Kyberturvallisuutta vahvistettava joka tasolla
Suomenlahden merenalaisen infrastruktuurin epäilty sabotaasi ja Suojelupoliisin ohje kotitalouksien reitittimien tarkistamisesta ovat nostaneet kyberturvallisuuden nyt suuren huomion kohteeksi. Ja aivan syystäkin. Kyberympäristön uhkataso on noussut, ja tähän on viime vuodet valmistauduttu myös EU-tasolla.
Juuri tämän vuoden alussa astui voimaan uusi EU-direktiivi kriittisten toimijoiden häiriösietokyvyn vahvistamisesta (CER). Suomessakaan ei kriittistä infrastruktuuria tai toimijoita ole ennestään laissa määritelty. Sitä tehdään nyt osana lain kansallista toimeenpanoa, samoin kuin riskiarvioita ja -strategioita näille kriittisille kohteille ja sektoreille.
Meidän jokaisen arki on entistä tiiviimmin kiinni internetissä. Niin älykellot, puhelimet, televisiot, jääkaapit kuin talojen lämmitykset tai lukituksetkin. Ennusteen mukaan vuonna 2030 internetiin on kytkettynä 30 miljardia laitetta. Tämä tarkoittaa myös uusia riskejä ja haavoittuvuuksia, jotka on pystyttävä torjumaan. Organisaatioihin kohdistuu kyberhyökkäys maailmanlaajuisesti joka 11. sekunti. Yleisimmin kyse on kiristysohjelmista tai palvelunestohyökkäyksistä. Monet organisaatiot ovat joutuneet maksamaan hyökkääjien vaatimia lunnaita. Digihuijaukset ovat rajussa kasvussa: Viime vuonna suomalaiset menettivät poliisin mukaan erilaisissa digihuijauksissa jo yli 30 miljoonaa euroa.
Tällä hetkellä kaikki digilaitteet eivät myöskään ole kyberkestäviä. Olemme Euroopan unionissa tekemässä nyt ensimmäisenä maailmassa sääntöjä internetiin kytkettävien laitteiden kyberturvallisuudesta. Toimin tässä yhtenä neuvottelijana. Uudessa CRA-kyberkestävyyssäädöksessä (Cyber Resilience Act) tullaan määrittämään säännöt internetiin kytkettävien laitteiden kyberturvallisuudesta. Säädöstä tullaan soveltamaan kaikkiin tuotteisiin, jotka on liitetty joko suoraan tai välillisesti verkkoon, esimerkiksi juuri reitittimiin. Jatkossa EU-alueella saa myydä ainoastaan laitteita, jotka täyttävät nämä vaatimukset. Laitteisiin lisätään sähkölaitteista tuttu CE-merkintä.
Samalla laitteiden valmistajalle tulee velvollisuus varmistaa laitteiden kyberturvallisuus niiden koko elinkaaren ajan tarjoamalla tietoturvatukea ja ohjelmistopäivityksiä.
Kasvaneet geopoliittiset jännitteet, sodat ja keskinäiset riippuvuudet lisäävät tarvetta varautua erilaisiin häiriöihin. EU-tasolla on käsitelty kuluneella kaudella iso nippu kyberturvallisuuteen liittyviä lainsäädäntöjä. Digitaalisessa ja yhteen verkottuneessa Euroopassa olemme vain niin vahvoja kuin heikoin lenkki. Siksi kyberturvallisuudesta on huolehdittava joka tasolla.
Kriittisen infrastruktuurin lainsäädännön lisäksi Suomessa on juuri toimeenpano meneillään myös uudesta kyberturvallisuuden NIS2-direktiivistä, joka vahvistaa EU:n ja sen jäsenmaiden kriittisten sektoreiden ja toimijoiden kyberturvallisuutta, riskienhallintaa ja poikkeamista raportointia. Se koskee sekä julkisia että yksityisiä keskeisten palveluiden tarjoajia energian, liikenteen, terveyden ja digitaalisen infrastruktuurin osalta. Vastaava lainsäädäntö on hyväksytty juuri myös EU-instituutiolle.
Sen lisäksi, että valtioille, julkishallinnolle ja yrityksille asetetaan nyt tiukempia vaatimuksia kyberturvallisuuden varmistamiseksi, jokaisen on syytä varautua myös itse. Toimia turvallisesti, myös netissä, ja pitää huolta kotivarasta.
Kannattaa huolehtia ohjelmistopäivityksistä laitteisiin, tehdä vahvat salasanat ja niihin tuplavahvistukset. On myös syytä suhtautua terveen varovaisesti sosiaalisessa mediassa kiertäviin linkkeihin, eikä klikata auki epäilyttävää sisältöä. Yksikään viranomainen ei kysy esimerkiksi salasanoja tai pankkitunnuksia puhelimitse tai sähköpostitse.
Kyberturvallisuus ei ole ainoastaan viranomaisten tai yritysten asia, vaan se koskee meitä kaikkia. Siksi jokaisen on syytä olla valppaana.
