Kuuntele jakso tästä:
Millaisia uhkia kohtaamme digitaalisessa maailmassa? Miten ottaa huoltovarmuus huomioon omassa arjessa ja mikä on suurin tietoturvaan liittyvä harha?
Muun muassa näihin kysymyksiin pohtii vastauksia WilmaCastin neljännen jakson vieras, valmiuspäällikkö ja huoltovarmuusorganisaatio Digipoolin poolisihteeri Antti Nyqvist.
Digipooli tekee yhteistyötä erilaisten yritysten ja viranomaisten kanssa, tehtävänään tukea kotimaisia yrityksiä kyberturvallisuudessa sekä jatkuvuuden hallinnassa ja varautumisessa. Nykyisellään Digipooli tekee myös paljon yhteistyötä kuntien kanssa IT-aiheissa. Käytännön esimerkkinä toiminnasta Antti mainitsee kahden vuoden välein toteutettavat Tieto-harjoitukset, joissa muun muassa hiotaan häiriötilanteisiin liittyvää viestintää ja jaetaan vinkkejä jatkuvuuden hallintaan.
Termit tutuksi – mitä tarkoittavat huoltovarmuus ja kyberturvallisuus?
Huoltovarmuus
Perinteinen käsitys huoltovarmuudesta on se, että varastoidaan esimerkiksi viljaa, jotta sitä löytyy tilanteessa, jossa sadon kanssa on vaikeuksia, Antti kertoo. Huoltovarmuudessa siis varmistetaan, että normaali yhteiskunnan olotila jatkuu mahdollisessa häiriötilanteessa.
“Täällä IT-maastossa se voi tarkoittaa muun muassa sitä, että Suomesta erilaiset verkot ovat yhteydessä kansainväliseen Internetiin erilaisia reittejä, jolloin emme ole alttiita yksittäisen reitin katkeamiselle. Monet huoltovarmuuden toimenpiteet IT-aiheissa liittyvät siihen, että varmistetaan, että ne normaalit palvelut ovat käytettävissä, vaikka tulisi erilaisia myllerryksiä”, Antti kertoo.
Jokainen voi myös arjessaan varautua huoltovarmuuteen esimerkiksi Suomen Pelastusalan Keskusjärjestön 72 tuntia -ohjeistuksen avulla, Antti vinkkaa. Ohje sisältää neuvoja, kuinka varautua pärjäämään kotitaloudessa itsenäisesti kolme päivää mahdollisessa häiriötilanteessa. Digitaalisen maailman näkökulmasta voi esimerkiksi pohtia, miten käyttää yhteysvälineitä kuten puhelinta, jos sähköä ei ole saatavilla, Antti sanoo.
Kyberturvallisuus
Antti toteaa kyberturvallisuuden kokeneen terminä julkisuudessa inflaation, ja siihen liittyykin monta eri näkökulmaa.
“Monet mieltävät sen hyvin teknisenä asiana, ja puhutaan järjestelmien ja signaloinnin turvallisuudesta. Se on sitäkin, mutta toisaalta myös muuta, kuten yrityksen toimintatapoja ja menettelyjä. Samoin tavallaan henkilöiden osalta: kyberturvallisuuden alaisuuteen voidaan laskea myös tavat, joilla toimit”, Antti luettelee.
Tietoturva ja varautuminen osana jokaisen arkea
Arkielämässä Antti peräänkuuluttaa tietynlaista epäluuloista suhtautumista digitaalisia palveluita kohtaan. Jatkuvaan salasanojen päivittämiseen hän ei kannusta, vaikka myöntääkin olevansa sen suhteen itse usein todella tarkka.
“Terve epäluulo kaikessa käyttämisessä on kaiken a ja o! Kalastelua ja erilaisia häiriöviestejä ja yhteydenottoja tulee niin paljon jatkuvasti, että pitää olla vähän varpaillaan koko ajan”, Antti toteaa.
Huolestuttavana ilmiönä hän nostaa esiin tietojenkalasteluviestien saamisen tutuista, kavereiden numeroista. Kytkös tai yhteys henkilöön on paljastunut verkon syövereistä ja sitä pyritään käyttämään hyväksi, kun väärennettyjä viestejä tulee tutuilta lähettäjiltä. Antti muistuttaakin, että omia tunnuksia ei ikinä tulisi antaa mihinkään tietoon. Samalla hän korostaa Suomen viranomaisten ja puhelinoperaattorien aktiivista yhteistyötä, jolla väärennettyjä yhteydenottoja pyritään kitkemään pois.
Suurimmaksi tietoturvaan liittyväksi harhaluuloksi Antti nostaa sen, että keskustelu on yleensä suoraan kohdistuvissa tietoturvahyökkäyksissä – esimerkiksi moni julkisuuden organisaatio tai henkilö kokee, että juuri heitä vastaan hyökätään.
“Verkossa niin paljon tapahtuu tällaista jatkuvaa kalastelutyyppistä toimintaa ja yritystä, että se kohdistuu kaikkiin. Ja jos sinulla on jokin heikko kohta puolustuksessa, niin se kohdistuu sinuun. Aika harvassa ovat sellaiset, joissa suoraan hyökätään jotakin tiettyä kohtaan”, Antti muistuttaa.
