Kyberturvallisuuden merkitys on kasvanut yhteiskunnassa koko ajan, sillä teknologia kehittyy nyt nopeasti ja jopa radikaalisti mm. tekoälykehityksen myötä. Tämä mahdollistaa positiivisia asioita liiketoimintojen ja palveluiden kehittämisessä, mutta se lisää myös verkkorikollisuuden ja verkkotiedustelun mahdollisuuksia hyödyntää monenlaisia haavoittuvuuksia. Tämä blogiartikkeli on osa artikkelisarjasta, jossa aiemmin on julkaistu artikkeli ”NIS2-direktiivi – mitä ja kenelle”

NIS2-direktiivin vaatimukset

Network and Information Security (NIS) – eli verkko- ja tietoturvadirektiivin tavoitteena on vahvistaa EU:n yhteistä ja jäsenvaltioiden kansallista kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta kriittisiksi katsottujen sektoreiden ja toimijoiden osalta. Direktiivi on tullut voimaan EU:ssa joulukuussa 2023 ja sen soveltaminen alkaa Suomessa 18.10.2024.

Laki tuo mukanaan merkittävän laajennuksen organisaatioihin, joita se koskee. Sen lisäksi organisaatioille asetettavat vaatimukset kyberturvallisuuden riskienhallinnalle ja sen edellyttämille toimenpiteille laajenevat merkittävästi. Nämä ovat lain soveltamisalaan kuuluville organisaatioille velvoittavia – keskeisiltä ja tärkeiltä toimijoilta edellytetään konkreettisia toimenpiteitä.

Organisaatioiden ylin johto asetetaan nyt entistä selkeämmin vastuuseen vaatimuksenmukaisuudesta ja määräysten noudattamisesta. Samalla toimijalle laiminlyönneistä määrättävät sakot nousevat merkittävästi.

Laissa määritellään toimialakohtaisesti keskeiset ja tärkeät toimijat, joita velvoitteet koskevat. Molempia toimijoita koskee samalla tavalla kaikki lain velvoitteet. Keskeiset ja tärkeät toimijat eroavat toisistaan vain kahdella tavalla – keskeisiä toimijoita valvotaan aktiivisesti velvoitteiden noudattamisesta, tärkeitä toimijoita lähinnä silloin kun poikkeamia havaitaan, ja keskeisille toimijoille voidaan laiminlyönneistä antaa korkeampia sakkoja kuin tärkeille toimijoille.

Vaatimuksenmukaisuuden kohteena on organisaation toiminta, eli tuotantoprosessit, ja niiden kannalta merkitykselliset viestintäverkot ja tietojärjestelmät. NIS2-direktiivi on nimetty myös kyberturvallisuusdirektiiviksi.

Kyberturvallisuuden johtaminen

Kyberturvallisuuden johtaminen on haastava kokonaisuus, joka edellyttää hyviä prosesseja ja toimintamalleja. NIS2-direktiivi ei aseta vaatimusta minkään johtamismallin noudattamista, mutta käytännössä velvoitteiden todentaminen ja vaatimusten täyttäminen on vaikeaa ilman hallintamallia.

Kyberalalla tukeudutaan yleisesti joihinkin hallintamalleihin, kuten NIST   Cybersecurity Framework 2.0 ja ISO 27001:2022. Kyseisten hallintamallien avulla on mahdollista hallitusti saavuttaa riskienhallinnan ja kyberturvallisuuden toteutusten vähimmäistaso.

Vahva suositus on, että kyberturvallisuuskäytänteet ja -ratkaisut jaotellaan tämän mallin mukaisesti viiteen osa-alueeseen.

Kyberhygienia yhdistää yrityskulttuurin työkaluihin ja tietojärjestelmiin

NIS2-direktiivi asettaa johdon vastuulle luoda ja ylläpitää kyberturvallisuutta tukevaa yrityskulttuuria. Johdon vastuista ja tehtävistä kirjoitimme tarkemmin tämän artikkelisarjan edellisessä jaksossa – voit lukea siitä täällä.

Kyberhygienialla tarkoitetaan perustason tietoturvakäytäntöjä, joiden avulla varmistetaan toiminnan, tietoliikenteen, laitteistojen ja ohjelmistojen sekä tietoaineiston turvallisuus.

