DNA:n ja Tivin palkittu Kyberrosvot-podcast on saanut tänä keväänä jatkoa. Uusimmissa jaksoissa on paneuduttu erilaisiin kyberrikoksiin aina kriittiseen infrastruktuuriin kohdistuneista hyökkäyksistä deep fake -huijauksiin asti. Kokosimme tärkeimmät neuvot kyberturvan parantamiseksi.
Tekoäly avaa uusia mahdollisuuksia kyberrikollisille, ihminen on erehtyväinen ja tietoturvarikollisuus ammattimaistuu. Niin yritysten kuin yksityishenkilöidenkin tulee olla yhä valppaampia erilaisille uhkille. Kyberrosvot podcastin vakiovieraana toimiva, DNA:lla tietoturvaliiketoiminnasta vastaava Juho Saarinen tiivistää jokaisen jakson lopussa tärkeimmät opit parempaan kyberturvaan. Millaisia vinkkejä uudet jaksot tarjosivat?
Varaudu ja varmista!
Suomessa kriittisen infrastruktuurin, kuten energiantuotannon ja vesihuollon, kyberturvasta huolehditaan hyvin muun muassa Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen ja Huoltovarmuuskeskuksen turvin. Maailmantilanne huomioiden, mitään ei kuitenkaan kannata jättää ainoassakaan yrityksessä sattuman varaan.
Sen vuoksi jokaisella yrityksellä kannattaakin olla varautumissuunnitelma kyberhyökkäysten varalle – sillä mitä kyberuhkiin tulee, täydellistä suojaa ei ole. Varautumissuunnitelma käsittää esimerkiksi haittaohjelmilta suojautumisen, varmuuskopioinnin, harjoittelun sekä tietoturvapäivitykset.
Myös EU:n tasolla on otettu kantaa kriittisten alojen yritysten tietoturvan parantamiseen, ja uusi NIS2 -direktiivin mukainen kansallinen lainsäädäntö astuu voimaan lokakuussa. Aikaisempi, eli ensimmäinen NIS-direktiivi vaatii poikkeuksista ilmoittamista, mutta uudemman version myötä yritysten täytyy huolehtia myös tietoturvan käytännöistä. NIS2 asettaakin toimijoille uuden minimitason kyberturvallisuusriskien hallintaan, ja lisäksi yrityksien täytyy satsata perustason kyberhygieniakäytäntöihin ja kyberturvallisuuskoulutukseen.
Kyberhyökkäykset kehittyvät teknologian tahdissa
Palvelunestohyökkäykset, kiristyshaittaohjelmat, toimitusketjuhyökkäykset ja toimitusjohtajahuijaukset ovat olleen kyberuhkakentällä arkipäiväisiä jo pitkän aikaa. Teknologian ja erityisesti tekoälyn kehittyessä jatkuvasti ainutkaan yritys ei voi jäädä laakereilleen lepäämään, vaan tietoutta ja puolustusta on kehitettävä jatkuvasti.
Jos toimitusjohtajahuijaukset olivat aikaisemmin kömpelösti kirjoitettuja sähköposteja, nyt ne voivat olla deep fake -teknologialla tehtyjä, jopa reaaliaikaisia videoita. Vaikka kehitys voi kauhistuttaa, sillä on ruusuinenkin puoli: tekoälyavusteinen tietoturva jaksaa valvoa erilaisia poikkeuksia järjestelmissä väsymättä.
Suojauksen kehittyessä valitettavasti myös rikollinen toiminta kehittyy ja ammattimaistuu. Palvelut, kuten CaaS (cybercrime-as-a-service) ja RaaS (ransomware-as-a-service) tuovat jokaiselle mahdollisuuden ostaa kyberrikollisten palveluita vain muutamalla klikkauksella. Yhä useampi organisaatio nostaakin puolustuksen tasoaan esimerkiksi Zero Trust -tietoturva-arkkitehtuurilla tai SOC-tietoturvakeskuksella.
Inhimillisyys on yksi tietoturvan tekijä
Tietoturvauhkat koskevat meistä jokaista, siksi yritysten kannattaakin investoida sen henkilöstön jatkuvaan koulutukseen, sillä suurin tietoturvariski löytyy aina näppäimistön ja tuolin välistä. Uudenlaisten uhkien noustessa vuosittainen tietoturvatunti ei pysty kattamaan koulutuksen tarvetta.
Uhkat ovat jatkuvasti myös vaikeammin tunnistettavissa, joten on todennäköistä, että yhä useampi meistä tulee tekoälyn huijaamaksi – ennemmin tai myöhemmin. Huijatuksi tulleen päällimmäinen tunne on varmasti häpeä. Tämän vuoksi on syytä ottaa katsaus myös omaan organisaatioon ja pohtia, ottaako kulttuuri niin hyvin inhimilliset tuntemukset huomioon, että huijattu uskaltaa ilmoittaa asiasta?
Kyberuhkan osuessa tuulettimeen useat yrityksetkin turvautuvat kilpikonnataktiikkaan ajatellen, että jos emme ikinä puhu tästä, kukaan ei saa tietää. Kasvojen tai pahimmillaan asiakkaidensa luottamuksen menetyksen pelossa yritykset eivät jaa kokemuksiaan kyberrikollisuuden kohteeksi joutumisesta. Mutta voisiko joku toinen yritys väistää tilanteen sinun kokemuksesi avulla?
Kyberturvan keskeisimmät asiat tällä hetkellä
- Vastuu kyberturvasta kasvaa, mitä kriittisempiä palveluita yritys tarjoaa.
- Lainsäädännön tiukentumisella pyritään vastaamaan turvallisuustilanteeseen, ei tekemään kiusaa.
- Kyberrikollisuus ammattimaistuu, siksi puolustajien tulee olla askeleen edellä voroja.
- Avainasemassa suojautumisessa on teknisen tietoturvan kerroksellisuus ja arkkitehtuuri.
- Inhimillisyys tulee muistaa myös kyberturvassa: muista koulutus!
- Varautuminen koskee kaikkia. Ihan kaikkia.
Haluatko kuulla hien pintaan nostavat tositarinat kyberturvallisuusvinkkien takana? Kuuntele kaikki Kyberrosvot-podcastin jaksot täältä!