« Takaisin Näkökulma 30.04.2021

Kyberturvallisuuden professori Jarno Limnéll:
Tietoturva on mahdollistaja

Nopeasti etenevä digitalisaatio ja uudet teknologiat herättävät energiatoimialallakin monenlaisia tietoturvaan liittyviä pohdintoja. Jarno Limnéll vieraili Sähköverkot ja tietoturva -webinaarissamme tuomassa näkökulmiaan aiheeseen.

Fyysinen ja digitaalinen toimintaympäristö yhdistyvät

Yhteiskuntamme toimii tietojärjestelmien ja tietoliikenneyhteyksien varassa – fyysinen maailma ja digitaalinen maailma ovat yhä tiiviimmin yhtä. Siksi turvallisuutta, uhka-arvioita ja varautumista on syytä käsitellä yhtenä kokonaisuutena, joka sisältää sekä fyysiset että digitaaliset elementit.

Niin fyysisen kuin digitaalisen maailman toimijoilla on erilaisia motiiveja. Rikollisuus on enenevässä määrin siirtynyt verkkoon. Myös valtiollisten toimijoiden vaikutusyritykset tapahtuvat nykyään entistä enemmän digitaalisessa ympäristössä. Niiden pyrkimyksenä on erilaisin hybridivaikuttamisen keinoin rapauttaa luottamusta viranomaisiin ja horjuttaa yhteiskuntarauhaa ja -järjestystä, kun taas rikollisia motivoi pääasiassa raha.

Tässä yhteydessä myös sähköverkot nousevat yhä enemmän esille niin Suomen osalta kuin kansainvälisissäkin arvioissa. Limnéllin mukaan muutamissa EU-maissa mietitäänkin parhaillaan erillisistä kyberstrategioista luopumista ja siirtymistä yhteen turvallisuusstrategiaan, joka sisältää myös digi- ja teknologia-asiat.

Mieti, mitä olet suojaamassa ja mihin voit luottaa

Uudet järjestelmät ovat entistä enemmän pilvipalvelujen varassa niiden kiistattomien hyötyjen, kuten kustannustehokkuuden ja skaalautuvuuden vuoksi. Samalla niiden tietoturva-asiat nousevat keskusteluissa yhä enemmän esille. Aiheeseen liittyviä keskeisiä kysymyksiä ovat esimerkiksi: Keneen ja mihin voi luottaa ja mihin luottamus perustuu? Missä data sijaitsee ja kenellä on siihen pääsy? Miten tietoliikenneyhteydet on hoidettu? Olennaista onkin tarkastella kokonaisuutta aina palveluntarjoajasta ja datan fyysisestä sijainnista yksittäisten käyttäjien opastukseen saakka.

Limnéll suosittelee tutustumaan Kyberturvallisuuskeskuksen julkaisemaan Pilvipalvelujen turvallisuuden arviointikriteeristöön. Kriteeristö sisältää pilvipalvelujen turvallisuuteen liittyviä hyviä käytäntöjä ja tulkintoja sekä ohjeistuksia pilvipalveluihin liittyvien riskien käsittelyyn.

Tietoturva on henkilöstön ja toiminnan  johtamista

Yli 90 % tietomurroista ja -vuodoista johtuu ihmisten inhimillisistä virheistä. Osaamisen lisäämisellä, turvallisuusasenteen vahvistamisella ja vastuullisuuskulttuurin vaalimisella on suora vaikutus tietoturvan tasoon. Tietoturvaa pitää johtaa ottamalla turva-asiat liiketoimintaan mukaan. Koska täydellistä turvaa on käytännössä mahdoton saavuttaa, on varauduttava niihin tilanteisiin, jolloin kaikki ei menekään suunnitelmien mukaan. Miten siirrytään varajärjestelmiin, miten viestitään asiakkaille ja miten toimintakyky säilytetään? Huomio tulisi kohdentaa kolmeen asiaan: maine, liiketoiminnan jatkuvuus ja asiakkaiden luottamus.

Tutkimusten mukaan sellaiset yritykset ja organisaatiot, jotka kriisin tai poikkeustilan sattuessa kykenevät viestimään onnistuneesti ja saavat palautettua järjestelmät nopeasti toimimaan, ovat jopa hyötyneet tilanteesta. Huomataan, että yritys on ottanut turvallisuuden vakavasti: asiat on etukäteen mietitty, niitä on harjoiteltu ja kyetään toimimaan. Tämä vahvistaa asiakkaiden luottamusta.

Omaa varautumista ja yhteistyötä

Omaa varautumissuunnitelmaa on päivitettävä jatkuvasti. Siihen liittyy myös jatkuva toimintaympäristön ja uhkaskenaarioiden analysointi.

Jokaisen organisaation on omalta kohdaltaan pohdittava, mitkä asiat hoidetaan itse ja missä taas voidaan hyödyntää kumppaneita. Samoin on pohdittava, kuinka korkealle turvallisuuden riman haluaa asettaa ja minkä verran turvallisuuteen panostaa – mikä on se uhkaskenaario, jota vastaan halutaan varautua ja minkätasoinen riski ollaan valmiit ottamaan?

Tietyt varautumiseen ja puolustautumiseen liittyvät seikat kannattaa pitää omana tietona. Tilannekuvan ja kybermaailman tapahtumien seuraamisessa taas kannattaa tehdä yhteistyötä ainakin oman toimialan sisällä. Limnéll mainitsi myös Huoltovarmuuskeskuksen Digipoolin, joka kokoaa yhteiskunnan kriittisiä toimijoita yhteen jakamaan tietoturvaan liittyvää tietoa ja hyviä käytäntöjä.

Turvallisuus on positiivinen asia

Meneillään oleva pandemia on vauhdittanut digitalisaatiota entisestään. Sen myötä myös tietoturvatietoisuuden merkitys on kasvanut: ymmärretään, että digitaalinen toimintaympäristö vaatii uhkien tunnistamista ja riskeihin varautumista. Keskustelujen uhkia painottava sävy kuitenkin vaivaa Limnélliä. Hän haluaisi muuttaa turvattomuuskeskustelun turvallisuuskeskusteluksi korostaen, että turvallisuus on positiivinen asia.

Kun tietoturva otetaan osaksi päivittäistä toimintaa ja sitä johdetaan systemaattisesti, siitä tulee mahdollistaja uusien teknologioiden ja digitalisaation hyödyntämiselle.