Kyberturvallisuuden merkitys on kasvanut yhteiskunnassa koko ajan, sillä teknologia kehittyy nyt nopeasti ja jopa radikaalisti mm. tekoälykehityksen myötä. Tämä mahdollistaa positiivisia asioita liiketoimintojen ja palveluiden kehittämisessä, mutta se lisää myös verkkorikollisuuden ja verkkotiedustelun mahdollisuuksia hyödyntää monenlaisia haavoittuvuuksia.

Julkishallinnon tietoturva- ja tietosuojavastaavia on tilaisuudessa paikalla runsaat 100, joista osa etäyhteydellä. CSIT:llä on tapahtuman toisena yhteistyökumppanina koko tapahtuman ajan ratkaisujen esittelypiste ja jälkimmäisenä päivänä myös puheenvuoro otsikolla ”NIS2-direktiivi ja sen edellyttämä kyberhygienia käytännössä”. Esityksen pitää CSIT Finland Oy:n toimitusjohtaja Peik Åström.

Esityksessä käydään tiivistetysti läpi, mitä käytännön vaatimuksia Suomessa lokakuussa 2024 voimaan tuleva Euroopan unionin verkko- ja tietoturvadirektiivi eli NIS2-direktiivi tuo tullessaan. Näistä asioista kirjoitetaan piakkoin myös verkkosivujen blogiosiossa.

Kyberturvallisuuden hallintamallissa on viisi osaa: tunnista, suojaa, havainnoin, reagoi ja toivu. On tärkeää, että organisaatio tunnistaa tärkeän suojattavan tieto-omaisuutensa, tekee riskiarvioon pohjautuvia oikeasuhtaisia suojaustoimenpiteitä, havainnoi jatkuvasti kyberturvan poikkeamia ja tapahtumia sekä kehittää suojautumistaan jatkuvasti.

Kyberhygieniaperiaatteet ovat suojaamisen perusta

Kyberhygienia tarkoittaa perustason tietoturvakäytäntöjä. Toimilla suojataan verkko- ja tietojärjestelmien infrastruktuuri, laitteistojen, ohjelmistojen ja verkkosovellusten turvallisuus sekä yritys- tai loppukäyttäjätiedot. Toimilla varaudutaan poikkeamiin ja kyberuhkiin, ja varmistetaan yleinen turvallisuus niiden toteutuessa.

Perustason käytäntöihin kuuluvat mm: ohjelmisto- ja laitteistopäivitykset, salasanojen vaihtaminen, uusien asennusten hallinta ja laitteiden konfigurointi, ylläpitäjän käyttöoikeuksia edellyttävien tilien rajoittaminen, tietojen varmuuskopiointi ja palautumissuunnitelma, kryptografian ja salauksen käytön periaatteet, nollaluottamuksen periaate, verkon segmentointi, identiteetin- ja pääsynhallinta, pääsynhallintaperiaatteet, kyberturvallisuuden ja -uhkien koulutus, kyberturvallisuutta parantavaa tekoälyä ja koneoppimista, tarvittaessa monivaiheinen tai jatkuva todennus.

Identiteetin- ja pääsynhallinta on keskeinen tekninen suojaamisratkaisu, jonka avulla saadaan suojattua niitä tietoja, joita ilman ei voi toimia, tai joihin kohdistuu toimialakohtaisia lakisääteisiä velvoitteita, tai joihin kohdistunut tietoturvaloukkaus voi aiheuttaa suurta vahinkoa. Lainsäädännöllisiä velvoitteita ovat mm. menettelyt tunnusten ja oikeuksien hallinnalle koko elinkaaren ajalle, väärinkäytösten estäminen (mm. vaaralliset yhdistelmät, tehtäväkierto, työsuhteen tai sopimuksen päättyminen), menettelyt ja ratkaisut pääkäyttäjätilien ja vahvojen oikeuksien hallintaan, ulkoisten käyttäjien hallinta (vähimpien oikeuksien periaatteella), ja kriittisen omaisuuden suojaaminen vahvalla, monivaiheisella tunnistautumisella.

Poikkeamien ja tapahtumien havainnointi on keino lain edellyttämään toimintaympäristön säännölliseen tarkasteluun, jonka pohjalta voidaan reagoida kyberturvan vaatimusten mukaisella tavalla ja kehittää edelleen järjestelmien suojaa. Lokien kerääminen muodostaa ytimen tietoturvatapahtumien valvonnalle ja poikkeamien tunnistamiselle. Järjestelmiä tulee valvoa ja niitä tulee suojata luvattomalta pääsyltä, vahingoilta ja häiriöiltä. Kaikissa tärkeissä järjestelmissä ja ohjelmistoissa tulee olla tapahtumakirjaus ja -seuranta, poikkeamien seuranta ja raportointi sekä auditointi, luottamuksellisten tietojen käytön valvonta, pääkäyttäjien ja vahvojen oikeuksien tilien käytön seuranta ja sisäisten sekä ulkoisten käyttäjien poikkeavan käyttäytymisen seuranta.