Suomalaisissa yrityksissä ymmärretään hyvin, mistä kyberturvallisuudessa on kyse. Se, miten se koskettaa yritystä itseään, on kuitenkin vielä epäselvempää, sanoo Aalto-yliopiston ja Kaakkois-Suomen ammattikorkeakoulu XAMK:n työelämäprofessori Mikko Kiviharju.
”Se riippuu aika paljon yrityksen koosta. Jos yrityksessä on edes yksi henkilö, joka tekee edes osa-aikaisesti kyberturvallisuutta, se vie jo aika pitkälle”, Kiviharju kertoo Aalto Leaders’ Insightin haastattelussa.
Kiviharju tutkii työssään tekoälyn ja teollisuusautomaation kyberturvallisuutta. Hän myös kouluttaa useissa Aalto EE:n koulutuksissa.
Tärkeintä kyetä tunnistamaan keskeiset asiat, jotka juuri omassa yrityksessä pitää suojata."
Hänen mukaansa yritysten on tärkeintä kyetä tunnistamaan keskeiset asiat, jotka juuri omassa yrityksessä pitää suojata.
”Ovatko ne tietojärjestelmät, asiakastiedot, liiketoimintasuunnitelmat, palvelimien vakaus… Onko siellä jotain oikeasti kriittistä, mitä muu yhteiskunta vahtii ja minkä pitää pysyä pystyssä? Näitäkin toimialoja alkaa olla NIS2-direktiivin vuoksi jonkin verran ja velvoitteita voi olla pienilläkin yrityksillä.”
Kiviharju on kouluttanut turvallisuusammattilaisia muun muassa juuri suojeltavista kohteista, niiden priorisoinnista ja niiden suojaamiseen käytettävästä resursoinnista esimerkiksi Aalto EE:n Turvallisuusjohdon koulutusohjelma TJK:ssa ja Diploma in Cyber Security -ohjelmassa.
Rikolliset tekevät laitonta liiketoimintaa ja valtiot vakoilevat
Kiviharju oli jo lukioikäisenä kiinnostunut tietokoneista ja siitä, miksi asiat toimivat – tai eivät toimi. Se sai hänet aikanaan kiinnostumaan teknologiasta ja turvallisuusalasta.
”Tämä kysymys on aika monien kyberturvallisuuden uhkien juurisyy. Miksi järjestelmä ei toiminutkaan niin kuin piti? Miksi palomuuri ei estänytkään tunkeutujaa, vaikka piti?”
Kybertoimintaympäristössä järjestelmää ei voi pakottaa tekemään jotain, mitä sitä ei ole ohjelmoitu tekemään. Se, että järjestelmä toimii turvattomasti, ei johdu siitä, että ohjelmointi ’murrettaisiin’ vaan siitä, että se on alun perinkin ohjelmoitu jossain kohdassa väärin.
”Minulla on ollut aina tällainen insinöörimäinen lähestymistapa asioihin.”
Ennen Aallon työelämäprofessuuriaan Kiviharju työskenteli parikymmentä vuotta kyberturvallisuuden ja tietoturvallisuuden tekniikoiden parissa Puolustusvoimien tutkimuslaitoksella.
Kaikki, jotka tuntevat Kiinan, ovat mahdollisia vakoilun kohteita – kavereilta pitää oppia, myös heidän yrityssalaisuuksistaan."
Yritysten kannalta tärkeää on ymmärtää, että rikolliset tekevät nykyään verkossa käytännössä laitonta liiketoimintaa. Esimerkiksi lunnashaittaohjelmat ovat lisääntyvä uhka.
”On esimerkiksi hyvin tarkkaan mietittävä omien varakopioiden politiikka: millä tavalla otat kopioita, kuinka hajautetusti, kuinka usein? Kuinka hyvin versioit sen varakopion? Tehdäänkö varakopioiden ottamisen yhteydessä virustarkastusta?”
Valtiot ovat toinen toimija, joka on huomioitava. Esimerkiksi Kiina vakoilee yrityksiä enenevissä määrin.
”Kiinalainen ajattelumalli on ehkä vähän erilainen kuin eurooppalainen. Ei tarvitse välttämättä olla mitenkään huonoissa väleissä Kiinan kanssa vaan kaikki, jotka tuntevat Kiinan, ovat mahdollisia vakoilun kohteita – kavereilta pitää oppia, myös heidän yrityssalaisuuksistaan.”
”Jos aita on edes vähän korkea joka puolelta, se estää jo paljon”
Kiviharjun tutkimuskohteet, kuten esineiden internet ja tekoäly, tuovat monia liiketoimintamahdollisuuksia yrityksille. Niiden avulla monia prosesseja voidaan nopeuttaa ja tehostaa merkittävästi.
Kyberturvallisuudessakin niin puolustus kuin hyökkäys automatisoituvat koko ajan enemmän.
Työyhteisöissä on tärkeää pitää yllä tietoisuutta kyberturvallisuudesta, Mikko Kiviharju muistuttaa. Kuva: Johnny Jussila / Aalto EE
”Ihminen ei kerkeä analysoimaan ja tekemään päätöksiä yhtä nopeasti kuin tekoäly. Varsinkin, jos kyseessä ei ole toiminto, jonka oikein menemisestä täytyy olla lakiteknisesti täysin varma vaan riittää, että pääsee vähän kärryille siitä, mitä vastustaja teki, tekoäly on aika voittamaton.”
