Yhteiskuntamme on riippuvainen erilaisista digitaalisista palveluista: maksamme ostoksemme kaupassa älykellolla, tapaamiset pysyvät muistissa sähköisessä kalenterissa ja olemme yhteydessä muihin sosiaalisen median kautta. Tämän vuoksi kyberturvallisuus koskee aivan jokaista meistä. Teknologialla on haavoittuvuutensa, joita vihamieliset tahot voivat käyttää hyväkseen. Tietoturvasta tuleekin tämän vuoksi huolehtia niin yksilön kuin kansallisen turvallisuuden tasolla.
”Yrityksiä ja yksityishenkilöitä koskevista tietoturvauhkista ei ole mielekästä puhua erikseen, sillä päällekkäisyyksiä on niin paljon”, toteaa Catharina Candolin.
Tekniikan tohtoriksi opiskellut Candolin toimii kyberturvallisuuden erityisasiantuntijana finanssialalla OP Ryhmässä ja on myös SSH Communications Security Oy:n hallituksen jäsen. Hän on aikaisemmin toiminut muun muassa kyberpuolustussektorin johtajana Puolustusvoimissa sekä poliittisena neuvonantajana Naton päämajassa Brysselissä – joten hän tietää, mistä puhuu.
”Kyberhyökkäyksiä tehtailevia tahoja on monia ja niillä on myös erilaisia motiiveja. Hyökkäyksiä voivat tehdä valtiot, joilla on poliittisia, taloudellisia tai sotilaallisia intressejä, rikolliset, jotka ovat rahan perässä tai vaikkapa haktivistit, jotka toimivat jonkin ideologian pohjalta. Hyökkäykset voivat tulla myös oman yrityksen sisäpiiriläiseltä, jolla on pahat mielessä tai sitten häntä voidaan kenties kiristää toimimaan”, Candolin selvittää.
”Mikään yksittäinen ratkaisu ei pysty torjumaan kaikkia mahdollisia uhkia.”
Rikolliset tai muut vihamieliset tahot voivatkin pyrkiä ujuttautumaan yritysten sisään vaikkapa työntekijöiden kautta – tässä on syy, miksi Candolin ei mielellään eriytä yksityishenkilön, yritysten tai valtion tietoturvaa toisistaan. Millaisin keinoin kyberhyökkäyksiä vastaan sitten voi suojautua?
Turvallisuus on palapeli, jossa pienikin aukko voi olla kohtalokas
”Mikään yksittäinen ratkaisu ei pysty torjumaan kaikkia mahdollisia uhkia. Tietoturva kannattaa nähdä ennemminkin palapelinä, jossa erilaisista paloista kootaan toimiva kokonaisuus. Jokaisella palalla on oma tehtävänsä: yksi voi tunnistaa käyttäjän, toinen etsii poikkeavuuksia verkkoliikenteestä, kolmas huolehtii ihmisten koulutuksesta. Mikään osa ei yksinään ole kaiken kattava keino”, hän alleviivaa.
Candolinin mukaan it-johtajien ja yrityspäättäjien olisi tärkeää ymmärtää, että Suomi ei ole mikään lintukoto, mitä tulee vihamieliseen toimintaan kyberavaruudessa. On usein helppoa ajatella, että ikäviä asioita tapahtuu muille ja muualla, ei meille.
”On suorastaan naiivia ajatella, että meidän ei tarvitsisi varautua ja harjoitella kyberuhkien saralla. Minun tarkoitukseni ei ole lietsoa paniikkia tai pelkoa, vaan auttaa ihmisiä olemaan hereillä näiden asioiden suhteen. Kyberuhkia silmällä pitäessä kannattaa olla perillä maailman tilanteesta ja Suomen geopoliittisesta asemasta sekä seurata näiden tilanteiden kehittymistä.”
Candolinin mukaan erityisesti jatkuva harjoittelu on avainasemassa kyberuhkilta suojautumisessa. Silloin organisaatiolla tai muulla toimijalla on selkärangassaan muistijälki, miten vakavassa tilanteessa esimerkiksi toimitaan, viestitään ja mihin viranomaisiin tulee olla yhteydessä. Hänen mukaansa harjoitteluun kannattaa varautua mahdollisimman ilkeällä skenaariolla.
Kyberhyökkäys voidaan rinnastaa aseelliseen hyökkäykseen
Candolin toteaa, että kansallinen kyberturvallisuutemme on melko hyvällä tasolla, mutta ei kuitenkaan täydellinen. Suomi on panostanut pääosin suojautumiseen ja varautumiseen, mutta maanpuolustuksellinen näkökulma on vajavainen. Puolustusvoimat kehittää kyberpuolustuksen suorituskykyjä tiedustelun, vaikuttamisen ja suojautumisen osalta kansallisen kyberturvallisuusstrategian mukaisesti, mutta kansallinen keskustelu siitä, mitä Suomen puolustaminen myös kyberavaruudessa tarkoittaa on käymättä.
