Vieraskynä: Jarna Hartikainen – Varautumispäälikkö, Huoltovarmuuskeskus

Digitaalinen turvallisuus 2030

Kyberturvallisuus ei ole itseisarvo, jota tulee tavoitella kyberturvallisuuden vuoksi. Merkitys tulee arkemme rakentuessa riippuvaiseksi toiminnoista, jotka ovat digitaalisia ja yhteiskunnan toimivuuden kannalta elintärkeitä – yhteydenpito, terveydenhuolto, maksaminen, energian ja ruuan saanti. Näiden häiriösietokyky ja jatkuvuus tulee turvata. Digitalisoitumisen myötä se tarkoittaa samassa suhteessa panosta myös kyberturvallisuuteen.  Tätä varten Huoltovarmuuskeskuksessa käynnistettiin Digitaalinen turvallisuus 2030 -ohjelma.

Digitaalinen turvallisuus 2030 -ohjelma (DT2030) on keskeinen osa Huoltovarmuuskeskuksen strategisia tavoitteita tulevina vuosina, sillä digitalisaation lävistää nykyään kaikki yhteiskunnan osa-alueet, talouden sektorit koskien kaikkia kriittisen infrastruktuurin toimijoita. Samalla kyberturvallisuus on noussut keskeiseen asemaan yhteiskunnan kriisinsietokyvyn kannalta. Ominaispiirteinä siihen kuuluu, että pienenkin toimijan digitaalisten ratkaisujen taustalla ovat globaalit digitaaliset ekosysteemit, kansainväliset järjestelmätoimittajat sekä lukuisista hankintasopimuksista rakentuvat palvelukokonaisuudet.

Digitaalisesta turvallisuutta ei ole tehty käyttäjän tai ylläpitäjän kannalta erityisen helpoksi ja suoraviivaiseksi. Riskien tunnistaminen ja ennakointi kompleksisessa muuntuvassa ympäristössä on yhä vaikeampaa. Erityisesti vähäisen tiedon varassa hyökkäykset/häiriöt laajenevat nopeasti ja uhrin lisäksi vaikuttavat helposti täysin sivullisiin. Tähän haasteeseen vastaamiseksi DT2030 -ohjelmassa on päädytty hakemaan kriittistä infrastruktuuria tukevia ratkaisuja kyberhäiriöihin varautumiseen, toimintakykyyn häiriöiden sattuessa, sujuvaan yhteistyöhön yritysmaailman ja viranomaisten välillä sekä tulevaisuuden ilmiöiden ennakointiin. Keskeistä on paikantaa riippuvuusketjun digitaalisia heikkouksia niiden häiriösietoisuuden lisäämiseksi. Kannustavaa on, että jatkuvassa muutoksessa onnistumisessa ratkaisee pelkän osaamisen sijaan asenne – oikein suhteutettu varauksellisuus ja halu ottaa selvää. Jokaisella on mahdollisuus omalta osalta onnistua.

DT2030 on viisivuotinen ja sitä toteutetaan 130 miljoonan euron kehyksessä. Ohjelman ylätason tavoitteiden määrityksessä ovat olleet mukana kymmenet kriittisen infrastruktuurin edustajat ja alan asiantuntijat. Määritys työ jatkuu koko ohjelman ajan seuraten kehitystä ja löytäen tavoitteille toimivia toteutustapoja. Käytännössä ohjelma toteutuu sen sateenvarjon alla tehtävillä projekteilla. Vuosien aikana yli sata projektia tuottaa esimerkiksi työkaluja, kriteeristöjä, toimintamalleja, ohjeita ja selvityksiä, jotka osaltaan vievät stepin visiota kohti. Monille ohjelma konkretisoituukin kokonaisuuden sijaan muutaman yksittäisen projektin kautta. Esimerkkejä ohjelman projekteista on esimerkiksi automaation tietoturvakirjan julkaisu, 5G Cyber Hack tapahtuman järjestäminen ja kybermittari arviointityökalun kehittäminen.

