Kyberturvallisuusalan esittämästä tietoturvasetelistä hyötyisi koko yhteiskunta

Marraskuu 18, 2020 at 08:34

 

Finnish Information Security Cluster – Kyberala ry ehdotti 11.11.2020, että julkisen sektorin tulisi suunnata nopeasti varoja kriittisten tietojärjestelmien turvallisuuden tarkastamiseen ja parantamiseen. Yhteiskunnan toimijoille myönnettävän tietoturvasetelin arvo olisi 15 000 euroa hakijaorganisaatiota kohden. Nixu antaa täyden tukensa tälle yhteiskunnallisesti tärkeälle hankkeelle.

Kyberturvallisuus on erittäin ajankohtainen aihe, ei ainoastaan koko yhteiskuntaa koskettaneen terveystietojen tietomurron takia, vaan siksi, että yhteiskunta digitalisoituu Korona-pandemian myötä yhä kiihtyvällä vauhdilla ja vaati jatkuvaa panostusta tietoturvan varmistamiseksi kaikilta toimijoilta.

Valitettava tosiseikka on kuitenkin, että pienillä ja keskisuurilla yrityksillä sekä julkisilla organisaatioilla on selkeästi heikommat lähtökohdat investoida riittävästi tietoturvaan kuin suuremmilla toimijoilla, jotka ovat tehneet pitkäjänteistä työtä kyberturvan varmistamiseksi jo vuosien ajan.

Tietoturvaseteli

Nixu antaa täyden tukensa Kyberala ry:n ehdotukselle tietoturvasetelin käyttöönotosta. Sen myötä myös pienemmät organisaatiot, joiden varaan yhteiskuntamme nojaa, saisivat tukea kriittisten tietojärjestelmien tietoturvan varmistamiseksi.

Näin tietoturvasetelin voisi esimerkiksi hyödyntää:

Kyberturvakatselmointi ja toimintasuunnitelma

Kyberturvakatselmoinnilla voidaan varmistaa, että organisaatiossa on otettu oikealla tavalla huomioon niin kyberturvaan liittyvä henkilöstö, prosessit kuin tekniikkakin. Katselmoinnista syntyvä toimintasuunnitelma on selkeä kuvaus nykytilaan liittyvistä riskeistä ja puutteista sekä konkreettinen kuvaus kehityssuosituksista, joiden avulla voidaan nopeasti aloittaa tarvittavat kehitystoimet ja ottaa tilanne hallintaan. Toimintasuunnitelmassa annettavien suositusten tavoitteena on varmistaa organisaation kyvykkyys hallita kyberturvariskejä sekä ottaa kyberturvallisuus paremmin huomioon toiminnassa. Näin parannetaan organisaation kyvykkyyttä ennakoida ja hallita kyberuhkia.  

Järjestelmien tarkastus- ja arviointityö

Organisaatio voisi hyödyntää tietoturvasetelin hankkimalla jatkuvana palveluna julkisen verkon rajapintojen ja sovelluksien automatisoidut tietoturvatarkastukset. Lisäksi asiantuntija suorittaa kattavan tietoturvatarkastuksen, jonka avulla varmistutaan sovellusten ja palvelinalustan tietoturvan tasosta. Asiantuntijan tekemästä tarkastuksesta ja automaattisista tietoturvatarkastuksista toimitetaan raportit, joiden perusteella organisaatio voi ryhtyä liiketoimintaa uhkaavien riskien korjaustoimenpiteisiin.

Henkilökunnan kouluttaminen ja osaamisen kehittäminen

Digitaalisessa ympäristössä vahvimmatkaan tekniset ratkaisut eivät yksin riitä, mikäli työntekijät eivät tiedä tai noudata tietoturvallisia toimintatapoja. On siis tärkeää, että organisaation työntekijöillä on riittävä tietotaito tietoturvallisista toimintatavoista työssä ja vapaa-ajalla. Koulutuksien tavoitteena on lisätä henkilökunnan tietoturvaosaamista ja motivoida noudattamaan tietoturvallisia toimintatapoja. Organisaation tarpeen mukaan räätälöidyt koulutuspaketit voivat sisältää erilaisia elementtejä, kuten esimerkiksi tietoturvaan liittyviä webinaareja ja kalastelusimulaatioita.

Harjoittelutoiminta

Kybertoimintaympäristöön kohdistuvassa harjoituksessa simuloidaan kyberhäiriötilannetta ja testataan sekä harjoitellaan organisaation varautumista ja toimintatapoja. Harjoituksen avulla organisaation roolit ja vastuualueet selkeytyvät, tiimien välinen yhteistyö tiivistyy, sisäinen ja ulkoinen viestintä kehittyvät ja tärkeitä kehityskohteita pystytään tunnistamaan. Tietoturvasetelillä voisi ostaa räätälöidyn harjoituksen, jonka skenaarion ja tavoitteet asiantuntijat sopivat yhdessä organisaation kanssa. Harjoiteltavan skenaarion keskiössä voi olla esimerkiksi tietomurto, haavoittuvuus, tietovuoto tai inhimillinen virhe, josta harjoituspäivän tapahtumat lähtevät liikkeelle.

Tässä vain muutamia esimerkkejä siitä, miten tietoturvasetelin voisi hyödyntää. Kohteen valintaan vaikuttaa organisaation tietoturvan nykytila ja kypsyystaso.

Tietoturvaseteli mahdollistaisi usealle toimijalle tietoturvan ensimmäiset ja samalla kriittiset askeleet kohti turvallista digitalisaation hyödyntämistä. Seteli auttaisi alkuun, mutta panostuksia tulee jatkaa omin investoinnein. Parhaassa tapauksessa setelillä mahdollistetaan toimijan turvallinen digitalisaatio sekä tuodaan tietoturva oikealle vakavuustasolle.