Tavoitteena yhteiskuntatasoinen kyberturvallisuuden tilannekuva

Jenni Vartiainen, Public Segment Lead Finland, Cisco

Mikä on sinun organisaatiosi kyberkypsyyden tila, ja mitä kehityskohteita olette tunnistaneet? Huoltovarmuuskeskuksen toimialojen kyberkypsyyden selvitys vuodelta 2022 avaa kehityskohteita ja toimenpide-ehdotuksia mahdollisten riskien tunnistamiseksi, ohessa muutama nosto.

Tilannetietoisuus oman organisaation kyberturvan tilasta

Ne päivät ovat historiaa, jolloin pystyimme kuvaamaan yritysten ja organisaatioiden toimintaympäristöä staattiseksi, jossa työntekijät käyttivät yhtä laitetta yhdessä kiinteässä paikassa. Nyt elämme hybridimaailmassa, jossa hyödynnämme monia laitteita useasta eri paikasta, liittyen useisiin eri verkkoihin. Samaan aikaan digitalisaatiosta on tullut liiketoimintojen elinehto ja tärkeä asiointikanava. Niin toimintamallit kuin ict-järjestelmät ovat nopeassa murroksessa, ja vastuullinen digitalisaatio vaatiikin erityistä huomiota kyberturvallisuuteen.

Huoltovarmuuskeskuksen selvityksestä käy ilmi, että suomalaisten organisaatioiden kyberkypsyys on keskimäärin hyvällä tasolla. Yhä useampi organisaatio tunnistaa kyberuhkatilanteita, mutta uhkatilanteista saatujen tietojen hyödyntäminen jää usein vajaaksi osaamisen, tekijöiden tai ajanpuutteen vuoksi. Maailman johtava tietoturvayritys Cisco on tutkinut, että vain 15 prosenttia organisaatioista maailmanlaajuisesti on kypsällä tasolla käsittelemään hybridimaailman tietoturvauhkia. Näin siitä huolimatta, että useimmat yritykset tietävät, että uhka on todellinen.

 ”Hyvään kypsyystasoon ei sovi tuudittautua, koska uhkatilanne on nouseva.

Näkyvyys, tilannekuva ja reagointimahdollisuudet ovat keskeisessä asemassa”

Kyberturvaltaan kypsimmiksi arvioitujen yritysten toiminnan taustalta havaittiin tässä selvityksessä erilaisten viitekehysten käyttö tai niiden ohjaama johtamismalli. Kokonaisvaltainen ymmärrys oman organisaation tietoturvan ja järjestelmäympäristön tilasta korostuu tämän päivän muuttuneessa kyberympäristössä.

Kolme konkreettista vinkkiä, jolla parantaa kyberturva-asemiaan

Meillä Ciscolla on tietoturvateknologiavalmistajana tärkeä rooli organisaatioiden kyberkypsyyden kasvattamisessa. Autamme asiakkaitamme rakentamaan tietoturva-arkkitehtuurinsa vastaamaan tämän päivän vaatimuksia. Seuraavat kolme nostoa on mielestäni syytä huomioida selvityksestä:

  1. Legacy-järjestelmien suuri osuus on huomioitava riskikuvassa. Tietoturvariski kasvaa vanhojen järjestelmien myötä, sillä vanhentuneet teknologiat ja protokollat voivat tehdä ne alttiimmaksi hyökkäyksille. Onkin tärkeää, että organisaatiot huolehtivat tietojärjestelmiensä päivittämisestä, ylläpidosta ja uusimisesta, jotta ne pysyvät turvallisina, mikä osaltaan vähentää tietoturvariskiä.
  2. Toimitusketjujen hallinta. Selvityksen kaikkia toimialoja yhdistävänä heikkoutena ilmeni kolmansien osapuolten riskienhallinta, joka jäi kyberkypsyyden osa-alueista kaikkein heikoimmaksi. Usein toistuva haaste läpi toimialojen liittyi juuri epäselvyyksiin omien ja toimittajien vastuiden välillä. Toimitusketjujen kautta realisoituvia kyberuhkia on syytä tarkastella kriittisesti, tässä hetkessä erityisesti monimutkaisten toimitusketjujen hallintaa sekä riippuvuuksien kattavaa tunnistamisista. Suosittelen lähestymään toimitusketjujen hallintaa teknisen suojautumisen ymmärryksen ja aktiivisen kolmikantayhteistyön kautta – läpi koko ketjun.
  3. Pistemäiset ratkaisut. Selvityksen löydöksenä oli tarve kyberturvallisuuden pitkän aikavälin liiketoimintalähtöiselle suunnittelulle ja kehittämiselle, edellyttäen liiketoiminnan edistämisen kannalta kokonaisvaltaisia, kestäviä hankintoja. Pistemäiset ratkaisut ehkä ratkaisevat yhden olemassa olevista haasteista ja sellainen saattaa olla kertahankintana halpa, mutta johtaa niin kokonaistaloudellisesti kalliiseen kuin kokonaistilannekuvan kannalta epäsuotuisaan lopputulemaan. Pahimmillaan niukat resurssit valjastetaan aivan vääriin asioihin ja organisaatio menettää kriittisessä tilanteessa reagointikykynsä. Valintoja tehdessä on syytä huolehtia oman ympäristön riittävästä näkyvyydestä, tilannetietoisuudesta sekä ymmärryksestä, mikä on normaali tilanne.

Kestävillä riskienhallinnan käytännöillä organisaatiot pystyvät ylläpitämään hyvää tietoturvatasoa muuttuvassa toimintakentässä, nyt ja tulevaisuudessa.

Suomessa organisaatioille on tarjolla laajat verkostot, joissa vaihtaa parhaita käytäntöjä ja kokemuksia avoimella vuoropuhelulla – muun muassa VAHTI-verkoston työryhmissä (https://dvv.fi/vahti). Meidän kaikkien tavoitteena on hyvä olla yhteiskuntatasoisen kyberturvallisuuden tilannekuvan ylläpito.  

Lähteet:

https://www.huoltovarmuuskeskus.fi/files/29b11d0af56a115126ad490af444f1c4fd7885af/hvk-toimialojen-kyberkypsyyden-selvitys-2022.pdf

https://www.cisco.com/c/dam/m/en_us/products/security/cybersecurity-reports/cybersecurity-readiness-index/2023/cybersecurity-readiness-index-report.pdf

https://www.gartner.com/en/supply-chain/research/supply-chain-top-25

Teksti: Jenni Vartiainen, Public Segment Lead Finland, Cisco