NIS2-Direktiivin edellyttämä kyberhygienia käytännössä

Kyberturvallisuuden merkitys on kasvanut yhteiskunnassa koko ajan, sillä teknologia kehittyy nyt nopeasti ja jopa radikaalisti mm. tekoälykehityksen myötä. Tämä mahdollistaa positiivisia asioita liiketoimintojen ja palveluiden kehittämisessä, mutta se lisää myös verkkorikollisuuden ja verkkotiedustelun mahdollisuuksia hyödyntää monenlaisia haavoittuvuuksia. Tämä blogiartikkeli on osa artikkelisarjasta, jossa aiemmin on julkaistu artikkelit ”NIS2-direktiivi – mitä ja kenelle” ja ”NIS2-direktiivi ja kyberhygienia”.

NIS2-direktiivin vaatimukset

Network and Information Security (NIS) – eli verkko- ja tietoturvadirektiivin tavoitteena on vahvistaa kyberturvallisuuden tasoa yhteiskunnan toiminnan kannalta kriittisiksi ja tärkeiksi katsottujen sektoreiden ja toimijoiden osalta. Direktiivin alkaa Suomessa 18.10.2024.

Aiempaan verrattuna uusittu laki koskee entistä useampaa organisaatiota ja sen asetettavat vaatimukset kyberturvallisuuden riskienhallinnalle ja suojaaville toimenpiteille laajenevat merkittävästi. Johto on entistä selkeämmin vastuussa ja laiminlyönneistä määrättävät sakot nousevat aiemmasta.

Vaatimuksenmukaisuuden kohteena ovat erityisesti viestintäverkot ja tietojärjestelmät – NIS2-direktiivi onkin nimetty myös kyberturvallisuusdirektiiviksi. Tarkemmin NIS2-direktiivin vaatimuksista voit lukea artikkelisarjamme ensimmäisestä osasta täällä.

Kyberhygienia

Kyberhygienialla tarkoitetaan perustason tietoturvakäytäntöjä, joiden toimilla suojataan verkko- ja tietojärjestelmien infrastruktuuri, laitteistojen, ohjelmistojen ja verkkosovellusten turvallisuus, tietoaineiston turvallisuus sekä yritys- ja loppukäyttäjätiedot. Toimilla varaudutaan poikkeamiin ja kyberuhkiin, ja varmistetaan yleinen turvallisuus niiden toteutuessa.

Perustason käytäntöihin kuuluvat mm. ohjelmisto ja laitteistopäivitykset, salasanojen vaihtaminen, uusien asennusten hallinta ja laitteiden konfigurointi, ylläpitäjän käyttöoikeuksia edellyttävien tilien rajoittaminen, tietojen varmuuskopiointi ja palautumissuunnitelma, kryptografian ja salauksen käytön periaatteet, nollaluottamuksen periaate, verkon segmentointi, identiteetin- ja pääsynhallinta, pääsynhallintaperiaatteet, kyberturvallisuuden ja -uhkien koulutus, kyberturvallisuutta parantavaa tekoälyä ja koneoppimista sekä tarvittaessa monivaiheinen tai jatkuva todennus. Lisää kyberhygieniasta voit lukea artikkelisarjamme toisesta osasta täällä.

Kyberturvallisuuden johtamisen ja toteutuksen viitekehys

NIS2-direktiivi ei aseta vaatimusta minkään johtamismallin noudattamista, mutta käytännössä velvoitteiden todentaminen ja vaatimusten täyttäminen on vaikeaa ilman hallintamallia.

Kyberalalla tukeudutaan yleisesti joihinkin hallintamalleihin, kuten NIST Cybersecurity Framework 2.0 ja ISO 27001:2022. Kyseisten hallintamallien avulla on mahdollista hallitusti saavuttaa riskienhallinnan ja kyberturvallisuuden toteutusten vähimmäistaso.

Vahva suositus on, että kyberturvallisuuskäytänteet ja -ratkaisut jaotellaan tämän mallin mukaisesti viiteen osa-alueeseen.