Kiviharju kertoo Microsoftin tutkimuksesta, jonka mukaan jopa 99 prosenttia kyberhyökkäyksistä voitaisiin estää perustietoturvalla."
Yksi teknologioiden keskeinen riski on, että organisaatiossa kuka tahansa voi vaarantaa yrityksen turvallisuuden. ”Rikollinen menee usein sieltä, missä aita on matalin. Jos se aita on edes vähän korkea joka puolelta, se estää jo aika paljon.”
Työyhteisöissä onkin tärkeää pitää yllä tietoisuutta kyberturvallisuudesta. Kiviharju kertoo Microsoftin tutkimuksesta, jonka mukaan jopa 99 prosenttia kyberhyökkäyksistä voitaisiin estää perustietoturvalla.
Keskivertoyritys, joka ei toimi kovin kriittisellä alalla eikä hallitse valtionsalaisuuksia, ei yleensä ole kyberhyökkäysten suora kohde pelkästään yrityksen nimen tai asiakastietojensa vuoksi vaan osana isompaa joukkoa.
”Yleensä sellaisessa kohtaa pärjää, jos on pikkuisen parempi kuin muut kyberturvallisuudessa. Suurin osa asioista on sellaisia kuin ihan normaalissakin ympäristössä: esimerkiksi jos jokin näyttää liian hyvältä ollakseen totta, se luultavasti onkin liian hyvää ollakseen totta.”
Kiire ja hierarkkinen organisaatiokulttuuri uhkaavat turvallisuutta
Organisaatioiden pitäisi myös ymmärtää, ettei isoja asioita voi tehdä kiireellä. Monet hyökkäykset pääsevät läpi juuri siksi, kun on kiire – vaikkapa katsoa sähköposti, jossa on pdf-liite.
Jos tilanne ei vaikuta uskottavalta, Kiviharju neuvoo tarkistamaan ja uskaltamaan kyseenalaistaa ennen kuin toimii.
”Pitää voida tarkistaa vaikkapa esihenkilöltä, tuliko toimitusjohtajalta todella tällainen sähköposti ja pyyntö juuri minulle.”
Tämä vaatii luonnollisesti matalaa organisaatiokulttuuria, jossa kysyminen, varmistelu ja kyseenalaistaminen on sallittua.
”Organisaation johdonkin pitää hyväksyä, että kyberturvallisuuden vuoksi tulee kysymyksiä siitä, että halusitko oikeasti tehdä näin.”
Kyberturvallisuuden osaamista tarvitaan koko ajan enemmän
Miksi organisaatioissa täytyy nyt kehittää kyberturvallisuuteen liittyvää osaamista ja ymmärrystä?
Kiviharjun mukaan ensimmäinen syy on se, että kyberturvallisuus tulee myös aloille, joilla sitä ei ennen tarvinnut tehdä, ja laajenee muillakin.
Mielenkiintoinen esimerkki on rahoitusala. Alalla on perinteisestikin ollut tiukat suojausvaatimukset ja se on siinä mielessä edelläkävijä.
Kyberturvallisuuteen liittyvät uhkat kehittyvät koko ajan ja niiden suhteet muuttuvat."
Kritiikkiä on kuitenkin tullut siitä, että ala suojelee omaa bisnestään muttei aina kuluttajaa.
Jotkut petostapaukset ovat osoittaneet, ettei esimerkiksi rahoitus- ja luottokorttijärjestelmien turvallisuudesta ole kuluttajan kannalta huolehdittu riittävästi.
”Luotonantajaa on vaikea huijata mutta luotonkäyttäjää helppo”, Kiviharju summaa.
Toinen keskeinen syy on se, että suojattavien kohteiden kirjo leviää aiempaa laajemmalle. Yritykset joutuvat nyt kouluttamaan uusia henkilöitä ja siirtämään heitä kyberturvallisuuden tehtävien pariin.
Toisaalta kyberturvallisuuteen liittyvät uhkat kehittyvät koko ajan ja niiden suhteet muuttuvat. Niiden ymmärtäminen vaatii uudenlaista osaamista, joten kyberturvallisuuden ammattilaisenkin täytyy jatkuvasti kehittää taitojaan, Kiviharju sanoo.
Mikko Kiviharju, työelämäprofessoriKoulutus: Tekniikan tohtori Aalto-yliopistosta Tutkii kyberturvallisuuden sovelluksia logistiikan ja kriittisen infrastruktuurin alueilla. Tällä hetkellä työssä mietityttää etenkin tekoälyn oman prosessin suojaaminen. ”Tekoäly tekee asioita ikään kuin pimeästi kannen alla: emme pääse näkemään, mitä se tekee. Aika monessa korkean turvallisuuden jutussa se olisi kuitenkin tärkeää.” Haluaisi oppia seuraavaksi lisää tekoälyn eheyssuojauksista kryptologisin menetelmin. Irrottautuu työstään tekemällä puutöitä autotallissa. ”Se on sellaista pikkutarkkaa työtä, mihin joutuu keskittymään.” |