Pankkipalveluiden katkokset, tv-lähetysten häiriöt, meri- ja lentoliikenteen tahallinen häirintä sekä lisääntyneet tietomurrot sekä yrityksiin että julkisen sektorin organisaatioihin. Näistä saamme lukea päivittäin ja niihin on myös varauduttu.

”Toimintaympäristö on muuttunut ratkaisevasti. Yksi isoin syy on ollut korona. Sen aikana teknologiat kehittyivät valtavaa vauhtia ja niitä otettiin nopeasti käyttöön. Tekoäly, kvanttilaskenta ja 6G menevät vauhdilla eteenpäin ja ennustaminen on huomattavasti vaikeampaa kuin ennen”, valtion kyberturvallisuusjohtaja Rauli Paananen sanoo.

Hänellä on syvä ja laaja kokemus kyberturvaan liittyvistä tehtävistä muun muassa Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksesta, sisäministeriöstä, liikenne- ja viestintäministeriöstä sekä valtionvarainministeriöstä.

Suomi on kyberturvan mallimaa

Kiristyshaittaohjelmat, tietojen kalastelu ja tietomurrot ovat kasvaneet vakaviksi kyberturvallisuutta uhkaaviksi hyökkäystavoiksi. Paljon palstatilaa saavat palvelunestohyökkäykset eivät ole pahimpia kyberuhkia.

Valtiollisten toimijoiden värväämät rikolliset tekevät yhä useammin vakavia hyökkäyksiä. Pahimmissa tapauksissa nämä hyökkäyksen kohdistetaan kriittiseen infrastruktuuriin, jolloin lamaannutetaan esimerkiksi koko maan sähkönjakelujärjestelmä.

Suomen kyberturvan taso on vaarojen maailmassa huipputasoa, ilmenee kansainvälisen teleunioni ITU:n viime vuoden lopulla julkaisemasta selvityksestä. Suomi sai kaikilla selvityksen viidellä mittarilla täydet pisteet.

Suomi on selvinnyt kyberhyökkäyksistä toistaiseksi varsin vähällä verrattuna globaaliin tilanteeseen. Näemme täällä samat ilmiöt kuin maailmalla, mutta ne eivät vaikuta täällä samalla tavalla”, Paananen sanoo.

Miten tähän on päästy?

”Pitkät kyberturvan perinteemme, verkostomainen toimintamallimme viranomaisten ja elinkeinoelämän yhteistyö. Kansalaiset ovat myös varsin osaavia tällä alueella, vaikka siinä on aina parannettavaa”, Paananen vastaa.

Verkostojen ja osaamisen ytimessä on ollut vuonna 2001 perustettu CERT-FI (Computer Emergency Response Team), joka on nykyään osa Traficomin Kyberturvallisuuskeskusta.

”CERT-FI:n myötä meille syntyi kyberturvallisuuden verkostomainen malli. Siinä on sama pohja kuin kokonaisturvallisuusajattelussa”, Paanannen sanoo.

Varaudu, varaudu, varaudu

Kyberhyökkäysten torjunnassa pitää huoltovarmuuden näkökulmasta varautua kaikkeen.

”Varautumiselle ei merkitystä, kuka on hyökkäyksen takana. On varauduttava siihen, miten yhteiskunta toimii, jos tulee laajamittainen kyberhyökkäys. Vakava uhka on se, että samanaikaisesti tulee useita pienempiä hyökkäyksiä, jotka lamaannuttavat tekniset järjestelmät”, Huoltovarmuusorganisaation Digipoolin poolisihteeri ja valmiuspäällikkö Antti Nyqvist sanoo.

Digipoolin kyberkypsyysselvitykset ja Kansallisen kyberturvallisuusstrategian linjaukset ovat vankka pohja kyberturvallisuuden kehittämiselle.

