Katsaus suomalaiseen tietoturvaan vuosilta 2022-2024
Ennen siirtymistä tietoturvan ajankohtaisiin teemoihin on olennaista tarkastella suomalaisen tietoturvan kehitystä viime vuosilta. Kyberturvallisuuden uhkataso on pysynyt kohonneena Ukrainan sodan alkamisesta syyskuusta 2022 lähtien, ja se on edelleen koholla. Hautakankaan mukaan Suomessa on kuitenkin nähty paljon hyvää kehitystä tietoturvan eri osa-alueilla:
Turvallisuusstrategian päivittäminen. Kohonneeseen uhkatasoon on reagoitu kansallisella tasolla. Esimerkiksi lokakuussa 2024 päivitetty kyberturvallisuusstrategia korostaa kyberturvallisuuden merkitystä osana kokonaisturvallisuutta.
Tietoturvan investoinnit. Myös yritykset ovat reagoineet tilanteeseen lisäämällä tietoturvaan liittyviä investointejaan. Tietoevryn pohjoismaisen kyselytutkimuksen (Nordic Cyber Resilience Report) mukaan jopa 75 % vastaajaorganisaatioista on lisännyt tietoturvainvestointejaan.
Tietoturvaan liittyvät regulaatiot. EU-tasolta on tullut monia uusia tietoturvaa ohjaavia regulaatioita, kuten NIS2 (Network and Information Security Directive 2) ja CRA (Cyber Resilience Act).
Kansainvälinen yhteistyö. Tietoturvaa koskeva kansainvälinen yhteistyö on kehittynyt. Tämä edistää tehokasta tiedonjakoa ja parantaa kykyä torjua kansainvälisiä tietoturvauhkia.
Automaatiojärjestelmien tietoturva. Erilaisten automaatiojärjestelmien tietoturvaan on panostettu paljon, ja tämä kehitys näkyy myös tietoturvatarkastuksissa.
3 tärkeää tietoturvan kehityksen kohdetta
Tietoturvan toimintaympäristö muuttuu jatkuvasti, mikä vaatii organisaatioilta kykyä priorisoida ja kohdentaa kehitystoimiaan oikein. Tässä kolme keskeistä osa-aluetta, joihin panostamalla voidaan saavuttaa merkittäviä parannuksia suojauksen tasossa:
1. Monivaiheinen tunnistautuminen
Monivaiheisen tunnistautumisen (MFA) käyttö on lisääntynyt merkittävästi sekä työpaikoilla että erilaisissa palveluissa, joissa käsitellään luottamuksellista tietoa. Tällä positiivisella kehityksellä on kuitenkin myös kääntöpuolensa.
“Tarve monivaiheisen tunnistautumisen ratkaisuille on kasvanut ja kaikki markkinoilta löytyvät toteutukset eivät ole turvallisia. Pahimmassa tapauksessa käy niin, että lisäturvaksi tarkoitettu tuote vaarantaa koko järjestelmän turvallisuuden.”, Anne Hautakangas sanoo Valtio Expossa.
Instan penetraatiotestauksista on löytynyt monia esimerkkejä tällaisista tapauksista. Eräs penetraatiotestaus paljasti tapauksen, jossa monivaiheinen tunnistautuminen oli puutteellinen: vaikka verkkosivusto ja sen sisällöt olivat suojattuja, pääsi palvelun sisältämiin dokumentteihin käsiksi ilman kirjautumista.
“Vaikka monivaiheinen tunnistautuminen tuo yrityksille turvaa, itse järjestelmiä täytyy myös säännöllisesti tarkastella kriittisellä silmällä.”, Hautakangas muistuttaa.
2. Toimitusketjujen turvallisuus
Suuret yritykset, kunnat, kaupungit, viranomaiset ja valtion organisaatiot pitävät pääsääntöisesti hyvin huolta omasta tietoturvastaan. Tämän myötä rikolliset ovat alkaneet kääntää katsettaan alihankkijoihin, toimitusketjuihin ja pienempiin toimijoihin, jotka ovat tekemisissä varsinaisten kohteiden kanssa.
3. Palvelunestohyökkäys
Palvelunestohyökkäysten määrä on kasvanut, ja niiden toteuttaminen on entistä helpompaa. Uutena nousevana ilmiönä ovat sovelluksiin kohdistuvat hyökkäykset. Palveluissa on usein sovellustason haavoittuvuuksia, joiden avulla voidaan aiheuttaa palvelunestohyökkäyksen kaltainen tilanne ilman varsinaista palvelunestohyökkäystä.
“Palvelunestohyökkäyksiin ei enää tarvita teknistä osaamista, sillä saatavilla on maksullisia palveluita, joissa graafinen käyttöliittymä ja asiakaspalvelu mahdollistavat hyökkäyksen toteuttamisen nappia painamalla. Maksu tapahtuu esimerkiksi bitcoinien avulla.”, Hautakangas sanoo.
Vaikka palvelunestohyökkäykset ovat kiusallisia, niillä ei ole toistaiseksi pystytty vaikuttamaan merkittävällä tavalla tavallisten ihmisten arjen kriittisiin tahoihin.
Paremman tietoturvan muistilista
Vaikka Suomen tietoturvan taso on korkea, jatkuva parantaminen on välttämätöntä nopeasti kehittyvässä digitaalisessa ympäristössä. Tämän muistilistan avulla varmistat, että yrityksesi keskeiset suojatoimet ovat kunnossa:
Luotettava teknologia. Varmista, että käytössäsi olevat teknologiat ovat laajasti luotettuja ja hyväksi todettuja. Hyvin resursoidut ja laajasti käytetyt teknologiat tarjoavat paremman tietoturvan sekä nopeamman reagoinnin haavoittuvuuksiin.
Alihankkijoiden tietoturva. Huolehdi, että alihankkijat ja muut toimitusketjussa mukana olevat toimijat huolehtivat tietoturvastaan. Muista myös auttaa heitä ja asettaa vaatimuksia tietoturvan priorisoinnista.
Varautuminen ja harjoittelu. Suunnittele, varaudu ja harjoittele erilaisia tietoturvauhkia varten yhdessä muiden kanssa. Jaa hyvät käytänteet ja opit koko organisaatiolle ja kumppaneille, ja uskalla harjoitella myös pahimmasta skenaariosta palautumista.
Pyydä apua. Tietoturvassa proaktiivisuus on valttia. Hyödynnä asiantuntijapalveluita, kuten penetraatiotestausta ja auditointia, ajoissa. Näin haavoittuvuudet voidaan korjata ennen kuin ne aiheuttavat vahinkoa.
“Tietoturvan maailmassa jo vähäinenkin epäilys järjestelmän kunnosta on vahva merkki välittömästä tarkastustarpeesta. Proaktiivinen investointi tietoturvatarkastukseen on huomattavasti pienempi kustannus kuin realisoituneen tietotumurron aiheuttamien vahinkojen hallinta ja korjaaminen.”, Hautakangas sanoo.
Anne Hautakangas
Kirjoittaja työskentelee Instassa kyberturvallisuuden asiantuntijana.