Teknisen tietoturvan näkökulmasta ensin tunnistetaan suojattava omaisuus. Suojattavat kohteet voivat olla laitteita, ohjelmistoja, sovelluksia ja toiminnan tai luottamuksellisuuden kannalta kriittistä dataa.

Tunnistamisen jälkeen laaditaan suunnitelmat ja määritellään toimenpiteet, joilla suojataan kohteet. Identiteetin- ja pääsynhallinta on yksi keskeinen ja hyvä ratkaisu, jolla voidaan kohdentaa suojaus oikeisiin kohteisiin, ja jolla mahdollistetaan resursseihin pääsy vain niiltä, joille se on tarpeellista.

Suojaustoimien ollessa toiminnassa tarvitaan jatkuvaa monitorointia, jossa havainnoidaan kyberturvallisuuden poikkeamat ja tapahtumat. Havainnointia tukee laajamittainen tapahtumien lokitus ja tekniset ratkaisut, joiden avulla löydetään, ja joka automaattisesti hälyttää tapahtumista ja poikkeavasta käyttäytymisestä.

TUNNISTA

Suojattavan omaisuuden tunnistaminen on olennaista liiketoiminnan turvallisuudelle ja jatkuvuudelle. Tärkeää on tunnistaa toiminnan ja kyberturvan kannalta kriittiset kohteet. Näitä kohteita ilman organisaatio ei voi toimia, tai niihin kohdistunut tietoturva- tai tietosuojaloukkaus voi aiheuttaa suurta vahinkoa.

Suojattavat kohteet voivat olla laitteita, ohjelmistoja, sovelluksia ja toiminnan tai luottamuksellisuuden kannalta kriittistä dataa – esimerkiksi potilastiedot, asiakastiedot, identiteettitiedot (käyttäjätunnukset, salasanat, käyttövaltuudet), talous- ja liiketoimintatiedot, jne.

SUOJAAMINEN JA HAVAINNOINTI

Suojaaminen ja havainnointi ovat osa-alueista niitä, joiden toteutusta tehdään pitkälti teknisillä ratkaisuilla. Ratkaisujen käytön suunnittelu ja sopivien teknologioiden valinta ovat tärkeässä roolissa, jotta käyttö olisi helppoa ja automaatiot auttaisivat vähentämään manuaalista työtä, jolloin virheiden ja kyberturva-aukkojen todennäköisyydet minimoidaan.

Voidaan sanoa, että käyttövaltuushallinnan (IAM) laaja kokonaisuus toteuttaa parhaimmillaan kattavasti vaatimustenmukaisuuden sekä suojaamisen että havainnoinnin osalta.

Laajasti ajateltuna käyttövaltuushallinnan kokonaisuuteen kuuluvat identiteetinhallinta, pääsynhallinta ja käytönvalvonta. Identiteetinhallinnassa luodaan käyttäjäidentiteettejä (henkilöt, laitteet, ohjelmistot), joille roolin, aseman tai tehtävät pohjalta myönnetään käyttövaltuuksia, joita hallitaan koko elinkaaren ajan. Pääsynhallinnassa tunnistetaan käyttäjät ja annetaan pääsy valtuuksien mukaisiin järjestelmiin. Käytönvalvonnalla varmistetaan, että valtuuksia on käytetty oikein, ja voidaan tietoja lisäsuojata esimerkiksi salaamalla.

SUOJAA

NIS2-direktiivi kehottaa toteuttamaan kaikki asianmukaiset ja oikeasuhteiset toimenpiteet toimintaan kohdistuvien arvioitujen riskien hallitsemiseksi ja kohteiden suojaamiseksi. Identiteetin ja pääsynhallinta on hyvä ja keskeinen tapa kohdentaa suojaus oikeisiin kohteisiin.