Projektien tarkoituksena on tuottaa pitkäaikaista huoltovarmuudellista hyötyä tukemalla alulle markkinaehtoista toimintaa, joka tukee huoltovarmuuden toteutumista. Samalla pyritään vaikuttavaan yhteiskunnan digitaalisessa turvallisuuteen toteutustaan laajemmin käynnistäen uutta toimintaa, investointeja ja vahvistaen yhteistyörakenteita. DT2030 -ohjelman onnistuminen edellyttää, että yritykset ja muut yhteistyökumppanit sitoutuvat ohjelman tavoitteiden toteuttamiseen ja jalkauttamiseen. On meidän kaikkien etu, että yhteiskunnan kriittiset toiminnot kestävät kyberhäiriöt.

Lisätietoja ohjelmasta tästä 

Lue lisää
Tulevaisuusennusteet alkaneet lunastaa ennustuksia
Kimmo Rousku, Tietoturva ry hallituksen jäsen
Alkuvuodesta kuulimme lukuisia katsauksia viime vuoden digi- ja kybermaailman tapahtumiin sekä ennustuksia alkaneelle vuodelle. Voit katsella myös meidän arvioimme tai jonkin muun tilaisuuksistamme YouTube-kanavaltamme.
Viime vuonna tietoverkkorikolliset aktivoituivat merkittävästi, osin uudistamalla liiketoimintamallia enemmän kiristyspainotteiseksi (tiedolla johtamisen sijaan sillä kiristämiseksi). Samoin kybervakoilun osalta tapahtui selkeä muutos, loppuvuoden SolarWinds-yrityksen kautta toteutettu operaatio kuuluu samaan sarjaan Stuxnetin ja NotPetyan ohella.
Niin, tähän vielä kaupan päälle koronaviruspandemian aiheuttamat uhkat, esimerkiksi siirtyminen etätöihin ja tämän loistavan mahdollisuuden ohella tilanteeseen kohdistuvat uudenlaiset uhat. Eri tilastotietojen perusteella viime vuonna on skannailtu verkkoja enemmän kuin koskaan sekä tehty erilaisia huijausyrityksiä kasvavassa määrin. Tästä esimerkkinä lokakuussa esille nostamani #Kimmovshuijari eli Microsoft-tukipuheluhuijarit. Näiden perusteella oli helppo ennustaa, että vuodesta 2021 ei ole tulossa helppoa. Se on valitettavasti alkanut ennustuksiakin huonommin ☹.Miten hyvin teidän päivitysprosessinne toimivat?
2.3.2021 jää historiaan, koska tuolloin Microsoft julkaisi korjaukset peräti neljään Exchange-palvelinohjelmiston nollapäivähaavoittuvuuteen normaalin päivityssyklin ulkopuolella. Toivottavasti useimmissa organisaatioissa tämän perusteella tehty riskienarviointi aiheutti sen, että ne ajettiin *välittömästi* seuraavan vuorokauden kuluessa niiden julkaisusta. Suosittelen lukemaan ja seuraamaan Brian Krebsin erinomaista sivustoa – esimerkiksi tämän haavoittuvuuden aikajana antaa loistavan taustoituksen suurimpaan huoleeni.
Ja se huoleni liittyy siihen, että valitettavan moni organisaatio saattoi viivytellä liikaa tämän kriittisen päivityksen osalta ja aiheuttaa tämän takia henkilötietojen tietoturvaloukkauksen, siis tietomurron. Ja kuten olen itse nostanut esille, tässä ei riitä se, että ajetaan päivitykset ja vilkaistaan, että ”eihän tuolla ole mitään epäilyttävää shelliä asennettuna”, vaan tilanne vaatii perusteellisen tietoturvatarkastuksen. Siis kaivetaan lokit esille ja käydään läpi ainakin kaikki tämän vuoden lokit. Toisaalta, koska tämä haava on ollut ”ikuisesti” tai ainakin 10+ vuotta, tätä on saatettu sen tietävien osalta hyödyntää aikaisemmin. #nollapäivä #kybervakoiluMitä tästä pitäisi oppia? Kun esimerkiksi Suomessa Liikenne- ja viestintävirasto Traficom / Kyberturvallisuuskeskus julkaisee ns. punaisen varoituksen ja se koskee organisaation käytössä olevia palveluita, riskienarviointi ja päätökset pitää tehdä välittömästi. Tämä ei tarkoita sitä, että päivitykset pitää saada heti liikkeelle, laadusta tinkimällä – tässä hätäilemällä voi kaivaa itselleen vain vielä syvemmän kuopan.Kybervakoilu on arkipäivää
Edellisen ohella nostin esille jo aikaisemmin #kybervakoilu. Suosittelen tutustumaan SUPOn vuosikirja 2020 sekä uutiseen koskien APT31-ryhmän toimintaa ja kolmantena heidän uutisensa siitä, että ulkomaiset tiedustelupalvelut käyttävät yritysten ja yksityishenkilöiden verkkoreitittimiä kybervakoiluun. Kuinka moni on ohjeistanut ja neuvonut, miten henkilöstö päivittää nämä kotona olevat kriittiset ict-laitteet? Ja miksi se on muuten niin pirun hankalaa?Nämäkin uutiset löytyvät SUPOn sivuilta ajankohtaisosiosta. Nämä luettuasi ymmärrät, että koronavirus aiheutti digiloikan ohella kybervakoiluloikan, joka ei tällä tavalla viestitettynä jää enää huomaamatta. Fyysisen maailman ohella tuosta on tullut entistä näkyvämpi digitaalisen toimintaympäristön uhka.
Mitä tästä pitäisi oppia? Jokaisen organisaation johdon tulisi arvioida, millainen merkitys heidän toiminnallaan on kansallisen turvallisuuden näkökulmasta ja millaisena kohteena heidän organisaatio näyttäytyy kybervakoilulle. Ja vaikka vastaus olisi edelliseen aluksi ei, entä onko teillä sellaisia asiakkaita, joihin tie kulkeekin teidän kauttanne? Tietoverkkorikollisten osalta tätä arviointia ei tarvitse tehdä, koska me #kaikki olemme heille kohteita, tietysti organisaation tulee tunnistaa, mikä erityisesti heitä kiinnostaa (mitkä tiedot tai prosessit) ja miten tätä riskiä hallitaan.

