Vuosi 2024 oli tietoturvan osalta synkkä. Maailmanlaajuisesti kyberhyökkäykset eivät missään nimessä ole vähentyneet aikaisempiin vuosiin verrattuna, vaan niistä on pikemminkin tullut kehittyneempiä sekä uskottavimpia. Tekoäly sekä jatkuvasti kehittyvät haittaohjelmat ovat luoneet entistä tehokkaampia hyökkäysmenetelmiä kyberrikollisten avuksi. Ei pidä myöskään sivuuttaa tämänhetkistä maailmanpoliittista tilannetta, joka omalta osaltaan ruokkii esimerkiksi Venäjän tiedustelupalvelun alla toimivia kyberrikollisryhmiä. Venäjällä on Euroopan suhteen selvät omat poliittiset intressit, jonka perusteella he toteuttavat mm. sabotaasia ja tietoliikenteen häirintää.
Kyberhyökkäyksiltä ei olla Suomessakaan vältytty. Useat suomalaisyritykset ja kunnalliset toimijat ovat joutuneet tietomurtojen kohteeksi. Kuluttajia koitetaan huijata entistä aidommilla viesteillä ja teemoilla sekä Suomen valtiota vastaan on toteutettu hybridivaikuttamista erinäisin keinoin.
Surullista osassa tapauksista on se, miten yksinkertaisilla toimenpiteillä ne olisi voitu estää. Otetaan esimerkiksi kevään ja kesän vaiheessa tapahtunut Helsingin kaupungin opetusministeriöön tehty tietomurto (Kasvatuksen ja koulutuksen tietomurto | Helsingin kaupunki). Tietomurto tehtiin kasvatuksen ja koulutuksen toimialan tietoverkkoon, jossa säilytettiin tuhansien ihmisten henkilötietoja. Tietomurto koski siis pahimmassa tapauksessa yli 80 000 oppijaa ja heidän huoltajiaan. Tietomurto toteutettiin hyökkäämällä etäyhteyspalvelimen haavoittuvuutta hyödyntäen. Se, miksi tämä palvelin oli haavoittuvainen, johtuu yksinkertaisesti siitä, että kukaan ei ollut asentanut palvelimelle puuttuvia päivityksiä. Helsingin kaupunki ei suoraan kerro miksi asennusta ei ollut tehty, mutta myöntää kuitenkin että ”tietoturvapäivitysten ja laitteiden ylläpitoon liittyvät kontrollit ja toimintatavat ovat olleet puutteellisia.”
Kyse on siis puutteellisesta johtamisesta sekä tärkeiden kyberhygienia-käytänteiden puutteesta. Tämän kaltaista puutetta ei pitäisi olla enää vuonna 2024, varsinkin kun puhutaan alaikäisten lasten arkaluonteisista henkilötiedoista. Hyökkäys olisi voitu mahdollisesti estää kunnollisella johtamisella, sekä henkilöstön riittävällä koulutustasolla. Virheitä voi toki sattua, mutta toimiva johtamismalli olisi todennäköisesti taannut sen, että palvelimen päivitys olisi asennettu ajallaan, eikä järjestelmä olisi näin ollut enää haavoittuvainen. Tämä sama ajattelutapa pätee hyvin pitkälti kaikkiin tietomurtojen havaitsemiseen ja torjuntaan. Kun tietoturvaa johdetaan tehokkaasti, pysyy myös yrityksen verkkoympäristö turvallisena.
Tämä esimerkki Helsingin kaupungin tietomurrosta voisi siis tapahtua mille tahansa yritykselle, myös sinun yritykseesi. Usein kyberrikolliset eivät etsi tiettyä yritystä kohteeksi, vaan he skannaavat verkkoa haavoittuvuuksien löytämiseksi. Rikolliset siis tavallaan etsivät aukinaisia ovia, miljoonien lukittujien ovien seasta.
Kuinka tietoturvaa johdetaan?
Tietoturvan johtaminen tarkoittaa käytännössä yrityksen tietoturvatason hallintaa, ylläpitämistä ja kehittämistä. Yrityksen tietoturva puolestaan pitää sisällään tekniset, fyysiset ja hallinnolliset toteutukset. Ei siis riitä, että yrityksen tekninen tietoturva on hoidettu mallikkaasti kuntoon, jos yksittäinen työntekijä ei ymmärrä tietoturvan merkitystä tai ei osaa tunnistaa tietoturvariskejä. Fyysinen turvallisuus on myös osa-alue, johon valitettavasti joutuu ottamaan kantaa erinäisin hallintakeinoin.