Toimilla suojataan verkko- ja tietojärjestelmien infrastruktuuri, laitteistojen, ohjelmistojen ja verkkosovellusten turvallisuus sekä yritys- ja loppukäyttäjätiedot.

Toimilla varaudutaan poikkeamiin ja kyberuhkiin, ja varmistetaan yleinen turvallisuus niiden toteutuessa. Perustason käytäntöihin kuuluvat mm:

  • ohjelmisto- ja laitteistopäivitykset
  • salasanojen vaihtaminen
  • uusien asennusten hallinta ja laitteiden konfigurointi
  • ylläpitäjän käyttöoikeuksia edellyttävien tilien rajoittaminen
  • tietojen varmuuskopiointi ja palautumissuunnitelma
  • kryptografian ja salauksen käytön periaatteet
  • nollaluottamuksen periaate
  • verkon segmentointi
  • identiteetin- ja pääsynhallinta, pääsynhallintaperiaatteet
  • kyberturvallisuuden ja -uhkien koulutus
  • kyberturvallisuutta parantavaa tekoälyä ja koneoppimista
  • tarvittaessa monivaiheinen tai jatkuva todennus

*ovat laissa oleva kokoelma vaatimuksista

Perustason tietoturvakäytännöt ovat laissa oleva kokoelma esitetyistä vaatimuksista toimijoille. Kyberala ry:n NIS2-soveltamisopas, 0.9 (beta) tiivistää lain vaatimukset ydinsisältömuodossa seuraavasti:

    1. Tee tietoturvakäytäntöjen ohjeistus henkilöstölle, alihankkijoille ja muille kumppaneille
    2. Tunnista kriittisimmät omaisuudet
    3. Suojaa viestintäverkko ja tietojärjestelmät
    4. Erota kriittisimmät verkot ja järjestelmät muista ympäristöistä
    5. Suojaa verkot ja järjestelmät haitallisia ja luvattomia ohjelmistoja vastaan
    6. Järjestä turvallinen tunnistautuminen sisäisiin ja ulkoisiin palveluihin sekä laitteisiin
    7. Erota järjestelmien pääkäyttäjätunnukset ja korotettujen oikeuksien tunnukset muista tunnuksista
    8. Varmista luottamuksellisen tiedon turvallinen käsittely
    9. Päivitä järjestelmät säännöllisesti ja kriittiset päivitykset viivytyksettä
    10. Huolehdi palveluiden ja laitteiden turvallinen konfigurointi
    11. Huolehdi kriittisten palveluiden ja tieto-omaisuuden varmuuskopiointi
    12. Varaudu toiminnan ylläpitämiseen vakavissa poikkeamissa
    13. Käytä kriittisissä toiminnoissa tapahtumakirjausta (loki)

NIS2-direktiivi ohjaa toimijoita määrittämään perustellun kyberhygienian tason oman toimintansa ja roolinsa pohjalta. Ei siis ole yksiselitteistä listaa tarkoista toimintamalleista ja toimenpiteistä, jotka toteuttamalla vaatimustenmukaisuus toteutuu. Perustason tietoturvakäytännöt ovat kuitenkin vaatimusten perustana.

NIST-hallintamallin osa-alueet

Riskienhallinnan päätarkoituksena on turvata liiketoiminnan jatkuvuus. Toimijoiden on kyettävä tunnistamaan ja hallitsemaan liiketoimintaansa ja toimintaansa kohdistuvia kyberturvallisuusriskejä. Sen jälkeen arvioidaan omat kyvyt vastata riskeihin, miltä pohjalta tunnistetut riskit huomioiden on syytä laatia riskienhallintasuunnitelma, jota tulee säännöllisesti arvioida ja tarpeen mukaan päivittää.

Kun kohteet (omaisuus), johon kyberturvallisuuden riskit kohdistuvat on tunnistettu, niin seuraavaksi tulee suunnitella ja toteuttaa niiden suojaaminen. Suojaamista tehdään teknisillä, operatiivisilla ja hallinnollisilla toimenpiteillä.

Suojattava omaisuus

Suojattavan omaisuuden tunnistaminen on olennaista liiketoiminnan turvallisuudelle ja jatkuvuudelle. Tärkeää on tunnistaa toiminnan ja kyberturvan kannalta kriittiset kohteet. Näitä kohteita ilman organisaatio ei voi toimia, tai niihin kohdistunut tietoturva- tai tietosuojaloukkaus voi aiheuttaa suurta vahinkoa.

