Tekoälyavusteiset tietoturvahyökkäykset, deepfake-huijaukset ja CrowdStrike-tapaus ovat puhututtaneet paljon kyberturvallisuuden saralla. Miten muuttuvat ja kehittyvät teknologiat vaikuttavat tietoturvakenttään ja mihin tietoturvassa kannattaa keskittyä? Tietoturvakentän kokenut konkari ja lehtori Pia Satopää valottaa kyberturvakentän tilannetta.
”Niin suojautumisessa kuin hyökkäyksissä käytettävät teknologiat kehittyvät niin suurella nopeudella, että uusinkin tieto saattaa vanhentua vauhdilla. Erityisen huolestuttavia ovat tällä hetkellä tilanteet, joissa yhden palveluntarjoajan haavoittuvuus voi pahimmillaan vaikuttaa laajasti jopa yhteiskunnan toimijoihin”, aloittaa Pia Satopää, Turun ammattikorkeakoulun kyberturvallisuuden lehtori.
Tällaisia uhkia kutsutaan ekosysteemitason uhiksi. Ekosysteemitason uhalla viitataan laajempaan, kokonaisvaltaiseen vaikutukseen, joka kohdistuu koko digitaaliseen infrastruktuuriin ja eri toimijoiden verkostoihin – aina terveydestä ja turvallisuudesta sähköverkkoon ja puhtaaseen veteen asti.
Hyökkääjille riittää yksi onnistuminen, mutta puolustuksen täytyy onnistua joka kerta.
Oiva, ja pelottava, esimerkki tällaisesta on vuonna 2024 sattunut CrowdStrike-tapaus, jossa kyberturvallisuusyrityksen ohjelmistoon ladattiin viallinen päivitys, jonka lopputulemana arviolta 8,5 miljoonaa ohjelmistoa kaatui. Katkos häiritsi muun muassa sairaaloiden ja lentokenttien toimintaa.
”Tällaiset uhat saavat miettimään, onko meillä riittävä ymmärrys eri toimijoiden ja systeemien välisistä riippuvuuksista ja niiden hallinnasta. Organisaatioissa olisikin syytä pohtia, onko niillä kyky tunnistaa riippuvuussuhteita esimerkiksi toimitusketjuista. Toivoisin tulevaisuudessa näkeväni kyberturvan saralla yrityksiltä enemmän koko toimitusketjujen hallintaa ja uhkalähtöistä riskienhallintaa pistemäisen riskienhallinnan sijaan”, Satopää sanoo.
NIS2-direktiivi ottaa laajasti kantaa juuri tähän. Direktiivi asettaakin toimijoille uuden minimitason kyberturvallisuusriskien vastuuseen alihankkijoita myöten ja lisää raportointivelvoitteita. Lisäksi yritysten täytyy kehittää perustason kyberhygieniakäytäntöjä ja panostaa kyberturvallisuuskoulutukseen.
Tietoturvan tulisi olla osana jokaista prosessia
Satopäällä on huomattavaa kokemusta tietoturvan saralta jo useammalta vuosikymmeneltä. Hän työskenteli Puolustusvoimilla useammassa tietoturvapestissä, viimeisimpänä tietoturvajohtajana. Tietoturvajohtajan pestistä hän luopui, kun Turun ammattikorkeakoulusta otettiin yhteyttä ja kysyttiin, olisiko hän kiinnostunut lähtemään rakentamaan kyberturvallisuuden ylempää korkeakoulututkinto-ohjelmaa – ja sillä tiellä hän edelleen on.
”Usein henkilöstölle puhutaan monimutkaisesti tietoturvan teknisistä kikkuloista, kun pitäisi selkeästi kertoa, millainen rooli jokaisella työntekijällä on organisaation tietoturvaketjussa”, Satopää selittää.
Tulevaisuuden kyberammattilaisten kouluttamisessa Satopää näkee tärkeäksi sen, että he pystyisivät näkemään tilannekuvan laajemmin ja muodostamaan kokonaisvaltaisen käsityksen tietoturvasta organisaation eri toiminnoissa.
”Kenenkään kapasiteetti ei riitä jokaisen uusimman teknisen kehitysaskeleen seurantaan. Voimme tehdä erilaisia suojautumis-, varautumis- ja jatkuvuussuunnitelmia, mutta ne voivat hapertua käsiin ilman säännöllistä harjoittelua ja testaamista. Kyber- ja tietoturvan haaste on päästä pois omasta siilostaan niin, että ne olisivat osa jokaista projektia ja prosessia päivittäisessä operatiivisessa toiminnassa. Hyökkääjille riittää yksi onnistuminen, mutta puolustuksen täytyy onnistua joka kerta.”
Satopää on huolissaan geopoliittisesta tilanteesta ja uhista, jotka nousevat, kun hyökkäyksillä pyritään vaikuttamaan valtioiden kriittiseen infrastruktuuriin. Saatavilla on jatkuvasti parempia deepfake-väärennöksiä, joilla ihmisiä manipuloidaan, eikä niiden tekeminenkään enää ole kauhean vaikeaa – ja niillä voidaan aiheuttaa epävakautta turvallisuustilanteeseen sekä vaikuttaa suoraan politiikkaan.
”Olisi äärimmäisen tärkeää saada aikaan yhä vahvempaa yhteistyötä eri tahojen välillä. Olemme saaneet esimerkiksi Ukrainasta valtavasti oppeja. Tarvitsemme kuitenkin lisää tiedonvaihtoa valtiollisten tahojen ja yksityisen sektorin välillä, niin kansallisesti kuin kansainvälisestikin. Tämän eteen on tehty paljon ja pitkään töitä.”
”Ihminen on tietoturvan ainoa lenkki”
Satopää on vakaa ihmiskeskeisen tietoturvan puolestapuhuja. Teknologia kehittyy ja samalla teknisten suojausten kautta on yhä vaikeampaa päästä kohteeseen käsiksi. Siksi yksi tehokkaimmista tavoista hyökätä organisaatioon on ihmisen kautta. Meidän tulisi keskittyä siihen, miten työntekijöitä koulutetaan kyberturvan saralla.
Tekoälyn Satopää näkee erinomaisena työkaluna turvallisuusuhkien tunnistamisessa ja torjunnassa, sillä se jaksaa väsymättä analysoida poikkeamia. Hän haaveilee myös tekoälyn käytöstä uusien kyberammattilaisten koulutuksessa, jossa tekoälyllä avustettu koulutusohjelma soveltaisi juuri tällä hetkellä pinnalla olevia asioita. Mutta millaisin neuvoin hän varustaisi meitä jokaista tietoturvan saralla?
”Tietoturvasta iso osa on maalaisjärkeä: on tärkeää pysähtyä hetkeksi miettimään asioita sekä on uskallettava käyttää lähdekritiikkiä ja kyseenalaistaa. Tietoturvan suurin resurssi on ihmiset: jokainen työntekijä on sensori, joka tarkastelee ympäristöä, tätä resurssia on osattava hyödyntää. Kuten eräs opiskelijani sanoi, ihminen on ainoa lenkki tietoturvassa. Ihminen on jokaisessa välissä, oli kyseessä sitten ohjelmisto tai laite – joten ihmisen tulisi aina olla tietoturvan keskiössä.”
Voiko tekoäly paikata kyberturvallisuuden osaajapulaa? Entä miten tekoäly auttaa deepfake-huijausten torjunnassa? Lataa Teknologiatrendit 2025 -raportti, niin saat vastauksen näihin ja moniin muihin kysymyksiin!