Huhtikuu alkanut synkästi
Jos maaliskuu oli haasteellinen, huhtikuu ei ole alkanut yhtään sen iloisemmin. Kuukautta varjostaa uutiset usean eri sosiaalisen median palvelun tietojen päätymisestä palvelun ulkopuolisille toimijoille. Mediassa ovat esille nousseet Facebookin, mahdollisesti jopa kahden eri tapauksen kautta, LinkedIn ja Clubhouse-palvelun käyttäjiin kohdistuvat henkilötietojen tietoturvaloukkaukset. Nyt tietysti voidaan kysyä, onko nämä oikeita ”tietoturvaloukkauksia”, koska tietoja ei ole välttämättä saatu tietomurron seurauksena, vaan ne on voitu kaapia tai haravoida (”data scraping”) palveluista esimerkiksi erilaisten rajapintojen ja kyselyiden avulla. Itse koen ne tietoturvaloukkauksina, koska en ole antanut lupaa mihinkään tällaisiin tietojenluovutuksiin ja tietojeni hyödyntämiseen. Odotankin mielenkiinnolla, miten EU-alueella sovelletaan tähän #GDPR.

Tule kuuntelemaan lisää meidän kaikille avoimen ajankohtaistilaisuuden tallenteesta 21.4. omalta YouTube-kanavaltamme

Tieto- ja terveysturvallista kevättä!

Twitteristä tuttu

Sääntömääräinen kevätkokous torstaina 20.5.2021 klo 17:00- 19:00

Tervetuloa kevätkokoukseen!

Kevätkokous kokoontuu ensisijaisesti virtuaalisesti, pandemian rajoitustoimien mukaisesti paikan päällä kokoontuu vain välttämättömät toimihenkilöt.

Ennen varsinaista kokousta Jarno Limnell pitää meille mielenkiintoisen luennon ajankohtaisista kyberturvallisuusasioista.