KRIITTISIÄ OMAISUUKSIA

Potilas-, asiakas- ja henkilötiedot, identiteettitiedot (käyttövaltuudet, käyttäjätunnukset ja salasanat), kyberturvallisuussuunnitelmat, taloustiedot, laite- ja verkkotiedot jne.

Suojattavat kohteet voivat olla laitteita, ohjelmistoja, sovelluksia ja toiminnan tai luottamuksellisuuden kannalta kriittistä dataa.

Identiteetin- ja pääsynhallinta on hyvä ja keskeinen tapa kohdentaa suojaus oikeisiin kohteisiin.

Käyttövaltuushallinta on kyberturvallisuuden ytimessä

  • Identiteetinhallinta varmistaa, että käyttäjät, laitteet, sovellukset ja koneet on tunnistettu. Identiteeteille määritellään tarpeeseen pohjautuvat valtuudet päästä tietoon ja tietojärjestelmiin. Pääsyoikeudet luodaan näiden valtuuksien pohjalta.
  • Pääsynhallinnan avulla varmistetaan, että vain oikeutetut identiteetit voivat käyttää tiloja, laitteita, järjestelmiä tai tietokantoja.

Käyttövaltuushallinta on oleellinen osa kyberturvallisuutta ja sen avulla saadaan organisaation tärkeitä resursseja suojattua. Heikosti toteutettu käyttövaltuushallinta johtaa laitteiden, ohjelmistojen ja tiedon luvattomaan käyttöön, joko rikosmielessä tai uteliaisuuttaan. Lue tarkemmin käyttövaltuushallinnasta verkkosivulta www.kayttovaltuushallinta.fi.

Identiteetit ja käyttövaltuudet ovat väärinkäytösten välineinä

Tietomurtojen ja tietosuojaloukkausten kohteena ovat olleet edelleen kasvavassa määrin identiteetit ja niiden käyttövaltuudet. Identiteettejä varastetaan tai käyttäjiltä huijataan käyttäjätunnuksia ja salasanoja.

Uusimmatkin tutkimukset vahvistavat tämän. Kun organisaatioilta kysyttiin, kuinka monella on ollut viimeisen kahden vuoden aikana identiteettien varkauksiin tai väärinkäyttöön kytkeytyviä tapahtumia, niin vastaus oli 84%. Kun selvitettiin moniko näistä tapahtumista liittyi pääkäyttäjäoikeuksiin, niin tulos oli 74% (eli kaikista organisaatioista 62%). Ja vastaavasti selvisi, että 51% varkaus- tai väärinkäyttötapahtumista aiheutuu ulkoisesta käytöstä (konsultit, alihankkijat, palvelutoimittajat – eli kaikista organisaatioista 43%).

Varkaus- ja väärinkäyttötapahtumien valtava määrä johtuu siitä, että omaisuutta tai toimintaa suojaavat ratkaisut ja toimintamallit eivät ole olleet organisaatioissa ollenkaan riittävällä tasolla. Riskejä aiheuttaa muun muassa se, että:

  • Käyttäjätunnukset ja salasanat ovat liian helposti saatavilla.
  • Pääkäyttäjätilejä ei ole erityissuojattu, eikä käyttöä ole ohjeistettu tai valvottu riittävästi – yhä edelleen yhteiskäyttötunnukset ovat melko yleinen tapa toimia.
  • Ulkoisille käyttäjille on usein annettu tarpeeseen verrattuna huomattavan laajat oikeudet.
  • Käyttötapahtumia ei tallenneta, tai ainakaan aktiivisesti seura, eikä käyttäjien poikkeavaan käyttäytymistä tunnisteta. 

NIS2-artikkelisarja saa lisää jatkoa

Kirjoitamme seuraavassa blogiartikkelissamme tarkemmin siitä, miten NIS2-vaatimuksiin vastataan teknisillä ratkaisuilla ja mitä ne käytännössä organisaatiolta edellyttävät. Seuraavan artikkelin otsikko tulee olemaan NIS2-direktiivin edellyttämä kyberhygienia käytännössä.