21.12.2022

ArtikkeliDigitalisaation mahdollisuudet

Kyberturvaharjoittelu kannattaa

Paltan viime viikolla järjestämässä Kyberturvallisuus palveluliiketoiminnan elinehtona -jäsenseminaarissa keskusteltiin kyberturvan ajankohtaisimmista uutisista sekä tavoista ja käytännön esimerkeistä, joilla organisaatioissa voidaan tietoturvaa edistää.

Puheenvuorot kuultiin niin WithSecuren tutkimusjohtaja Mikko Hyppöseltä, huoltovarmuusorganisaation digipoolin erityisasiantuntija Tero Oittiselta, Hoxhuntin Head of Training Content Arto Voipiolta sekä Elisan tietoturvajohtaja Teemu Mäkelältä. Tilaisuuden moderaattorina toimi Paltan johtava asiantuntija Jari Konttinen.

Jokainen puhujista korosti etenkin harjoittelun ja ennakoinnin merkitystä. Korona ja Venäjän hyökkäyssota ovat myös entisestään muuttaneet pelikenttää, kun esimerkiksi etäpalvelut ovat pandemian myötä yleistyneet ja Venäjällä toimivat kyberrikolliset kohdistavat iskujaan etenkin Venäjän etuja tukeviin hyökkäyksiin.

Rikos tapahtuu yhä useammin digimaailmassa

– Internet deletoi maantieteen – myös verkkorikoksissa.

Näin totesi WithSecuren Hyppönen seminaarissa. Rikollinen voi hyökätä myös Suomeen mistä päin maailmaa tahansa, ja yhä useammin rikokset tapahtuvat kyberavaruudessa.

Esimerkiksi pankkiryöstöjä ei ole tehty 12 vuoteen Suomessa konttorissa, vaan verkon kautta, Hyppönen havainnollisti. Hänen mukaansa joudummekin nykyään yhä todennäköisemmin verkkorikoksen uhriksi, kun vertaamme tilannetta fyysisesti paikan päällä tapahtuviin rikoksiin. Verkkorikollisuuden yleisyyttä ei kuitenkaan vielä aivan ymmärretä, koska kansalaiset ilmoittavat fyysisessä maailmassa tapahtuvat rikokset helpommin poliisille.

Tilanne ei kuitenkaan ole niin paha, kuin mitä voisi luulla.

– Kyberhyökkäyksiä on Suomessa pysäytetty merkittävästi enemmän, kuin päästetty läpi. Epäonnistumiset vain ovat todella näkyviä, ja onnistumiset näkymättömiä, Hyppönen sanoi.

Hänen mukaansa kyberturvamme taso on Suomessa parempi kuin koskaan. Tämä johtuu muun muassa siitä, että kyberturvatuotteet pohjautuvat nykyään tavalla tai toisella koneoppimiseen. Turvajärjestelmät toimivat koneiden nopeudella, ja rikolliset ihmisten nopeudella – ainakin vielä.

– On ihme, elleivät vuoden sisään myös verkkorikolliset siirry koneoppimiseen. Ainoa, mikä voi pysäyttää ‘pahan tekoälyn’ on varmaankin ‘hyvä tekoäly’, ja siksi sitä kannattaa kehittää, Hyppönen sanoi.

Verkkohuijausta voi olla vaikea tunnistaa – kuka vain voi haksahtaa

Verkkohuijauksia ei ole lainkaan niin helppo tunnistaa, kuin mitä voisi kuvitella, Hyppönen korosti esityksessään. Esimerkiksi työntekijöihin suunnatut niin sanotut toimitusjohtajahuijaukset voivat olla nykyään hyvinkin edistyneitä.

Yksi keskeinen huomioitava tekijä on toimitusketjujen turvallisuus, sanoi puolestaan huoltovarmuusorganisaation digipoolin erityisasiantuntija Tero Oittinen.

– Hyökkäys voi kohdistua myös alihankintaketjuun, ja omat toimitusketjut ja niiden mahdolliset haavoittuvuudet on tärkeää pyrkiä tunnistamaan, Oittinen totesi.

Lisäksi haavoittuvuuksia etsitään tyypillisesti etäkäyttöpalveluista, jotka ovat pandemian myötä yleistyneet, kertoi Hyppönen.

Harjoittele, harjoittele, harjoittele

Jotta uhkia ja huijauksia voidaan mahdollisimman hyvin estää, kannattaa harjoitella etukäteen.

Huoltovarmuuskriittisissä organisaatioissa harjoitellaan Suomessa kansallisella tasolla, toimialojen ja organisaatioiden tasolla sekä kriittisten toimitusketjujen osalta, kertoi Tero Oittinen. Myös kansainvälistä yhteistyötä tehdään. Oittinen vinkkasi yrityksille ja muille organisaatioille myös Digitaalinen turvallisuus 2030 -ohjelmasta, josta voidaan rahoittaa yhteiskunnan digitaalista turvallisuutta parantavia projekteja vuosien 2021−2026 aikana.

Yhden henkilöstöä osallistavan tavan harjoitella on luonut suomalaisyritys Hoxhunt. Hoxhunt kerää käyttäjiltään ilmoituksia huijausyrityksistä ja tekee niiden pohjalta harjoituksia ja koulutuksia asiakkailleen. Yritys kouluttaa käyttäjiä tällä hetkellä 129 maassa ja järjestää harjoituksia 31 eri kielellä.

Hoxhuntin Head of Training Content Arto Voipion mukaan harjoittelussa tärkeää on, ettei työntekijöitä syyllistetä virheistä, vaan mahdollistetaan oppiminen ja kannustetaan siihen positiivisella otteella.

Hoxhuntin toimintalogiikka pohjautuu jatkuvaan ja säännölliseen harjoitteluun, mikä tuo tutkitusti myös tuloksia. Yritys parantaa esimerkiksi asiakkaansa Elisan työntekijöiden valmiuksia lähettämällä heille aitoja hyökkäyksiä muistuttavia huijausviestejä koulutusmielessä. Yhteensä lähes 140 tehdyn vastaavan harjoituksen jälkeen prosenttiosuus työntekijöistä, jotka haksahtavat harjoitushuijauksiin, on romahtanut murto-osaan entisestä.

– Usein sanotaan, että ihminen on tietoturvan heikoin lenkki. Voitaisiin jopa sanoa, että ihminen on tietoturvan ainoa lenkki. Kun oikea toiminta mahdollistetaan ja tietoisuutta lisätään, ihmiset voivat olla tietoturvan vahvin lenkki, Elisan tietoturvajohtaja Teemu Mäkelä totesi.