Kuva Kyberala murroksessa -tilaisuudesta

Kyberala murroksessa – sääntely, uhat ja haavoittuvuudet kasvussa

Kyberturvallisuuden toimittajille, laitteiden ja ohjelmistojen valmistajille sekä yhteiskunnan toiminnan kannalta tärkeille yrityksille on tulossa useita uusia EU-tason tietoturvaa koskevia vaatimuksia, jotka koskevat myös teknologiayrityksiä ja palveluntarjoajia.

Kyberala ry, Teknologiateollisuus ry sekä Liikenne- ja viestintävirasto Traficomin järjestivät 23.1. seminaarin Kyberala murroksessa, jossa avattiin tulevan sääntelyn sisältöä, yrityksille asetettavia vaatimuksia ja velvoitteita sekä neuvottiin, miten sääntelyä voimaantuloon voi valmistautua. Tilaisuus oli suunnattu erityisesti yritysten liiketoiminnasta ja tuotekehityksestä vastaavalle johdolle ja asiantuntijoille. Ennakkoon ilmoittautuneita osallistujia oli yli 1600 henkilöä.

Tilaisuuden keynote-puheenvuoron piti professori Andreas Noack Stralsundin ammattikorkeakoulusta aiheenaan verkkoon kytkettävien langattomien laitteiden haavoittuvuudet.

Hänen mukaansa tulevaisuuden IoT-laitteiden langattomuuden lisääntyminen lisää mahdollisuuksia erilaisille tietoturvaloukkauksille. Monet IoT-laitteet ovat hyvin pieniä, ja niiden on tarkoitus kuluttaa vain vähän energiaa, mm. koska monissa niistä on vain sisäinen virtalähde. Pieni energiankulutus vaatimuksena johtaa kuitenkin usein heikkoon tietoturvan tasoon.

Noack demonstroi videolla, miten erilaisia radioaalloilla toimivia langattomia laitteita voi kontrolloida luvattomasti suhteellisen yksinkertaisilla menetelmillä. Monissa Noackin tutkimustiimin testaamissa laitteissa turvallisuuspuutteet olivat huomattavia; usein ei löytynyt minkäänlaista suojausta.

Toimitusjohtaja Lea Viljanen LAV Securitystä puhui tietoturvasta ja ohjelmistohaavoittuvuuksista käytännössä. Hänen mukaansa viime aikoina on kaapattu mm. Tesloja, verkkosivuista puhumattakaan. Vaikka tiedetään, että ohjelmistojen tietoturvassa on suuria ongelmia, asian korjaamisessa ei Viljasen mukaan ole edistytty riittävällä vauhdilla.

Hänen mukaansa esimerkiksi ohjelmistorajapinnoista löytyy yllättävän paljon tietoturvaongelmia. Rajapinnoista saattaa puuttua alkeellisinkin tunnistautuminen. Esimerkiksi kokonainen käyttäjätietokanta saattaa olla rajapinnan kautta kaikkien halukkaiden ladattavissa.

Integraatiot eri järjestelmien välillä ovat myös usein ongelmallisia, kun ”organisaatiot ostavat eri puolilta asioita ja väliin laitetaan liimakoodia”.

Alihankintaketjut ovat niin ikään haavoittuvaisia. Partnereitakin pitäisi valvoa. Lisäksi pitää miettiä myös henkilökuntaa, joka saattaa haksahtaa esimerkiksi kalasteluviestiin.

– Organisaatio on niin turvallinen kuin alihankintaketjun heikoin lenkki, Viljanen painotti.

Erityisasiantuntija Outi Slant liikenne- ja viestintäministeriöstä kertoi seuraavaksi hallitusohjelmasta ja kansallisen kyberturvallisuutta koskevan sääntelyn kehittämisestä.

"Tieto- ja teknologiapolitiikka on turvallisuuspolitiikkaa"

Hallitusohjelma sisältää runsaasti kirjauksia kyberturvallisuuden parantamiseksi. Suomi on sitoutunut hankkimaan kansainvälisiä tietoturvahyväksyntöjä myöntävän maan aseman ja takaamaan salaustuotteiden hyväksyntätoiminnolle riittävät resurssit. Lisäksi kriittisten toimialojen tietoturvaa parannetaan, kansallinen kyberturvallisuusstrategia uudistetaan ja alan koulutukseen luvataan panostaa.

Kyberala ry:n toimitusjohtaja Peter Sund korosti kommenttipuheenvuorossaan, että suomalaisten pelkäämät asiat liittyvät pitkälti yhteiskunnan toiminnoille kohdistuviin digitaalisiin uhkiin. Tieto- ja teknologiapolitiikka on turvallisuuspolitiikkaa.

– Julkisten varojen käytössä tulisi priorisoida elinkeinoelämän ja tiedonhallintayksikoiden kykyjä hallita digitaalisia riskejä. Lisäksi EU:n digisääntely on toimeenpantava parhaalla mahdollisella tavalla. Kyberturvan eteen tarvitaan ennen kaikkea tekoja, Sund painotti.

Slant kertoi seuraavaksi, mitä tuleva EU:n kyberkestävyyssäädös (CRA, Cyber Resilience Act) merkitsee yrityksille. Hänen mukaansa se parantaa markkinoilla olevien tuotteiden tietoturvaa, tekee vaatimukset läpinäkyviksi ja asettaa velvoitteita haavoittuvuuksien hallinnalle. Vaatimukset koskevat laajasti erilaisia tuotteita.

Kommenttipuheenvuorossa Data Privacy Officer Jussi Leppälä Valmet Oyj:stä totesi, että maailmalla on paljon legacy-järjestelmiä, joiden tietoturva ei ole riittävällä tasolla. Samoin haavoittuvuuksien hallinta tulee olemaan monille toimijoille vaativa rasti. Jos tulevia sääntelyn asettamia velvoitteita ei täytä, tulee sakkoja.

Iltapäivän lopuksi siirryttiin aiheeseen yritysten toimintaympäristö, mitkä ovat muuttuvan liiketoimintaympäristön vaatimukset sääntelylle? Aiheesta alustivat EU-sääntelyn johtaja Jussi Mäkinen Teknologiateollisuus ry:stä sekä johtaja Jukka-Pekka Juutinen Traficomin Kyberturvallisuuskeskuksesta.

Mäkisen mukaan eurooppalaista datataloutta leimaa se, että eurooppalaisten dataa käsitellään lähinnä yhdysvaltalaisissa ja kiinalaisissa sosiaalisen median palveluissa. Euroopassa on kaiken kaikkiaan kehitetty liian vähän skaalautuvia dataa käsitteleviä ratkaisuja, joita on helppo käyttää ja jotka täyttävät lainsäädännön vaatimukset. Sääntelyssä on toimittu sektorikohtaisesti, ja päälle on tehty horisontaalisia isoja säännöksiä. Ja nyt päälle tulee vielä uusia sääntelysuuntia. Lopputulos on Mäkisen mukaan varsin haastava säännösviidakko.

Jukka-Pekka Juutinen totesi, että CRA ulottaa sääntelyn yhä pidemmälle, samalla kun olemassa olevaa sääntelyä päivitetään. Pk-yrityksille tulee olemaan haasteellista kehittää tietoturvaa vähillä resursseilla. Julkishallinnon pitää hänen mukaansa pohtia, miten pk-yritysten tietoturvaa voitaisiin määrätietoisesti tukea. Pienilläkin asioilla voidaan itse asiassa saada paljon aikaan. Perusasiat pitää kuitenkin saada ensin kuntoon.

 

Teksti ja kuva:

Antton Lounasheimo