Henna Virkkunen (kok / EPP)
Europarlamentaarikko
Kyberturvallisuuden lisäämisessä ongelmaksi muodostuu suojattavien laitteiden ja järjestelmien käytön hankaloituminen.
Vastapainona kyberturvallisuudelle on ihmisten typeryys ja ahneus. Mikään tekninen suojaus ei suojele näiltä ominaisuuksilta.
Kolmas ongelmakohta on se, että kyberturvallisuuden lisääminen lisää yleensä myös viranomaisten oikeuksia. Kuka takaa sen, että viranomaiset ovat tulevaisuudessa kansalaisystävällisiä? Erilaisia takaportteja luomalla varmistetaan se, että myös totalitaariset hallinnot pääsevät käsiksi kansalaisviestintään. Tästä kehityssuunnasta varoittavat monet elokuvat ja kirjat sekä nykyisin myös monet tietotekniikan ammattilaiset. Yksityisyydestä ei kannata luopua saadakseen lisää turvallisuutta.
Ilmoita asiaton viesti
”Säädöstä tullaan soveltamaan kaikkiin tuotteisiin, jotka on liitetty joko suoraan tai välillisesti verkkoon, esimerkiksi juuri reitittimiin.”
Tuota tuota, tämä kuullostaa ongelmalliselta.
Esimerkki: Jos vaikka perustan yrityksen mikä myy käytettyä tietotekniikkaa, ihan vaan normaaliin tapaan yritysten poistaessa käytöstä palvelimia/läppäreitä, että jos ne alustaa tyhjäksi, ajaa diagnostiikat, vaihtaa vialliset osat ja uusii softat, niin usein silloin käytetään maksuttomia ohjelmia, maksullisten nostaessa hinnan uuden tietokoneen arvoikseksi joten se ei ole kannattava bisnes. Ja softat uusitaan juurikin kyberturvallisuussyistä, että niihin saa päivityksiä. Luonnollisestikin kierrätys on kannattavaa, että vähemmän elektroniikkaromua niin.
Tämä tarkoittaa sitä, että CE-merkintä saaminen ei saa maksaa mitään. Ei käytetyn tietokoneen myyjälle, eikä myöskään ohjelmistokehittäjille. Softan hinta kun on 0€.
Toinen esimerkki:
Yli puolet palvelimista toimii niinikään 0€ hintaisilla alustoilla. Olennainen kyberturvallisuuteen vaikuttava asia tietenkin on se palvelimessa toimiva softa, että CE-merkintä edellytys voi helposti aiheuttaa valtavaa vahinkoa väärin muotoiltuna jos nämä myllätään. Ongelmaa ei ole maksullisilla palikoilla että maksaako euron enemmän mutta vaikutus voi olla tieinfra-analogialla se, aivan jokaiselle tielle pystytetään tietulli mikä maksaa euron. Eihän se euro paljoa ole mutta aivan älytön vahinko tuosta tulisi.
Tässä nyt on oikeasti mahdollisuudet munata asia kertaluokkaa pahemmin kuin miten kävi noilla evästeilmoituksilla verkkosivuilla.
CE-merkinnässä toimisi kyllä ilmoitusvelvollisuus kuinka monta vuotta tuotetta ylläpidetään, mm. tietoturvapäivitysten muodossa. En sinänsä vastusta sääntelyä, että asiaa voisi ratkoa myös niin, että ohjelmistoilla voi olla ilmoitusvelvoisuus käytetystä laadunvalvontaprosessista ja edellyttää kireämpiä vaatimuksia siellä missä tarvetta.
Siinä vaiheessa kun tulee byrokratiakuluja tai tarvitsee kolmannen osapuolen akkredointia, se menee ongelmalliseksi ja näitä ei pitäisi edellyttää kuin kriittisemmissä paikoissa.
Tätä voin perustella niin, että suurin osa softasta tehdään yleisesti saatavilla olevilla 0€ hintaisista ohjelmistokomponenteista. Niin kyberturvalliset kuin myös jotkut oksennukset. Siellä kun on vikaa, tätä komponenttia ylläpitävät ohjelmistokehittäjät korjaavat sen. Ongelmat ovat siellä, että tuleeko se korjaus perille kun siinä on joku välikätenä tuotteistamassa.
Ilmoita asiaton viesti
Vielä tuosta blogista, siinä kun mainitaan valmistaja ja myyjä, niin valmistajaan kohdistuva rajaus voisi toimia. Mutta laitteen CE-merkintä sitten, että jos siitä ohjelmistot uusii ja myy uudestaan niin CE-merkintä ei silloin vain merkitse mitään jos siitä ohjelmistot vaihtaa.
Ohjelmistot sitä kyberturvallisuutta tässä kuitenkin tekee, että ongelma tulee mikäli tällaista tuotetta myytäessä tulee jotain hämminkiä. Räätälöityä tietotekniikkaa kuitenkin myydään.
Ilmoita asiaton viesti