VTT:n tietoturva-alan erikoistutkija Kimmo Halusen mukaan kyberturvallisuuden oman "rokotusohjelman" toteuttaminen edellyttää aivan ensimmäisenä ongelman tunnistamista.

Kyberturvallisuutta rokotusohjelman keinoin

​Kyberturvallisuudesta puhutaan tänä päivänä hyvin paljon erilaisin sodan ja rikollisuuden termein. Vaikka uhkakuvat ovatkin todellisia, hyödyllisempää kuin uhkakuvien maalailu on ongelman torjuntaan tähtäävien ratkaisujen etsiminen ja käyttöönotto. Mallia voisi ottaa kansanterveydellistä etua tuoneesta rokotusohjelmasta.

– Olemme nähneet valtavia parannuksia kansanterveydessä – ihmisen elinikä on pidentynyt ja uusia parannuskeinoja vakaviin sairauksiin on löydetty. Samanlaista ratkaisukeskeistä ajattelumallia tulisi tuoda nykyistä enemmän myös kyberturvallisuuskeskusteluun, sanoo VTT:n tietoturva-alan erikoistutkija Kimmo Halunen.

Erikoistutkijan mukaan kyberturvallisuuden oman ”rokotusohjelman” toteuttaminen edellyttää ensinnäkin ongelman tunnistamista. Keitä vastaan kyberrikolliset kohdistavat hyökkäyksiään ja mitkä kohteet ovat esimerkiksi valtiollisen vakoilun kohteena? Vasta sitten, kun tiedämme tämän, voidaan ongelmiin löytää ratkaisuja.

On huolehdittava myös siitä, että saadaan riittävä kattavuus ohjelmalle. Miten saadaan kannustettua yrityksiä panostamaan kyberturvallisuuteen ja vähentämään organisaation kyberturvallisuutta uhkaavaa riskikäyttäytymistä? Riskikäyttäytymistä voi Halusen mukaan yksinkertaisimmillaan olla toimiston oven lukitsematta jättäminen työpäivän päätteeksi.

Kannustamalla kyberriskit kuriin

Yrityksiä voidaan tulevaisuudessa kannustaa kyberturvallisuuteen esimerkiksi myöntämällä erilaisia sertifikaatteja sellaisille organisaatioille, joiden verkkoturvallisuus on toivotulla tasolla.

Tähän suuntaan ollaan jo menossa Suomessakin. Esimerkiksi FINSC (Finnish Cyber Security Sertificate) on yhteistyössä elinkeinoelämän ja julkishallinnon kanssa kehittänyt sertifiointijärjestelmän, jonka tavoitteena on lisätä yhteiskunnan toimijoiden kyberosaamista ja -ymmärrystä ja samalla auttaa organisaatioita hallitsemaan omaa turvallisuuttaan.

Myös EU ilmaisi viime kesäkuussa tehostavansa kyberuhkien sietokykyään perustamalla EU:n laajuisen sertifiointikehyksen tieto- ja viestintätekniikan tuotteille, palveluille ja prosesseille. Järjestelmien perusteella annetut sertifikaatit ovat aikanaan voimassa kaikissa EU-maissa.

Rajat verkkomaailmaan?

Mikäli porkkanasta ei ole apua, voisi keppi tulla tarpeeseen. Tulevaisuudessa voikin olla tarpeellista päättäjien taholta säädellä minkälaisia tietoturvavaatimuksia ja toteutuksia tulisi organisaatioilla olla. Tämän suuntaista mallia nykyisessä verkottuneessa IoT-maailmassa peräänkuuluttaa myös yhdysvaltalainen tietoturva-asiantuntija Bruce Schneier.

– Ei ole helppoa löytää sopivaa sääntelyä, mutta siksi on alan asiantuntijoita ja asiasta käydään jatkuvaa dialogia. Meidän tulee pohtia, minkälaista sääntelyä mahdollisesti tarvitsemme, jotta ”rokotukset” saadaan kaikille ja parannuskeinot laajasti käyttöön.

Halunen muistuttaa, että organisaatioiden tietoturvan perusasioissa on edelleen paljon parannettavaa. Esimerkiksi päivityksistä, varmuuskopioinneista ja salasanoista ei edelleenkään pidetä riittävästi huolta.

– Organisaatioiden tulisi nykyistä enemmän huolehtia myös riskitasostaan – katsomalla esimerkiksi, ettei jää organisaatiosta poistuvien henkilöiden käyttöön käyttäjätilejä.

VTT Impulssi/kevät 2019

Teksti: Nina Garlo-Melkas

Kuvat: Timo Porthan

JAA