Palvelunestohyökkäykset ovat myös suomalaisille yrityksille, erityisesti pankkisektorille melko tuttuja ja myös harjoiteltuja, Antti toteaa. Hyökkäyksissä lähetetään esimerkiksi tietyn verkkosivuston avaamispyyntöjä koneellisesti niin paljon, että sivusto ei toimi ja tavallinen käyttäjä ei pääse sivuille asioimaan. Tämä onkin konkreettinen ilmentymä siitä, mitä vaikutuksia näillä hyökkäyksillä on myös yksilöille. Suomessa yrityksillä on kuitenkin mekanismeja ohjata liikenne uudestaan niin, että palvelu alkaa taas toimia ja ihmiset pääsevät esimerkiksi asioimaan pankissa.
Tietoturvan ohjeistaminen lapsille ja nuorille
Antti toteaa tietoturva-asioiden neuvomisen lapsille ja nuorille olevan haastava maasto, mutta hän pitää tärkeänä että siitä puhutaan ja yritetään kouluttaa:
“Pitää miettiä sitä, että omalla ja jaetulla tiedolla on arvoa, se on omaisuutta mitä ei haluaisi jakaa pois.”
Lisäksi vanhempien kannattaa hänen mukaansa huolehtia, että tietoturvan osalta perusasiat ovat kunnossa:
- Kirjautumistunnuksiin ja salasanakulttuuriin tulee kiinnittää huomiota, eli käytetään esimerkiksi salasanalauseita lyhyiden salasanojen sijaan. Tämä vaikeuttaa salasanoja selvittämään pyrkivien automaattilaitteiden toimintaa ja siten tietoihin käsiksi pääsyä.
- Jos järjestelmässä on mahdollistettu monivaiheinen tunnistautuminen, eli henkilöllisyyden varmistaminen kahta tai useampaa eri tunnistautumistapaa käyttämällä, sitä kannattaa myös käyttää. Se parantaa merkittävästi omaa suojaa verkon palveluissa toimiessa.
Tietoturva ja varautuminen koulumaailmassa
Koulumaailmassa varaudutaan häiriötilanteisiin esimerkiksi harjoittelemalla palohälytyksiä varten. WilmaCastin co-host Miia Eskelinen-Fingerroos tiedusteleekin, onko tiedossa että kouluilla olisi harjoituksia kyberturvallisuuteen liittyen?
“Tietääkseni ei ole, voisi hyvinkin olla ensinnäkin koululaitoksen omia harjoituksia, mutta myös koululaisille voisi olla harjoituksia. Siinä voisi olla aika monen tasoista harjoiteltavaa ja opittavaa sitä kautta, erittäin hyvä idea!”, Antti toteaa.
Omien lasten kautta Antti on tutustunut myös moniin erilaisiin opetuksessa käytössä oleviin sovelluksiin ja digitaalisiin palveluihin. Hän muistuttaakin salasanahallinnan merkityksestä, erityisesti mikäli palvelussa on henkilötietoja tai muuta arkaluontoista tietoa.
”Jos koulumaailmaan saa lähettää toiveita, niin toivoisin että kaikki Suomen opettajat kävisivät jonkun tällaisen tietoturvan perusteet kuntoon -tyyppisen kurssin, koska niiden perusteiden kuntoon laittamisella me saataisiin jo aika paljon muutosta aikaiseksi. Ja toisena vielä veisivät sitä (tietoa) lapsille”, Antti sanoo.
Miltä digitulevaisuus näyttää varautumisen osalta?
Suomessa kerätään aktiivisesti tilannekuvaa digitaalisesta turvallisuudesta, sekä tehdään erilaisia selvityksiä, Antti kertoo. Näiden selvitysten perusteella on noussut esiin aiheita tai trendejä, joihin tulevaisuudessa tulisi hänen mukaansa kiinnittää erityisesti huomiota:
- Tilannekuvan muodostaminen ja tarkastelu eri tietoa tarvitsevien tahojen kesken vaatii vielä työtä.
“Organisaatioissa kerätään tilannekuvaa, mutta samalla ei usein olla mietitty, miten eri osastot tarvitsevat tietoa, jos esimerkiksi tietojärjestelmiin kohdistuu häiriöitä”, Antti toteaa.
- Strategiatyön tulisi huomioida paremmin myös turvallisuusnäkökulma.
“Liiketoiminnan kannalta kotimaisissa organisaatioissa tehdään paljon strategiatyötä ja mietitään tulevaisuuteen eri vaihtoehtoja. Tämän lisäksi Suomi on digitalisaation kärkimaita, mutta digitalisaation turvallisuus ei ole niin hyvällä tasolla kuin voisi olla, mikä tuo epäjatkuvuuskohdan”, Antti pohtii.
- Varautumisen välineenä erilaiset datan säilyttämisen mallit ja pilvipalvelun hyödyntäminen ovat ajankohtaisia pohdittavia. Jatkuvuuden hallinnan kannalta tulee huomioida tietojen säilyvyys, mikäli tieto yhdestä paikasta tuhoutuisi. Esimerkiksi sillä, että yritys pystyy palauttamaan verkkokaupan nopeasti takaisin toimintaan, on iso arvo liiketoiminnalle.
Antti kertoo myös juuri käynnistetystä projektista, jossa käydään läpi päätösketjuja datan sijainnin ja pilvipalveluiden oikeisiin ratkaisuihin:
“Saadaan niinkuin tällainen suositus tehtyä, kuinka jatkuvuuden hallinnan kannalta kannattaa käyttää tällaisia erilaisia ratkaisuita. Varmasti siellä on sellaisiakin ratkaisuja, missä on syytä käyttää jotain paikallista tietovarastoa, mutta varmasti on mahdollisuuksia käyttää nykyistä enemmän pilviratkaisuja ja muita verkkoratkaisuja.”