”Yrityksillä on strategisia digikehitystavoitteita, muttei juuri kyberturvan kehitystavoitteita. Tämä on investointiongelma, jota on usein vaikea perustella. Digitalisuutta voidaan kehittää halvalla ja ilman turvaa. Näin tehdään liian usein”, Nyqvist sanoo.

Hän korostaa yritysten ja organisaatioiden kykyä tehdä riskiarviota ja priorisoida toimintojaan ja niihin datavarantojaan. Niiden tuloksena rakennetaan myös kyberturva: yritykselle kriittisimmät toiminnot ja data turvataan vahvemmin kuin vähemmän tärkeät. Realismia on se, ettei kaikkea voi koskaan suojata täysin.

Priorisointi koskee myös alihankintasuhteita. Kriittisille toiminnoille pitää olla sopimuksissa korkeat SLA-tasot takaavat klausuulit, jotta liiketoiminta rullaa myös poikkeusoloissa.

Huoltovarmuuskeskuksen varautumisteeseistä yksi on vuosikymmenet esillä: varmuuskopioiden hallinta.

”Oikein tehty varmuuskopiointi, niiden oikea säilytys ja tietojen palautus varmuuskopioista on ollut yksi teema, josta valistamme yrityksiä”, Nyqvist kertoo.

Vaillinainen varmuuskopiointi nousi esille helmikuussa 2024, kun kyberrikolliset onnistuivat kryptaamaan Tietoevryn asiakastiedot ja niiden samalla ohjelmistoalustalla olleet varmuuskopiot.

Kirkas tilannekuva on toiminnan lähtökohta

Laaja-alaisessa verkostomallissa toimii viranomaisista muun muassa Traficom, Huoltovarmuuskeskus, Puolustusvoimat, Poliisi sekä tiedusteluviranomaiset. Kullakin niistä on omat roolinsa kyberturvallisuuden varmistamisessa.

Kun kyberturvaloukkaus havaitaan, aluksi ei tiedetä, onko se tietoturvatapaus, rikos tai vakoilua. Jos kyseessä on tietoturvatapahtuma, Traficom selvittää asian. Jos kyseessä on rikos, poliisi tarttuu toimeen. Vakoilutapauksen tutkinta siirtyy tiedusteluviranomaisille. Kaikissa tapauksissa viranomaisilla on tiivis yhteistyö, jonka keskeisenä tehtävänä on pitää yllä kyberturvan tilannekuvaa.

Mitään yhteistä kyberturvan tilannekuvajärjestelmää viranomaisilla ei ole, sillä tilannekuvassa on useita tasoja syvästä teknisestä tasosta aina strategiselle tasolle.

”Yhtä tilannekuvajärjestelmää peräänkuulutetaan, mutta se on mahdottomuus. Kriittisessä tilanteessa viranomaiset viestivät niillä suojatuilla viestikanavilla, jotka heillä on käytössään”, Paananen sanoo.

Traficomin Kyberturvallisuuskeskus on tehnyt pari vuosikymmentä kansainvälistä kyberturvayhteistyötä yli kymmenessä kansainvälisessä verkostossa muun muassa EU:ssa.

”NATOssa kyberturvallisuuteen liittyvä yhteistyö on vielä kehittyvä alue. Erona EU:hun on se, että EU reguloi kyberturvaa, mutta NATOssa ei vastaavaa säätelyä ole”, Paananen kertoo.

Luottamus viranomaisiin auttaa varautumisessa

Suomessa on ollut jo pitkään poikkeuksellisen laaja ja syvällinen viranomaisten ja elinkeinoelämän kyberturvallisuutta koskeva yhteistyö. Traficomin 16 tiedonvaihtoverkostoa eli ISAC-toiminta (Information Sharing and Analysis Centre) ovat tästä hyvä esimerkki. Niissä saman toimialan yritykset käyvät läpi ajankohtaisia kyberturvaan liittyviä pulmia yhdessä Traficomin asiantuntijoiden kanssa.