Direktiivin määrittelemille toimijoille asetetaan lainsäädännölliset velvoitteet, jotka sisältävät muun muassa (alakohdat kirjoittajan kommentteja):

  • Menettelyt tunnusten ja oikeuksien hallinnalle koko elinkaaren ajalle
    • suunnittelu ja toimintamallien määritys aina tehtävä huolella
    • manuaalisesti toteutettuna erittäin työläs ja riskialtis (virheet, viivästykset)
    • identiteetinhallinnan ratkaisu tuo hallintaa ja varmuutta
    • Väärinkäytösten estäminen (mm. vaaralliset yhdistelmät, tehtäväkierto, työsuhteen tai sopimuksen päättyminen)
      • manuaalisesti toteutettuna erittäin vaikea toteuttaa ja lähes mahdotonta havaita
      • identiteetinhallinnan ratkaisu tuo automatiikkaa ja robotiikkaa avuksi
      • Menettelyt ja ratkaisut pääkäyttäjätilien ja vahvojen oikeuksien hallintaan
        • erittäin tärkeä alue, sillä juuri näihin väärinkäyttäjät kohdistavat päähuomion
        • identiteetinhallinnan ratkaisu ei ole toiminnallisuuksiltaan riittävä
        • tähän tarvitaan erityinen PAM-ratkaisu (Privileged Account Management)
        • Ulkoisten käyttäjien hallinta (vähimpien oikeuksien periaatteella)
          • kasvavasti tärkeä alue, joka on perinteisillä menetelmillä hankalasti suojattavissa
          • ulkoisten käyttäjien identiteettien ja oikeuksien hallinta on, etenkin manuaalisesti, vaikea ja työläs tehtävä
          • tähän tarvitaan oma erityisesti ulkoisten identiteettien hallintaan tarkoitettu ratkaisu
          • Kriittisen omaisuuden suojaaminen vahvalla, monivaiheisella tunnistautumisella, myös mobiililaitteissa
            • tunnistautumiseen, monivaiheiseen tunnistautumiseen ja vahvaan tunnistautumiseen on monia teknisiä ratkaisuja, jotka voi valita käyttöön suojaamisen kriittisyyden pohjalta
            • kertakirjautumisratkaisu monivaiheisella tunnistautumisella on käytettävyyttä parantava ratkaisu
            • kertakirjautuminen voidaan toteuttaa myös mobiililaitteille ja sillä saadaan yhteiskäyttöiset mobiilit aidosti yhteiskäyttöisiksi ja turvallisiksi

            Suojaamisen ratkaisut

            Yleisesti ottaen kyberturvallisuuden hallintaa helpottavat ja turvallisuutta parantavat ratkaisut sisältävät henkilötyötä helpottavaa, ja inhimillisiä virheitä ja viivästyksiä vähentävää, uutta teknologiaa – kuten automatiikkaa, robotiikkaa ja tekoälyä. NIS2-direktiivissäkin erityisesti kehotetaan mahdollisuuksien mukaan hyödyntämään tekoälyä ja robotiikkaa. Tietojen suojaamiseen liittyvillä ratkaisuilla myös varmistetaan, että jos kuitenkin jossakin kohtaa identiteetinhallinta ja pääsynhallinta pettävät, niin tietojen hyödyntäminen saadaan siinäkin tapauksessa estettyä.

            Identiteetinhallinnan ja pääsynhallinnan ratkaisut alkavat olla ihan välttämättömiä kyberturvallisuuden riskitason hallitsemisessa. ’Kotikonsteilla’ kyberrikollisia ja tietosuojan väärinkäyttäjiä vastaan ei enää pysty millään tavalla suojaamaan luottamuksellista tai liiketoiminnalle kriittistä tietoa.

            Identiteetinhallinta

            Tarve helppokäyttöiselle identiteettienhallinnalle, joka automatisoi työvaiheita, kasvaa koko ajan. Uhkien määrä kasvaa jatkuvasti ja identiteettien sekä käyttöoikeuksien väärinkäytöt samalla. Mobiililaitteiden käyttö yleistyy ja samalla myös kasvaa tarve jaetuille, yhteiskäyttöisille mobiileille. Työvoiman joustavuus lisääntyy ja entistä useampi meistä on tilapäinen, osa-aikainen, opiskelija tai konsultti – ja samalla myös tehtävämme ja vastuumme muuttuvat tiheämmin. Tämän lisäksi tietosuojalainsäädäntö kehittyy ja edellyttää identiteetinhallinnalta (ja pääsynhallinnalta) parempaa tehokkuutta.