Suvereniteetti tarkoittaa ehdottoman ja riippumattoman vallan omaamista jollain maantieteellisellä alueella tai valtaa päättää jostain tietystä asiasta. Jos Suomeen hyökättäisiin aseellisesti, niin Suomella olisi oikeus puolustautua. Tämä onkin Puolustusvoimien tehtävä. Mutta jos Suomeen kohdistuisi laajamittainen kyberhyökkäys esimerkiksi meidän kriittiseen infrastruktuuriimme, joka lamauttaisi tai merkittävästi häiritsisi yhteiskuntamme toimintaa, niin mitä silloin tapahtuu?
”Kansainvälisen oikeuden mukaan laajamittainen kyberhyökkäys voidaan rinnastaa aseelliseen hyökkäykseen, jos se vaikutuksiltaan vastaa aseellista hyökkäystä”, Candolin toteaa.
”Kansainväliset verkostot ja niiden tuki ovat tärkeitä kyberhyökkäyksen sattuessa.”
Ensimmäisenä täytyisi olla kyky attribuoida, eli osoittaa tekijää sormella. Tämä on Candolinin mukaan vaikeaa, mutta ei mahdotonta. Osaamisen lisäksi tähän tarvittaisiin kuitenkin poliittista tahtoa. Toiseksi tarvittaisiin kattavaa ja kansallista tilannekuvaa, jossa yhdistyisivät viranomaisten sekä yksityisen sektorin keräämä tieto.
Kolmanneksi operatiiviset johtosuhteet tulisi olla selvillä: kyberhyökkäyksen keskellä ei todellakaan vasta aleta kasaamaan kybernyrkkiä. Neljänneksi vastatoimien osalta pitäisi olla käsitys siitä, millaisia ne voisivat olla. Käytetäänkö diplomatiaa, taloudellisia sanktioita vai kineettisiä keinoja? Vastatoimet perustuvat paljolti retoriikkaan: se millaista vastausta meiltä odotetaan voi nostaa tai laskea hyökkäyskynnystä.
Myös kansainväliset verkostot ja niiden tuki ovat tärkeitä tällaisen tilanteen sattuessa. Euroopan Unioni ja Nato, ja erityisesti jälkimmäinen, ovat tärkeässä asemassa. Kyberpuolustus on osa Naton kollektiivista puolustusta eli siihen pätee artikla 5. Tämä tarkoittaa muun muassa sitä, että laajamittaisen kyberhyökkäyksen kohdalla jäsenvaltio voisi vedota tähän artiklaan.
Naton 5. artikla on Naton perustamissopimuksen artikla, joka määrittää jäsenvaltioiden velvoitteen puolustaa muita jäsenvaltioita. Sen mukaan aseellinen hyökkäys Euroopassa tai Pohjois-Amerikassa jotakin Naton jäsenvaltiota vastaan katsottaisiin hyökkäykseksi kaikkia liiton jäsenvaltioita vastaan, jolloin jäsenmailla on velvollisuus tukea hyökkäyksen kohteeksi joutunutta liittolaista tai liittolaisia. Kun Suomi on Naton jäsen, tämä artikla sitoo myös meitä.
Globaalit epävarmuudet vaikuttavat kyberuhkiin
Tämänhetkiset globaalit epävarmuudet ja kriisit eivät ole ratkeamassa lyhyellä aikataululla. Venäjän hyökkäys Ukrainaan on kohottanut uhkatilaa, vaikka kyberuhkien tai vaikuttamisen saralla tilanne ei ole ollut niin paha kuin odotettiin.
”Kukaan ei tiedä, kauanko epävarmuus ja kriisit kestävät, joten on varauduttava siihen, että ne kestävät pitkään. Venäjän talous kärsii, jolloin verkkorikollisuudella on hedelmällinen maaperä lisääntyä. Geopoliittisen tilanteen seuraamista ei kannata lopettaa, eikä sen piiristä myöskään kannata unohtaa muita toimijoita, kuten Kiinaa, joka ei lopeta toimiaan vain siksi, että Euroopassa on sota.”
Candolin alleviivaakin, että ei ole vain yksittäistä uhkaa tai muutamia uhkia, joita pitäisi huomioida. Erilaisia toimijoita voivat kohdata erilaiset uhat sen mukaan, mikä niiden toimenkuva on. Jos vaikka yritys tuottaa jotakin kriittistä komponenttia tai tutkii rokotteita, on se kiinnostava erilaisille tahoille.
”Kyberturvallisuus ja sen ylläpitäminen koskettaa aivan jokaista meistä tavalla tai toisella. Kyberuhkia voi ajatella samalla tavalla kuin liikennettä: jos ei ole varuillaan, niin jotakin voi sattua.”
Perinteisemmät tietoturva-arkkitehtuurit nojaavat ajatukseen siitä, että uhka vaanii ulkoverkossa. Lue, miten Zero Trust pyrkii kääntämään ajattelun päälaelleen.