Sekä julkishallinnon että elinkeinoelämän kattava verkostomainen turvallisuusajattelu on välttämätöntä, sillä 90 prosenttia kriittisestä infrastruktuurista on elinkeinoelämän hallussa.

”Jos kyberturvallisuus ei vielä ole yritysjohdon pöydällä, on sen viimeistään nyt noustava osaksi yritysten riskienhallintaa. Isoissa yrityksissä näin on ollut jo pitkään, mutta sama pitää tapahtua kaikissa yrityksissä”, Paananen sanoo.

Lokakuussa 2024 julkistettu ja vuoteen 2035 ulottuva Kansallinen kyberturvallisuusstrategia vastaa yhteiskunnan eri toimijoiden kyberturvatarpeisiin kansalaisista suuryrityksiin ja kunnista ministeriöihin.

Kyberturvallisuuden johtaminen on tuoreessa kyberturvallisuusrtegiassa hajautettu.

”Kyberturvallisuutta ei voida osoittaa yhdelle hallinnonalalle. Oleellista on, että valtioneuvostossa on kyberkoordinaatio, joka huolehtii valtiojohdon kyberturvan ajantasaisesta tilannekuvasta”, Paananen sanoo.

Kansallisessa kyberturvallisuusstrategiassa korostetaan jokaisen kansalaisen ja organisaation vastuuta omasta kyberturvastaan samalla tavalla kuin on määritelty turvallisuusvastuut yhteiskunnan turvallisuusstrategiassa.

Samalla kun valtiovalta luo kattavaa strategia, Huoltovarmuuskeskus tekee muun muassa toimialakohtaisia kyberkypsyysselvityksiä. Niissä arvioidaan, miten eri toimisalojen yritykset ovat kehittäneet omaa kyberturvallisuuttaan ja missä on vielä puutteita.

”Suomessa on vahva luottamus viranomaistoiminta ja kyky jakaa kyberturvallisuuteen liittyvää tietoa saman toimialan yritysten välillä”, Paananen sanoo.

Lisää resursseja yrityksiin

Kyberturvan kehittämisessä taistellaan Nyqvistin mukaan liiketoiminnan lainalaisuuksia vastaan. Kyberturvaan ei investoida, jos sitä nähdä liiketoiminnallisesti kannattavaksi.

Huoltovarmuuskeskus voi tukea toimialoja, joille regulaatio asettaa kyberturvaan liittyviä vaateita. Tällaisia ovat muun muassa teleoperaattorit ja energiayhtiöt. Tämä ei kuitenkaan riitä.

”Nykyisessä geopoliittisessa tilanteessa pitäisi tukea laajemminkin yritysten kyberturvaan liittyviä investointeja”, Nyqvist sanoo.

Takavuosina hyökkäykset yrityksiin olivat pääasiassa laajoja bottihyökkäyksiä, joilla etsittiin haavoittuvuuksia ja sitä kautta reittejä yritysverkkoihin. Nyt yrityksiin tehdään kohdistettuja hyökkäyksiä, kuten julkisuudessa laajasti esillä ollut Valion tietomurto.

”Pankkeihin kohdistuvat palvelunestohyökkäykset ovat lähinnä informaatiovaikuttamista. Niillä häiritään ihmisten päivittäistä elämää, luodaan epävarmuutta ja lisätään turvattomuuden tunnetta”, Nyqvist sanoo.

Tiukasti reguloidut toimialat kuten telesektori, finanssiala ja energiayhtiöt pärjäävät kyberturvassa parhaiten.

”Vaikka regulaatiota pidetään usein taakkana, parantaa se kyberturvan kypsyystasoa”, Paananen sanoo.

EU:n tuore NIS2-direktiivi lisää kyberturvaregulaation piiriin uusia toimialoja ja asettaa aiempaa laajempia vaateita sen piiriin kuuluville yrityksille. Direktiivin uudet vaatimukset koskevat yritysten toimitusketjun valvontaa sekä yritysjohdon vastuuta yrityksen kyberturvallisuuden johtamista.