            Käyttäjien pääsy järjestelmiin ja tietoon pitää pystyä rajaamaan mahdollisimman hyvin, jotta vain ne, joilla on tehtävänsä tai roolinsa takia oikeus, pääsevät sisään. Tärkeää on myös käyttäjien, eli identiteettien, elinkaaren hallinta – perustaminen, muuttaminen ja poistaminen (joiner, mover, leaver). Hallinnointia helpottavat käyttäjien perustamisen työkalut ja ylläpidon automatisoinnit. Käyttöoikeuksien muutosten ja elinkaaren hallinnan automatiikka on aivan välttämätön toiminnallisuus, jotta oikeudet ovat käytettävissä aina kun niitä tarvitaan, mutta ei enää kun niihin ei ole tarvetta tai oikeutta.

            Käyttöoikeuksien hyödyntäminen kaikissa järjestelmissä on asetettava tavoitteeksi

            Jotta identiteetinhallinnassa määritellyt käyttöoikeudet saadaan käyttöön organisaation keskeisissä sovelluksissa, on käyttövaltuudet jaettava, eli provisioitava, tarvittaviin kohdejärjestelmiin. Provisioinnit toteutetaan hyvin usein manuaalisesti tiketöintijärjestelmiä hyödyntäen, mikä on työlästä ja aiheuttaa sen, että käyttövaltuuksien jakamista tehdään usein vain muutamiin keskeisiin järjestelmiin. Tämä on myös merkittävä tietoturva- ja tietosuojariski.

            Manuaaliset provisioinnit voidaan uusilla ratkaisuilla automatisoida robotiikkaa hyödyntämällä

            Tämän toteuttaa identiteetinhallinnan ratkaisu, joka sisältää automatisointikomponentin. Komponentti voidaan myös liittää useisiin jo olemassa oleviin muihin identiteetinhallinnan ratkaisuihin. Automatisoinnin avulla saadaan tarvittaessa organisaation kaikki, jopa sadat, järjestelmät hallittujen käyttövaltuuksien piiriin. Silloin tietoturva ja tietosuoja saadaan oikeasti käyttöön läpi organisaation.

            Pääsynhallinta

            Pääsynhallinnan periaatteet ja ratkaisut on erikseen mainittu NIS2-direktiivin vaatimuksissa omaisuuden (tietojen) suojaamisen näkökulmasta.

            Pääsynhallinta vastaa siitä, että käyttäjät pääsevät järjestelmiin helposti ja turvallisesti laitteesta ja paikasta riippumatta. Pääsynhallintaratkaisulla varmistetaan, että käyttäjä on se, joka väittää olevansa. Suojaamistarpeen pohjalta käyttäjän tunnistautuminen voi olla myös monivaiheinen (MFA, Multi-factor authentication) tai vahva (esimerkiksi sertifikaattipohjainen julkisen avaimen infrastruktuuri, PKI).

            Tunnistauduttuaan käyttäjä pääsee kirjautumaan järjestelmiin ja voi käyttää niitä niillä oikeuksilla, joita identiteetinhallinnassa hänelle on annettu. Kirjautuminen tapahtuu perinteisesti käyttäjätunnuksia ja salasanoja käyttämällä. Kun järjestelmiä on paljon ja tietoturvan varmistamiseksi käytetään monia pitkiä salasanoja, on niiden muistaminen ja käyttäminen hankalaa – etenkin jos niitä pitää näpytellä mobiilin pienillä näppäimistöillä.

            Pääsynhallinnalla on mahdollista rajata järjestelmiin ja niiden tietoihin pääsy hyvinkin monipuolisilla tavoilla ja säännöillä. Pääsy voidaan rajata vaikka vain sisäverkosta ja toimistoaikana, tai mobiilityöasemista vain määrättyihin järjestelmiin muttei viikonvaihteisin ollenkaan, ja niin edelleen.

            Kertakirjautuminen helpottaa kirjautumisia ja lisää turvallisuutta

            Kertakirjautuminen (Single Sign-on, SSO) päästää käyttäjät turvallisesti useisiin järjestelmiin ilman erillisiä kirjautumisia ja monien salasanojen muistamista. Ratkaisu mahdollistaa myös vahvan tunnistamisen.

