiemmassa esimerkissä yhden organisaation henkilö soittaa toiselle. Kyberturvallisuudessa vaikeuksia aiheuttaa, jos teknisellä tiedolla tukahdutetaan vastaanottaja. Ammattiryhmien eri slangi ja englannista väännetyt uussanat vaikeuttavat ymmärtämistä. Monesti unohtuu, että kuulijana ei olekaan samaan piiriin kuuluva henkilö. Esimerkkejä kielimuureista löytyy tekniikan asiantuntijoiden ja liiketoimintajohdon väliltä, mutta jakolinjoja löytyy paljon enemmän. Useasti kuitenkin näyttää siltä, että tekniikan ekspertit ovat ainakin se toinen osapuoli. Ellei molemmat. Harjoittelu, henkilökohtainen kokemus ja yhteyshenkilöiden käyttö vähentävät tulkintaongelmia. Kyberuhkien jatkuva muuntautuminen toisaalta lisäävät niitä.

Viestinnän merkitys näkyy myös kyberturvallisuusprosesseissa. Esimerkiksi GDPR määrittää monella tavalla oikeita toimintatapoja. Vaikka lainsäädäntö ei toimintaa rajaisi, prosessit halutaan pitää ryhdissä. Toimiakseen prosessien itsensä tulee olla selkeitä, kaikille jo aiemmin kerrottuja ja harjoitettuja. Kassakaappiin piilotettu suunnitelma ei ehdi hädän hetkellä kätköstään kentälle.

Kyberuhkat moninaistuvat teknologiamyllerryksessä, mikä voi heittää vanhat prosessit ja toimintamallit sekä käytännölliset viitekehykset roskakoriin ajastaan jälkeenjääneinä. Toisaalta, jos vanhoihin toimintatapoihin vain lisätään uusia palasia, niin ovatko ne enää tehokkaita. Jos prosessit ovat monimutkaisia ja moniselitteisiä, niin ne pysäyttävät toiminnan tai pistävät ihmiset juoksemaan eri suuntiin. Prosessista on siis voitava kommunikoida, ja sen on otettava huomioon kommunikaatio työkaluna. Esimerkkinä selkeästi ja aikaa kestävästä varautumisen viitekehyksestä on yhteiskunnan turvallisuusstrategia.

Viestijöinä ihmiset ja koneet

Rattaista kolmas, teknologia, on myös sidoksissa viestintään. Teknologia on kyberturvallisuuden perusta, ja se on myös tehokkaan, paikkarajat ylittävän viestinnän edellytys. Työkalujen kehittämisessä on huomioitava ihmisten rajoitteet. Esimerkiksi valvomoiden tai tilannekuvan kehittämisessä on pohdittava, kuinka asiantuntija käsittää näkemänsä.

Teknologian kehityksen vuoksi viestintä on yhä useammin koneiden keskinäistä toimintaa, mikä ei sekään poista riskiä siitä, että tärkeät ja oikeat sanomat eivät päädy oikeisiin paikkoihin. Jouni Pöyhönen väitöskirjassaan (2020) esittää tiedonjakamista kyberturvallisuuden johtamista käsittelevässä väitöksessään: ”Osa sairaalan datasta on pirstaloitunut erillisiin järjestelmiin, mikä luo haasteita sen keskitettyyn jakamiseen tai analysointiin. Toisaalta osa tietolähteistä, kuten potilas-, ja perimätietojärjestelmät muodostavat jo lähtökohdiltaan yhtenäisen data-alustan… Toimintaan kytkeytyvät myös kyberturvallisuuden kyvykkyydet, ihmiset, prosessit ja teknologiat, ja niiden toiminnan kehittäminen osana sairaalan turvallista toimintaa.”

Viestinnällä on siis suuri merkitys kyberturvallisuuden peruselementtien – ihminen, prosessit, teknologia – sisällä ja niiden välillä. Viestintä on kaikkialla, mutta harvemmin kuskin paikalla.

Viestintään liittyviä kyberin hallinnan ongelmia ja korjaustoimenpiteitä:

  1. Ammattikielten erilaisuus vaikeuttaa ymmärtämistä – harjoittelu, henkilökohtainen kokemus, käyttäminen yhteyshenkilöitä
  2. Etätyöskentely tai muut toimintatavat vaikeuttavat kommunikointia / viesti ei mene perille – sisäisen viestinnän analyysi ja tulosten perusteella toimenpiteet
  3. Lainsäädännön ja muiden normien vaikutus prosesseihin
  4. Kyberturvallisuuskulttuurin ongelmat – asian merkityksestä kertominen ja korjaaminen lähtee ylimmästä johdosta
  5. Kassakaappisuunnitelmat eivät ole tiedossa – harjoitellaan ja tehdään normaaleista prosesseista jo turvallisempia
  6. Prosessit ovat monimutkaisia – harjoitellaan, prosesseja päivitetään säännöllisesti ja hyödynnetään ulkopuolisia tekijöitä ja lukijoita
  7. Prosessit vanhenevat – prosesseja päivitetään ja käytetään yleisempiä, sopeutuvaisempia viitekehyksiä
  8. Viestintäteknologia ei ole käyttäjäystävällistä – suunnittelun tulisi olla monitieteistä ja käyttäjäkunnan osallistavaa
  9. Koneiden välinen viestintä on sirpaloitunutta, muuttuvaa ja monimuotoista – turvallinen tuotanto ohjelmoinnissa

Lähetä palautetta (antti.sillanpaa@linkitin.fi), niin pidennetään listaa yhdessä.

Lisää aiheesta tai sen liepeiltä:

Jouni Pöyhönen 2020: Kyberturvallisuuden johtaminen ja kehittäminen osana kriittisen infrastruktuurin organisaation toimintaa

https://jyx.jyu.fi/handle/123456789/71395

https://turvallisuuskomitea.fi/yhteiskunnan-turvallisuusstrategia/

https://www.computerweekly.com/opinion/Security-Think-Tank-Communication-processes-and-tech-a-new-beginning-for-security

https://www.cfo.com/cyber-security-technology/2019/08/overcoming-cybersecurity-communications-barriers/

https://securityintelligence.com/these-four-communication-tips-could-improve-your-cybersecurity-reporting/ https://www.cyberwatchfinland.fi/