AJASSA

– Kyberturvallisuus kuuluu kaikille. Ei kannata jäädä miettimään, kuka meitä uhkaa, vaan lähteä ennakoimaan ja varautumaan, Markku Rajamäki sanoo.
– Kyberturvallisuus kuuluu kaikille. Ei kannata jäädä miettimään, kuka meitä uhkaa, vaan lähteä ennakoimaan ja varautumaan, Markku Rajamäki sanoo.

Kyber­turvallisuutta

kokoon katsomatta

Kyberturvallisuus koskee jokaista yritystä suurista konserneista keskisuuriin ja pieniin yrityksiin. Jos resursseja ei löydy omasta takaa, niitä voi, pitää ja kannattaa ryhtyä hakemaan.

Liikenne- ja turvallisuusviraston Kyberturvallisuuskeskuksen kuukausittainen kybersää kertoo merkittävistä tietoturvapoikkeamista ja -ilmiöistä Suomessa. Kybersää voi olla rauhallinen, huolestuttava tai vakava.

Elokuussa vakavan kybersään kärkeen kirivät kiristyshaittaohjelmat, kun vielä kesällä eniten vaaraa aiheuttivat erilaiset huijaukset ja kalastelut. Huolestuttavaksi sää äityi verkkojen toimivuudessa, kun palvelunestohyökkääjät aktivoituivat alkukesän jälkeen. Kirjautumisyrityksiä kohdistui yritysten tietojärjestelmiin, haittaohjelmia havaittiin, ja pienten yritysten verkkotunnuksia ja some-­tilejä kaapattiin.

Mistä kyseiset sääilmiöt kertovat? Miten myrskyiltä voi suojautua – vai voiko? Onko ikuista poutaa ja auringonpaistetta tänä päivänä edes mahdollista saavuttaa?

Pitääkö olla huolissaan?

Kun puhutaan kyberturvallisuudesta, Elinkeinoelämän Keskusliiton (EK) johtava asiantuntija Markku Raja­mäki on mies paikallaan. EK:ssa hän vastaa yritysturvallisuuteen ja riskienhallintaan liittyvistä asioista, mutta on työskennellyt 20 vuotta myös yrityksissä riskienhallinnan ja yritysturvallisuuden johtotehtävissä.

– Pitkän kokemukseni takia tunnen yritysten arjen ja huolet. Kaiken toimintani punaisena lankana EK:ssa on pyrkiä tukemaan yrityksiä siten, että arki olisi turvallisempaa ja ennakoitavampaa, Rajamäki summaa.

Hän toteaa, että kyberturvallisuus eli sähköisten ja verkotettujen järjestelmien turvallisuus on tullut elämäämme digitalisaation myötä. Nykyään jokainen yritys on digitaalinen, joten jokaisen pitää olla huolissaan, mutta pitää myös toimia.

– Kyberturvallisuus on sekä kestävän digitalisaation elinehto että sen mahdollistaja.

Nyt puhutaan isoista rahoista

Vuosien kuluessa kybertapahtumien intensiteetti on kasvanut, ja se kasvaa koko ajan. Yhä useammat yritykset ja yksittäiset suomalaiset ovat jo joutuneet informaatio- ja kybervaikuttamisen kohteiksi.

Hyökkäykset voivat olla pahantahtoisia tai rikollisessa mielessä tehtyjä. Onnistuessaan ne kertovat siitä, ettei kyberturvallisuus ole kunnossa ja haavoittuvuutta on osattu käyttää hyödyksi.

– Tavoitteena on aiheuttaa pelkoa, hämmennystä ja sekaannusta, vaikuttaa yleiseen mielipiteeseen sekä rapauttaa luottamusta yhteiskuntaan. Rikollisessa mielessä tehdyt kyberhyökkäykset ylittävät jo huumausainekaupan globaalin rahallisen arvon, eli puhutaan todella suurista summista.

Pahimmillaan lappu luukulle

Kyberhyökkäysten tekijät voivat olla valtiollisia toimijoita tai esimerkiksi hakkereita, jotka haluavat kerätä ”päänahkoja”. Viime kädessä hyökkäysten takana olevat tahot ovat Rajamäen mukaan toisarvoinen asia.

