Siirry sisältöön
2.7.2021 Artikkeli

Standardeilla kyberhyökkäyksiä vastaan

Verkottuneessa maailmassa hyökkäys voi tulla mistä vain ja aiheuttaa pahimmillaan katkoksia terveydenhuollon ja liikenteen kaltaisissa yhteiskunnan palveluissa. Standardit auttavat määrittämään riskejä ja suojautumaan niiltä.

Maailma digitalisoituu jatkuvasti, ja sillä on monenlaisia seurauksia. Arjessa se voi tarkoittaa saunan päälle napsauttamista kotimatkalla, mutta myös yhteiskunnan palvelut, kuten ruoka- ja vesihuolto ja liikenne, ovat yhä enemmän verkossa, alttiina hyökkääjille.

Kaikki kytköksissä keskenään

Viimeistään Vastaamon tietomurto toi kyberhyökkäykset kaikkien tietoisuuteen Suomessa. Potilaiden henkilötietoja varastettiin, käytettiin hyväksi kiristyksessä sekä julkaistiin Tor-verkossa.

Toinen esimerkki kyberhyökkäysten voimasta saatiin toukokuussa 2021, kun Yhdysvalloissa Colonial Pipeline -yhtiön koneisiin iski kiristysohjelma. Teksasilainen yhtiö joutui ajamaan alas muun muassa polttoaineenjakelulinjastonsa. Viisipäiväinen seisokki johti polttoainepulaan itärannikolla.

Esimerkit osoittavat, miten tärkeää kyberturvallisuus on meille kaikille, tavallisista kansalaisista yhteiskunnan tasolle asti. Kyberturvallisuuden tarkoituksena on taata palveluiden jatkuvuus, katkottomuus ja turvallisuus.

”Jos Suezin kanavaan juuttuu tankkeri, Suomessa jäävät trampoliinit saamatta ajallaan. Jos digitaalisessa maailmassa jokin järjestelmä kyykkää, sillä voi olla arvaamattomia kerrannaisvaikutuksia, koska jonkin toisen järjestelmän toiminta voi olla siitä riippuvainen”, Traficomin Kyberturvallisuuskeskuksen erityisasiantuntija Saana Seppänen korostaa.

Uusia hyökkäysmahdollisuuksia

Vaikutusten arvaamattomuuteen vaikuttaa osaltaan tekniikan nopea kehitys. Tekoälyn kaltaiset uutuudet luovat mahdollisuuksia parantaa ihmisten elämää, mutta niissä piilee myös riskejä.

”Kiristys, uhkailu ja laskutuspetokset ovat tuttuja jo ajoilta ennen tietokoneita. Nyt kyberuhkien kärjessä ovat kiritysohjelmat, tietovuodot ja niillä uhkailu. Rikolliset etsivät koko ajan uusia ansaintatapoja.”

Hyökkäysmahdollisuuksia lisää se, että yhä enemmän laitteita ja antureita – esimerkiksi palovaroittimia, murtohälyttimiä ja vesivuotovahteja – kytketään verkkoon. Saksalaisen tilasto- ja markkinadataan keskittyneen Statistan mukaan esineiden internetiin liitettyjen laitteiden määrä miltei kolminkertaistuu nykyisestä 8,74 miljardista yli 25,4 miljardiin vuonna 2030.

”Kyberrikolliset saavat myös huijattua ihmisiä taitavasti ja lankeamaan hyökkäyksiinsä. Kaikilla käyttäjillä ei ole samanlaisia valmiuksia huomata hyökkäyksiä”, SFS:n standardisointijohtaja Elina Huttunen muistuttaa.

Kokonaiskuvasta yksityiskohtiin

Standardit kannattaa ottaa avuksi taistelussa kyberhyökkäyksiä vastaan. Niitä voidaan käyttää monin tavoin.

Seppäsen mukaan ensimmäiseksi organisaation pitää ymmärtää, että siihen voi kohdistua kyberhyökkäyksiä. Sen jälkeen pitää tunnistaa riskit ja selvittää, miten uhkakuvien toteutuminen estetään.

”Tietoturvallisuuden hallintajärjestelmän avulla voidaan tarkastella, mitä pitää ottaa huomioon, minkälainen riskitaso on omalle toiminnalle hyväksyttävä ja mitä toimenpiteitä pitää tehdä halutun tietoturvallisuuden tason saavuttamiseksi. Toisaalta standardeja voidaan soveltaa esimerkiksi salasanakäytäntöihin ja pääsynhallintaan”, Huttunen sanoo.

Standardien avulla määritellään yhteisiä pelisääntöjä ja alan parhaita käytäntöjä. Niistä käy ilmi hyvän kyberturvatoteutuksen perustaso, joka auttaa parantamaan toiminnan turvallisuutta monipuolisesti.

Uudessa mukana

Standardin luominen vie keskimäärin 2–4 vuotta, ja sinä aikana tekoäly, 5G ja esineiden internet ehtivät muuttua monta kertaa.

Siksi standardisointityössä katsotaan tulevaisuuteen. Uusille aihealueille perustetaan komiteoita hyvissä ajoin ja standardeja kevyempiä teknisiä raportteja ja määrityksiä luodaan alusta lähtien.

”On hirvittävän tärkeää olla alussa mukana kehittämässä uusien alojen sanastoa, jotta päästäisiin puhumaan varsinaisesta asiasta yhteisillä termeillä”, Huttunen painottaa.

Suomessa tietoturvatekniikoiden standardisointiryhmässä on yli 130 ihmistä. Aihe siis kiinnostaa, mutta mukaan kaivattaisiin enemmänkin väkeä. Uuden tekniikan kehittyessä vinhaa vauhtia nyt olisi hyvä hetki osallistua ja vaikuttaa standardisointiin ja siten omiin toimintaedellytyksiin.

”Suomi on pieni maa. Siksi julkisen ja yksityisen sektorin yhteistyö ja aktiivisuus on tärkeää, jotta voimme tehdä kokoamme suuremman vaikutuksen”, Seppänen toteaa.

Teksti: Anne Hänninen

Lue myös:

Tietoturva nousee toimintakulttuurista

ISO/IEC 27000 Tietoturvallisuuden standardisarja