”Kyberrikollisuus on rahassa mitattuna maailman kolmanneksi suurin talous. Suurin osa sinne menevästä rahasta kulkee yksilöiltä rikollisille. Kansalainen voi toimillaan altistaa joko omat rahansa tai organisaationsa rikolliselle toiminnalle”, Paananen sanoo.

Automaation riskit piilevät pilvessä

Yritysten ict-järjestelmät ovat Nyqvistin mukaan koko ajan paremmin kyberturvassa. Automaatiojärjestelmissä on enemmän korjattavaa.

Yksi syy on automaatiojärjestelmien taustajärjestelmien ulkoistaminen laitevalmistajille.

”Automaatiojärjestelmien riippuvuus kansainvälisistä pilvipalveluista on suuri ja kasvaa. Kun laitteen ylläpito tulee valmistajan pilvestä, yrityksellä ei ole kontrollia järjestelmään. Tämä on huolestuttava kehityskulku”, Nyqvist sanoo.

”Yritysten pitäisi ottaa paremmin haltuun omat automaatiojärjestelmänsä. Tuotantoympäristöjen lisäksi tämä ongelma koskee muun muassa kiinteistöautomaatiota”, Nyqvist jatkaa.

Huoltovarmuusorganisaation Digipoolin teettämä automaatiojärjestelmien kyberturvaa koskeva selvitys valmistui helmikuun lopulla.

Osaaminen karttuu harjoittelemalle

Huoltovarmuuskeskuksen järjestämissä valmiusharjoituksissa saman toimialan yritykset jakavat kyberturvaosaamistaan, toimintatapojaan ja teknisiä yksityiskohtia. Tällainen toiminta on globaalistikin poikkeuksellista ja kertoo paljon suomalaisen yrityskentän kyvystä yhteistoimintaan.

Yhdessä tehtävien harjoitusten lisäksi erityisesti isot yritykset järjestävät kyberturvaharjoituksia myös sisäisesti ja toimitusketjujensa kanssa.

Kansallinen, julkisen sektorin sisäinen sekä yritysten oma kyberturva vaatii jatkuvaa kehittämistä. Yritykset vastaavat tästä itse yhdessä Huoltovarmuusorganisaation toimialakohtaiset poolien kanssa. Huoltovarmuuskeskuksella on kullekin toimialalle kehitysohjelmat, joista kyseisen toimialan yritykset saavat aiheita omaan kehitystyöhön.

Digitaalisen turvallisuus 2030 -ohjelmakokonaisuus kokoaa yhteen kaikkia organisaatioita koskevat kehitystarpeet. Sen alla on runsaasti erilaisia hankkeita kuten eri toimialojen digiturvallisuuden kypsyyden kartoitus ja kyberturvallisuus harjoitusten kehittäminen.

Osaajapula uhkaa

Vaikka kyberturvan tilanne on monilta osin Suomessa hyvä, on osaamisvaje iso ongelma.

”Kun digitalisaatio kehittyy, tarvitsemme 6000–8000 osaajaa lisää. Teknisten osaajien lisäksi tarvitaan niitä, jotka osaavat kertoa yritysjohdolle kyberturvan tärkeydestä. Kyberturvasta pitää puhua jo peruskoulusta lähtien”, Paananen sanoo.

Aalto-yliopiston toteuttama EU-laajuinen Cyber Citizen -hanke on erinomainen esimerkki, miten suomalaista kyberturvaosaamista jalkautetaan kaikille EU-kansalaisille.

Hankkeessa on tuotettu kaikilla EU-kielillä kyberturvamateriaalia sekä muun muassa kyberturvaan liittyvä SecPort-peli. Peli neuvoo kansalaisia sekä kyberturvan että informaatiovaikuttamisen saloihin.