Illan ohjelma:

17.10-17.55 Ajankohtaisluento, Jarno Limnell. Professori (Professor of Practice), Kyberturvallisuus, Aalto-yliopisto.
18:00-19:00 Kevätkokous 2021

Kokouksen agenda:
1. Kokouksen avaus
2. Kokouksen toimihenkilöiden valinta
3. Kokouksen laillisuus ja päätösvaltaisuus
4. Esityslistan hyväksyminen
5. Hallituksen esitys yhdistyksen toimintakertomukseksi tilikaudelle 2020
6. Tilinpäätös ja toiminnantarkastajien lausunto tilikaudesta 2020
7. Päätetään tilinpäätöksen vahvistamisesta
8. Päätetään vastuuvapauden myöntämisestä hallitukselle
9. Hallituksen esitys yhdistyksen sääntöjen muuttamiseksi.
10. Muut asiat
11. Kokouksen päättäminen

Aika: ke 20.05.2021 klo 17.00-19:00

Paikka: Online + Sokos Hotel Vaakuna, Helsinki. 

Ilmoittautumisinfo: Tilaisuus on ainoastaan Tietoturva ry:n jäsenille ja se on veloitukseton.

Ilmoittaudu kevätkokoukseen

Uutiset

Vuoden Tietoturvapäällikkö® 2021 on Samuli Bergström

Tietoturva ry on valinnut jo kymmenennen kerran Vuoden Tietoturvapäällikön.

Vuoden Tietoturvapäällikkö® 2021 on Samuli Bergström.

Verohallinnossa Turvallisuus- ja riskienhallintayksikön johtajana toimiva Samuli Bergström  on ansioitunut erityisesti koko yhteiskunnan kannalta merkittävän organisaation laaja-alaisen ja samalla nopeatempoisen digitalisaation turvallisena mahdollistajana..

Lue lisää

Tietoturva ry etsii aktiiveja!

Tietoturva ry etsii aktiivisia ja aikaansaavia vapaaehtoisia.

Onko intohimosi jokin näistä:

  • Hallinnollinen tietoturva
  • Tekninen tietoturva
  • Tietosuoja
  • Regulaatio / määräystenmukaisuus
  • Jotakin ihan muuta tietoturvaan liittyvää?

Tule aktiivisemmin mukaan toimintaan, ideoimaan ja osallistumaan tapahtumien rakentamiseen!

Kerro meille

Tietoturvatunnustus!

Tietoturva ry julkistaa uuden vuosittaisen kilpailun, alkaen kuluvasta vuodesta jaamme vuosittain tunnustuksen jollekin, joka on

Vuoden 2021 Tietoturvailmiö, Tietoturvapalvelu, Tietoturvatuote tai Tietoturvavaikuttaja

Tunnustuksen tarkoituksena on nostaa esille merkittäviä tietoturvaan liittyviä ilmiöitä, sitä edistäviä palveluita tai tuotteita tai sellaisia henkilöitä,

Lue lisää

Tietoturva ry on perustanut julkisen Slack-kanavan.

Tietoturva ry:n hallitus on läsnä kanavalla ja pystyy vastaamaan nykyisten ja tulevien jäsenien kysymyksiin, liittyi ne sitten varsinaiseen jäsenyyteen, tapahtumiin tai muihin askarruttaviin kysymyksiin yhdistyksestä.
Slack on tarkoitettu ensisijaisesti Tietoturva ry:n jäsenistön keskinäiseen vuorovaikutukseen.

Tule mukaan ja vaikuta!

Liity tästä

Tulevat tapahtumat

Virtuaalinen yritysvierailu – Enfuce Financial Services Oy 19.05.2021

Ilmoittautuminen avataan lähipäivinä.

Lisää tietoa tapahtumasivuilla >>

Splunk for Rookies 11.06.2021

Haluatko päästä elävään ympäristöön kokeilemaan lokienhallintaosaamistasi?

Suomen Splunk-guru Juha Tamminen  pitää hands-on workshopin Splunk-ympäristössä. Workshop kulkee nimellä ”Splunk Rookies” ja mukaan sopivat sekä kokemattomat että kokeneemmat lokeilijat.
Jokaiselle osallistujalle luodaan oma Labraympäristönsä josta syystä osallistujamäärä on rajoitettu 10 osallistujaan.

Osallistumismaksu on 100€ ja workshop 11.06.2021 kestää 3 tuntia (klo 09-12)

Huomioithan että tilaisuus on vain Tietoturva ry:n jäsenille.

Pääset liittymään jäseneksemme sivustomme kautta, https://tietoturva.fi/jaseneksi/

Ilmoittaudu mukaan: https://www.lyyti.in/Splunk_for_Rookies_8696

Ilmoittaudu tapahtumaan >>