            Kertakirjautumisella käyttäjä pääsee yhdellä tunnistautumisella kirjautumaan kaikkiin ratkaisuun liitettyihin järjestelmiin, joihin käyttäjälle on oikeudet luotu. Kertakirjautumisratkaisun myötä käyttäjien työ tehostuu ja helpottuu, ja aikaa säästyy. Tutkimusten mukaan esimerkiksi hoitotyössä on laskettu kertakirjautumisen avulla saatavan jopa 5% lisää työaikaa hoitotyöhön, jolloin myös IT-järjestelmiin turhautuminen vähenee ja työtyytyväisyys kohenee. Kertakirjautuminen vähentää myös sisäisen IT-palvelun kustannuksia, kun salasanan unohtumisiin liittyviä tukipyyntöjä tulee vähemmän.

            Kertakirjautuminen mahdollistaa tehokkaan mobiilityön

            Kertakirjautuminen toimii mobiililaitteissa, ja myös terveydenhuollon lääkinnällisissä laitteissa, samalla tavoin kuin työasemilla. Tämä mahdollistaa tehokkaan ja laajenevan mobiilien käytön. Kertakirjautumisratkaisun avulla jaetut, yhteiskäyttöiset mobiilit saadaan jokaiselle käyttäjälle aina henkilökohtaiseksi ja tietoturvalliseksi laitteeksi.

            Haasteena kattava kertakirjautumisen hyödyntäminen

            Kertakirjautumisen käytön täydellinen hyöty saadaan, kun se liitetään mahdollisimman moneen, mielellään kaikkiin säännöllisesti käytettäviin, järjestelmään. Koska monissa kertakirjautumisen ratkaisuissa sen liittäminen (profilointi) järjestelmiin vaatii paljon henkilötyötä, etenkin liittäminen legacy-järjestelmiin, niin usein kertakirjautuminen otetaan käyttöön vain muutamissa keskeisimmissä järjestelmissä. Tämä monimutkaistaa järjestelmien käyttöä, eikä käytön hyötyjä saada kuin pieneltä osin ulos mitattua.

            Käyttäjä- ja ylläpitäjäystävällisen kertakirjautumisen teknologialla pystytään saavuttamaan kattava kertakirjautuminen profilointityökalulla, jonka avulla liittäminen saadaan tehtyä jopa muutamassa tunnissa per järjestelmä.

            Pääsynhallinnan käytettävyys ja helppous on avainasia

            Käyttäjien työskentelymukavuuden parantumisen ansiosta kertakirjautuminen saa organisaatioissa yleensä erittäin positiivisen vastaanoton. Erityisesti organisaatioissa, joissa työskennellään kaikenlaisilla työasemilla ja mobiililaitteilla. Vain hyvä käytettävyys ja helppous varmistaa samalla tietoturvallisen toiminnan, sillä jos käytettävyys on huono, niin käyttäjät kyllä löytävät vähemmän tietoturvallisia käyttötapoja.

            Erityisoikeudellisten pääsynhallinta

            Erityisoikeudellisten käyttäjien oikeuksien hallinta on tietoturvan ja tietosuojan kannalta organisaatioiden tärkeimpiä alueita.

            PAM (Privileged Account Management), eli pääkäyttäjätilien hallinnan ja VPAM (Vendor Privileged Account Management), eli ulkoisten käyttäjien käyttöoikeuksien hallinnan ratkaisujen avulla voit hallita, valvoa ja tarvittaessa auditoida erityisiä pääsy- ja käyttöoikeuksia tarvitsevien käyttäjien tietoja.

            Pääkäyttäjillä ja monilla ulkoisilla käyttäjillä, kuten konsulteilla, on erityisiä pääsyoikeuksia järjestelmiin ja tietoihin. Pääkäyttäjävaltuuksilla voidaan järjestelmiin tehdä monenlaisia muutoksia ja päästä kaikkeen tietoon. Vaatimuksena olevan kyberturvallisuuden riskienhallinnan toteutumiseksi tarvitaan pääkäyttäjien pääsyoikeuksien hallintaan ja seurantaan PAM-ratkaisu, jolla pääkäyttäjien oikeuksien käyttöä voidaan rajata, seurata ja valvoa, ja identiteettejä voidaan suojata ulkoisilta uhilta monella tavalla, esimerkiksi automatisoimalla salasanojen hallintaa ja pakottamalla vahvaan tunnistautumiseen.