Tietoturvaa tulee siis johtaa järjestelmällisesti, ja se tulee olla osana yrityksen strategiaa. Tietoturvan johtamisesta tulisi vastata siihen erikseen nimetty henkilö. Samoin kun yrityksellä on myyntijohtaja, tulisi olla myös tietoturvajohtaja/-päällikkö. Se, että onko tietoturvajohtaja kokopäiväinen vai osa-aikainen, riippuu täysin yrityksen koosta ja tarpeesta. Useimmille Pk-yrityksille riittää todennäköisesti osa-aikainen, ulkoistettu tietoturvajohtaja. Näin ollen monen Pk-yrityksen kohdalla tietoturvapäällikön rooli on järkevämpää ulkoistaa, jotta voidaan varmistua asiantuntevasta palvelusta. Tietoturvapäällikkö-palveluna (CISO-as-a-Service) on kasvava palvelumuoto, joka voi parhaassa tapauksessa olla Pk-yritykselle erittäin kustannustehokas ja toimiva tapa taata yrityksen tietojen turvallisuus.
Tietoturvapäällikkö vastaa organisaation tietoturvastrategian kehittämisestä ja toteuttamisesta sekä varmistaa, että tietoturvakäytännöt ja -prosessit ovat ajan tasalla ja tehokkaita. Keskeisiä vastuualueita tietoturvapäälliköllä on esimerkiksi tietoturvariskien hallinta ja valvonta, tietoturvakoulutusten suunnittelu ja toteutus henkilökunnalle, tietoturvapoikkeamien valvonta ja niiden tutkinnan johtaminen sekä uhkatiedonseurannan toteuttaminen.
Näitä tehtäviä tietoturvapäällikkö toteuttaa yhteistyössä organisaation johdon kanssa. Ilman johdon sitoutumista, tietoturvapäällikön on vaikea lähteä kehittämään organisaation ympäristöä. Lokakuussa 2024 voimaan astunut NIS2-direktiivi asettaakin kriittisiksi määriteltyjen toimialojen organisaatioiden johdon vastuuseen tarvittavan tietoturvatason ylläpitämisestä ja kehittämisestä. Vaikka NIS2-direktiivi ei koskisikaan suoraan organisaatiotasi, voi se olla silti erittäin toimiva ohjenuora organisaation toiminnalle. Ota huomioon, että toimitusketjusi jokin osa voi olla osana NIS2-direktiivin soveltamisalaa, ja näin ollen kyseinen organisaatio saattaa alkaa vaatimaan sitä myös teiltä. Astuessa vuoteen 2025, on jo syntynyt näyttöä, että NIS2-direktiivin toteuttaminen voi olla kilpailuetu uusien asiakkuuksien saavuttamisessa tai jopa nykyisten säilyttämisessä.
CISO-as-a-Service
Kun organisaation tietoturva on kunnossa ja tietoturvapäällikkö hoitaa tehtävänsä tehokkaasti, yritys voi keskittyä ydinliiketoimintaansa ilman huolta tietoturvariskeistä. Tietoturvapäällikön rooli on keskeinen, mutta kaikilla yrityksillä ei ole resursseja palkata täysipäiväistä asiantuntijaa. Tässä kohtaa VM IT:n Tietoturvapäällikkö-palveluna (CISO-as-a-Service) astuu kuvaan.
Palvelumme tarjoaa yrityksellesi tietoturvapäällikön, joka huolehtii kaikista tietoturvaan liittyvistä tarpeistasi. Olipa kyseessä riskienhallinta, pääsynhallinta, tietoturvapolitiikan luominen tai henkilöstön kouluttaminen, asiantuntijamme ovat valmiina auttamaan. Näin voit varmistaa, että yrityksesi tietoturva on aina ajan tasalla ja suojattu uusimmilta uhkilta.
Tietoturvauhat tulevat olemaan jatkossa entistä uhkaavampia ja tehokkaampia, eikä niitä voi ikinä sata-prosenttisesti välttää. Onneksi niitä voi kuitenkin aina ennaltaehkäistä sekä mahdollista vaikutusta voi tällä tavalla pienentää. Muista, että yrityksesi data on arvokasta ja sitä tulee suojella. Työnantajana sinulla on myös tietty velvollisuus huolehtia keräämistäsi henkilötiedoista.
Mikäli haluat sparrailla yrityksesi tietoturvan tilanteesta ja kehityskohteista meidän asiantuntijan kanssa, otathan yhteyttä!
