Tietoturvan rooli kriittisen infrastruktuurin varautumisessa

Digitan ylläpitämät ja operoimat maanlaajuiset radio- ja tv-verkot, ja muut palvelut ovat osa Suomen kriittistä infrastruktuuria. TV- ja erityisesti radiolähetyksillä on alusta alkaen ollut tärkeä rooli yhteiskunnallisen viestinnän tärkeyden lisäksi myös suorassa hätäviestinnässä, esimerkiksi vakavissa yleistä vaaraa aiheuttavissa onnettomuustilanteissa. Yhä edelleen kansalaisten tiedonsaanti varmistetaan yhteiskunnan kriisitilanteessa viimekädessä FM-radioverkon välityksellä. Näistä syistä varautuminen on ollut ja on edelleen merkittävä osa Digitan toiminnan suunnittelua.  

Varautumisen evoluutio: Fyysisestä infrastruktuurista tietoturvaan 

Aikaisemmin varautumissuunnitelmien skenaarioissa keskityttiin enemmän fyysisen infrastruktuurin suojaamiseen ja infraan kohdistuneista ongelmista toipumiseen. Varaosahallinta ja palveluiden palauttaminen vaihtoehtoisin keinoin olivat varautumisen perustaa.  Automaattisen tietojen käsittelyn yleistyminen ja informaatioteknologian kehittyminen ovat viimeistään internetin tulemisen myötä nostaneet tietoturvan yhdeksi keskeisimmistä varautumisen alueista.  

Kyberturvallisuuden uusi aikakausi: Uhkista valmiuteen  

Yritysten verkottuneet palvelut ovat avanneet liiketoimintamahdollisuuksien mukana vihamielisille toimijoille reittejä tunkeutua yrityksen verkon palveluihin ja tietoihin. Yrityksen tai organisaation joutuminen valtiollisten tai pelkästään rikollisten toimijoiden kohteeksi voi tapahtua koska vaan.   Erilaiset botit, nykyään tekoälyavusteisesti, skannaavat opportunistisesti tietoturva-aukkoja verkossa olevista laitteista jatkuvasti. Valtiollisilla toimijoilla puolestaan on, niin halutessaan, mahdollisuus kohdentaa loputon määrä resursseja kohteensa tietoturva-aukkojen etsintään. Tietoturvallisuuden kannalta poikkeusolot ovatkin päällä koko ajan ja siten varautumisen ja tietoturvan pitää olla osa organisaation normaaleja jokapäiväisiä liiketoimintaprosesseja.  

Pilvipalveluiden integraatio ja tietoturvan hallinta 

Internetin myötä kehittyneet, pilvestä tarjottavat, SaaS- ja PaaS-palvelut katsottiin aikaisemmin varautumisen kannalta ongelmallisiksi fyysisten palvelimien sijaitessa usein Suomen rajojen ulkopuolella, ja usein yhteiskunnalle kriittisien palveluiden osalta pilvipalveluiden käyttöä rajoitettiin ja jopa kategorisesti kiellettiin. Ajatusmaailma on pilvipalveluiden osalta onneksi muuttunut tai ainakin muuttumassa. Suomi on myös varautumismielessä yhä selkeämmin osa länttä ja Eurooppaa, jossa pilvipalvelimet yleisesti kuitenkin sijaitsevat. Pilvipalveluiden käyttöä suunniteltaessa on kuitenkin syytä varmistaa, että yritys kykenee toimittamaan palveluitaan pitkäkestoisistakin tietoliikennehäiriöistä huolimatta. Pilvipalvelun tarjoajalla on mahdollisuus keskittää jatkuvasti tietoturvaratkaisuiden suunnitteluun, toteutukseen ja valvontaan monisatakertaisesti verrattuna yksittäiseen yritykseen. Automaattista pilvipalveluiden tietoturvallisuus ei kuitenkaan ole, ja yrityksen vastuulle jääkin valita luotettavat kumppanit ja oikeat palvelut, ja huolehtia turvallisesta konfiguraatiosta.  

Liiketoiminnan palvelut ja niihin liittyvät tekniset ratkaisut tulee alusta alkaen suunnitella tietoturvariskit huomioiden. Organisaation on lähestyttävä tietoturvaongelmia ihmisten, prosessien ja teknologioiden näkökulmista. Tämän kaiken johtamiseen ja hallinnointiin tietoturvan hallintajärjestelmä antaa hyvän raamin, ja valmiit prosessit tietoturvariskien ja -kontrollien hallinnoimiseen ja jatkuvaan parantamiseen. Lisäksi mahdollisuus sertifiointiin helpottaa yritysten välistä toimintaa antamalla todisteen sertifioidun yrityksen luotettavuudesta ja osoittaa, että yritys tunnistaa tietoturvallisuusriskit ja työskentelee määrätietoisesti tietoturvallisuuden kehittämiseksi. Yleisin tietoturvan hallintamalli Euroopassa on ISO 27001, joka on myös Digitassa käytössä.  

Tietoturvan moniulotteisuus: Teknologiasta kulttuuriin  

Tietoturvan hallinta ei kuitenkaan ole ainoastaan teknologiaa tai prosesseja, vaan myös kulttuuria. Yksi suurimmista, ellei suurin tietoturvaloukkaukseen johtaneista syistä on yksittäisen henkilön tunnusten onnistunut kalastelu. Onkin tärkeää, että kaikki työntekijät toimivat tietoturvakäytäntöjen ja -ohjeiden mukaisesti, ja osallistuvat säännöllisesti tietoturvakoulutukseen. 

Myös tietoturvan sääntely on nähtävä keskeisenä osana nykyaikaista tietoturvallisuutta. Viestintäverkkoja ja -palveluita tarjoavia yrityksiä on jo vuosia säädelty palvelun laadun ja saatavuuden vaatimuksia määrittelevillä määräyksillä, joten Euroopan unionin uusi NIS2-direktiivi ei sinänsä tuo merkittäviä uusia vaatimuksia toimialalle. Jatkossa direktiivin piiriin kuuluvat nyt myös muut yhteiskunnan kannalta kriittiset toimijat, kuten energia-, liikenne-, pankki- ja terveydenhuoltoalat. NIS2-direktiivi onkin merkittävä askel kohti yhtenäisempää ja tehokkaampaa tietoturvan hallintaa, joka tulee vahvistamaan yritysten ja yhteiskunnan kyberturvallisuutta ja valmiutta vastata tuleviin uhkiin.  

 

Sami Salmela 
Kirjoittaja on Digitan digitalisaatiojohtaja