– Ei kannata jäädä miettimään, kuka meitä uhkaa, vaan lähteä ennakoimaan ja varautumaan. Vaikkei olisikaan hyökkäysten kohde, ohjelmistojen tai digitaalisten palvelujen haavoittuvuus voi aiheuttaa vahinkoa kaikille käyttäjille. Maailmalta löytyy yrityksiä, jotka ovat joutuneet laittamaan lapun luukulle.

Kriittisiin kohteisiin suunnatuilla hyökkäyksillä voidaan lamaannuttaa elintärkeitä toimintoja esimerkiksi energianjakelussa, sähkönsiirrossa, tiedonsiirtojärjestelmissä tai kaupan jakeluketjuissa. Hyökkäykset kohdistuvat tyypillisesti myös henkilö-, asiakas- ja tuote­kehitystietoihin.

– Aina hyökkäys ei näy välittömästi vaan vasta vuosien päästä, jolloin hyökkäys voi olla keino päästä seuraamaan tapahtumia sekä keräämään ja varastamaan tietoja.

Tietoturvaseteli tulee tarpeeseen

Kyberturvallisuus ei katso yrityksen kokoa. Usein isoilla yrityksillä on kuitenkin paremmat resurssit varautua tietoturvauhkiin ja palveluestohyökkäyksiin kuin pienillä ja keskisuurilla yrityksillä.

– Suomen yrityskannasta 43 prosenttia on alle 50 henkilöä työllistäviä yrityksiä. Yritykset ovat erittäin tärkeitä koko yhteiskunnalle, mutta läheskään kaikki eivät ole voineet tai osanneet varautua kyberturvallisuuden kehittämiseen.

Tähän tarpeeseen Suomessa on edistetty kriittisille toimijoille suunnattua tietoturvaseteliä, jonka avulla voi hankkia tukea ja apua kyberturvallisuutensa ar­viointiin ja kehittämiseen. Hallitus hyväksyi määrä­aikaisen rahoituksen toukokuussa, ja tavoitteena on saada asetus voimaan mahdollisimman pian.

– Päätös on merkittävä kädenojennus ja samalla osoitus siitä, että kaikenkokoisten yritysten kyberturvallisuutta pidetään tärkeänä. Kyberturvallisuus vahvistaa osaltaan myös suomalaisyritysten kilpailukykyä ja kansainvälistä mainetta alan kärkimaana, Rajamäki korostaa.

Turvallisuus kuuluu kaikille

Kyberturvallisuus ei ole pelkkää teknologiaa, vaan se liittyy myös johtamiseen, olipa kyseessä minkä kokoinen yritys tahansa. Se on osa yrityksen koko turvallisuutta.

Viime kädessä kyberturvallisuus on samanlainen asia kuin työturvallisuus: se kuuluu kaikille. Työn­tekijän tulee osata toimia oikein ohjeiden mukaan, jottei hän voi tehdä turvallisuustoimenpiteitä tyhjiksi, Markku Rajamäki sanoo.

– Täydellistä kyberturvallisuutta ei ole olemassa, eikä sitä voi koskaan rakentaa valmiiksi. Se on päättymätön matka, mutta kun teemme parhaamme, olemme niin turvassa kuin mahdollista.

Kyber­turvallisuus = sähköisten ja verkotettujen järjestelmien tur­vallisuus

Voiko kyber­turvallisuutta ostaa?

– Kyllä voi, ellei resursseja löydy omasta takaa. Suomesta löytyy korkeatasoista osaamista ja turvallisuusteknologiaa, Markku Rajamäki vastaa.

Tukea tulossa: Hallitus hyväksyi vuoden 2022 toisessa lisätalousarvioesityksessä 6 miljoonan euron määrärahan yritysten tietoturvallisuuden kehittämiseen. Määräraha jaetaan tietoturvaseteleinä, joiden avulla yritykset voivat hankkia esimerkiksi arvion kyberturvallisuuden nykytilasta tai ostaa koulutuspalvelua turvallisuuden kehittämiseen. Voimaantuloa voi seurata osoitteessa: lausuntopalvelu.fi

Hae apua: Finnish Information Security Cluster – Kyberala ry (FISC) on kyberturvallisuusteollisuuden kotimainen klusteri. Se koostuu kansallisesti merkittävistä tieto- ja kybertuotteita sekä -palveluja tarjoavista yrityksistä ja organisaatioista.

Lue lisää: fisc.fi