            Tietojen suojaus

            Tietojen suojauksen voidaan ajatella olevan pääsynhallinnan lisävarmennus. Pääsynhallinnan tarkoitushan on päästää järjestelmiin ja niiden tietoihin vain sellaiset käyttäjät, joilla on suunniteltu ja määritelty oikeus siihen. Jos kuitenkin käyttövaltuuksien määrittely ja pääsynhallinta pettävät, on kriittiset tiedot mahdollisuus suojata niissäkin tapauksissa.

            Erilaisilla ohjelmistotyökaluilla voidaan järjestelmien tietoja luokitella ja sen perusteella antaa käyttöoikeuksia: Tietoja voidaan myös suojata sekoittamalla, muuttamalla, naamioimalla tai ne voidaan täysin salata. Jos silloin luvaton käyttäjä pääsee tietoon käsiksi, ei hän pysty sitä hyödyntämään.

            Vastaavasti voidaan sähköpostien, ja erityisesti mukana olevien liitteiden, sisältö salata. Silloin voidaan varmistua, ettei sisältöä pääse asiattomat tahot lukemaan.

            HAVAINNOI

            Havainnoinnilla on tarkoitus löytää mahdolliset poikkeamat sekä tietoturvaan ja -suojaan liittyvät tapahtumat. Havainnointi voi olla satunnaista tai määräaikaista järjestelmien käytön auditointia tai raporttien seuraamista, tai se voi olla myös jatkuvaa reaaliaikaista monitorointia ja järjestelmän automaattisesti luomien hälytysten seurantaa.

            Kriittisten järjestelmien ja tietojen suojaamisen onnistumista valvomaan tarvitaan jatkuvaa havainnointia. Havaittuihin poikkeavuuksiin tai tietoturva- ja tietosuojatapahtumiin on reagoitava, ja tilanteista on toivuttava. Osa toipumista on suojausten arviointi ja suojaustoimien vahvistaminen, jotta vastaisuudessa vältytään samanlaisilta tapahtumilta.

            Tapahtumalokit kertovat paljon

            Lokitus tarkoittaa tapahtuma-, eli lokitietojen tallennusta ja hyödyntämistä. Lokitietoa tarvitaan selvittämään, mitä, miksi ja milloin jotakin tapahtui. Loki tarkoittaa aikajärjestyksessä kirjattua tallennetta tapahtumista ja niiden aiheuttajista. Tapahtumat ja muutokset tietojärjestelmissä, sovelluksissa, tietoverkoissa ja tietosisällöissä kirjataan lokiin, eli lokitetaan. Lokia syntyy koko ajan kaikkialla. Tietokoneet keräävät käyttölokia, verkoissa olevat laitteet ja ohjelmistot tallentavat tapahtumalokia, ohjelmistot keräävät kirjautumis- ja pääsynvalvontalokia, virhelokia ja niin edelleen.

            Lokien hallintaratkaisut analysoivat suuria tapahtumamassoja

            Tietojärjestelmissä ja -verkoissa tapahtumia syntyy todella paljon. Hallintaratkaisut keräävät hajallaan olevista järjestelmistä ja laitteista tapahtumatiedot keskitetysti. Nykyaikaiset hallintaratkaisut hyödyntävät tekoälyä ja robotiikkaa, mikä mahdollistaa suuresta tapahtumamassasta poikkeavuuksien ja trendien löytämisen helpommin. Ihmisvoimalla voidaan usein tapahtumamassasta ottaa käsittelyyn vain ajoittain otteita/palasia, mutta älykkäät ratkaisut voivat käsitellä koko tapahtumamassa jatkuvasti ja antaa myös reaaliaikaisia hälytyksiä. Älykkäitä hallintaratkaisuja voidaan käyttää organisaation omaan verkkoon asennettuna tai jopa pilvipalveluna.

            Joitakin tämän bloginartikkelin sisältöön liittyviä linkkejä: