Kyberturva on vahva, mutta johto ei saa nukahtaa

Suomalaisten yritysten tietoturva on vahvemmalla pohjalla kuin koskaan. Samaan aikaan vakavien tapausten määrä kasvaa ja kyberhyökkäykset muuttuvat ovelammiksi. Mikko Hyppösen mukaan juuri tässä ristipaineessa ratkaistaan, miten Suomi pärjää kyberturvan seuraavalla aikakaudella.

Kyberturvallisuuden uhkataso nousi Suomessa vuonna 2022, kun Venäjä aloitti hyökkäyksen Ukrainaan. Sittemmin Traficom ja Suojelupoliisi ovat muistuttaneet, että taso on pysynyt edelleen koholla. Kyberturvallisuuskeskuksen mukaan vakavien tapausten määrä on yli kaksinkertaistunut viime vuoteen verrattuna.

”Suomi ei ole mikään ykköskohde. Toki tänne osuu hyökkäyksiä, joista osa on valtiollisia, toisten takana on patrioottihakkerit, mutta suurimpana uhkana ovat yhä järjestäytyneet kyberrikolliset”, Elisan uusi kyberturvaneuvonantaja Mikko Hyppönen kuvaa.

Rikollisten tärkein motiivi kyberhyökkäyksille on raha

Raha on ylivoimaisesti suurin motiivi hyökkäyksille. Ne eivät useinkaan kohdistu tiettyyn maahan tai toimialaan, vaan rikolliset skannaavat globaaleja järjestelmiä haavoittuvuuksien varalta.

”Suomessa on nähty isoja tapauksia: lunnastroijalaisiskuja, tietovarkauksia ja kiristyksiä. Usein kyse on sattumasta, ei kohdennetusta hyökkäyksestä. Olen kuvannut tätä niin, että joku ampuisi haulikolla nettiin – osumia tulee satunnaisesti, ja joskus kohteeksi joutuu suomalainen organisaatio.”

Pärjäävätkö suomalaiset organisaatiot kyberturvassa?

Vielä kymmenen vuotta sitten saattoi riittää, että työntekijä klikkasi väärää linkkiä, ja työasema saastui. Nykyään selain- ja käyttöjärjestelmäturvallisuus on huomattavasti parempaa, ja arkipäiväiset tartunnat ovat pitkälti historiaa.

Ajantasaiset järjestelmät, laadukkaat laitteet, korkea osaaminen sekä viranomaisten ja operaattoreiden aktiivinen työ tekevät Suomesta vahvan.

”Tiedän, että tämä kuulostaa oudolta, sillä luemme jatkuvasti haittaohjelmista ja tietomurroista. Mutta kun vertaamme Suomea muuhun maailmaan, meillä on hyvä tilanne. Meillä ei ole mitään hävettävää, sillä tekninen turvatasomme on parempi kuin koskaan”, Hyppönen iloitsee.

Hyökkäykset eivät kuitenkaan ole kadonneet, vaan kohteet muuttuvat ja hyökkäyspinta-ala laajenee. Kun tekninen suoja kovenee, hyökkäykset kohdistuvat yhä useammin käyttäjiin esimerkiksi kalastelun tai deepfake-huijausten keinoin.

Tekoäly kiihdyttää kehitystä: haavoittuvuuksia hyödynnetään entistä nopeammin, ja tietojenkalastelu- ja huijausviestit muodostavat jatkuvan, vaikeasti tunnistettavan uhan.

”Tehtävää kyllä riittää, mutta pystymme rakentamaan hyvän pohjan päälle entistä parempia turvajärjestelmiä.”

Luottamus vahvistaa kyberturvaa, mutta ylin johto ei saa nukahtaa

Hyppösen mukaan suomalaisen yrityskentän vahvuus on osaava henkilöstö ja oppiva asenneilmapiiri. Luottamus toisiin on vahva, mutta osaamme myös kyseenalaistaa. ”Tarkistamme aika matalalla kynnyksellä tiedot, jos jokin asia vaikuttaa epäilyttävältä.”

Heikkouksia löytyy erityisesti päivittämättömistä järjestelmistä. ”Jos uusimpien käyttöjärjestelmien suojaaminen on haastavaa, niin vanhentuneiden järjestelmien suojaaminen on täysin mahdotonta”, hän tiivistää.

Kyberturva ei kuitenkaan ole vain tekninen kysymys, eikä vastuun pidä koskaan kaatua yksittäisen työntekijän harteille. ”Tietoturva on ylimmän johdon asia. Jokainen yritys on nykyään ohjelmistoyritys ja johdon vastuulla on varmistaa, että liiketoiminta pyörii turvallisesti.”

Keskisuuret yritykset jäävät usein kyberturvassa väliinputoajiksi

Hyppönen kokee keskikokoisten yritysten olevan tietoturva-asioissa harmillisia väliinputoajia. Suurilla yrityksillä on laajat palvelut ja asiantuntijat, pienimmät pärjäävät kuluttajatuotteilla.

Keskisuurilta yrityksiltä yleensä puuttuu oma tietoturvahenkilö tai -osasto. ”Keskikokoisille yrityksille tulisi tarjota sellaisia palveluita, jotka saa käyttöön helposti ilman erityisiä resursseja.”

Ulkoistaminen voisi olla ratkaisu, mutta se voi tuntua vieraalta

”Moni miettii, voiko tärkeimpiä tietoja antaa muiden käsiin. Se on hassu ajatus, sillä aika harva yritys tekee enää fyysistä vartiointiakaan itse, vaan se on ulkoistettu vartiointiyritykselle. Samalla tavalla luotettu kumppani voi hoitaa myös tietoturvan.”

Tekoäly mullistaa kyberhyökkäykset – ja puolustuksen

Hyppönen näkee tekoälyn seuraavana suurena teknologisena murroksena heti internetin, kännyköiden ja sosiaalisen median jälkeen. ”Jokainen teknologinen vallankumous tuo sekä hyötyjä että haittoja. Tekoälyn kohdalla molemmat ovat suurempia kuin koskaan.”

Tällä hetkellä suurimmat tekoälyhyökkäykset kohdistuvat kuluttajiin. Deepfake-huijaukset, automatisoidut romanssihuijaukset ja generatiiviset haittaohjelmat ovat jo todellisuutta. ”On nähty deepfake-huijauksia, joissa presidentti Stubb muka suosittelee sijoittamaan tiettyyn kryptovaluuttaan. Se on toki tehokas huijaus, mutta ihmiset oppivat nopeasti kyseenalaistamaan näitä.”

”Haittaohjelmissa taas on nähty jo ensimmäisiä esimerkkejä, joissa kielimallit koodaavat ohjelman uudelleen joka kerta, kun se leviää koneesta toiseen. Automatisoidut tekoälyjärjestelmät pystyvät myös löytämään täysin uusia, niin sanottuja nollapäivähaavoittuvuuksia.”

Sama teknologia palvelee myös puolustusta. Tietoturvayhtiöt käyttävät generatiivista tekoälyä suojatakseen käyttäjiä paremmin, esimerkiksi tunnistamaan poikkeavaa verkkoliikennettä.

”Jos talousjohtajan läppäri herää aamuneljältä ja alkaa lähettää dataa Kiinaan, tekoäly huomaa sen. Se ei vielä todista hyökkäystä, mutta kertoo, että asiaa kannattaa tutkia.”

Lunnastroijalaiset ovat tulevaisuuden suurin kyberuhka

Hyppönen arvioi, että tulevaisuuden merkittävin uhka löytyy lunnastroijalaisista. Lunnastroijalaisilla eli ransomwarella tarkoitetaan haittaohjelmia, jotka estävät käyttäjää käyttämästä omia tiedostojaan esimerkiksi salaamalla ne. Hyökkääjät vaativat tyypillisesti lunnaita kryptovaluutassa.

”Valitettavan usein rikos kannattaa verkossa. Se on juuri se asia, mikä meidän pitäisi muuttaa”, Hyppönen sanoo. Samalla hän muistuttaa, että kyse ei ole vain yhdestä uhasta, vaan koko yrityksen toiminnan jatkuvuudesta.

”Ylimmän johdon tulisi suhtautua kyberuhkiin samalla vakavuudella kuin tulipaloihin tai tulviin, joita vastaan otetaan vakuutuksia. Ei ole realistista ajatella, että joku yrittäisi päivästä toiseen polttaa yrityksen tehtaan. Sen sijaan onnistunut lunnastroijalaishyökkäys voi lamauttaa yrityksen yhtä pahasti kuin tulipalo.”

Autamme suojaamaan kriittiset järjestelmät, tiedot ja yhteydet – tutustu Elisan Kyberturvapalveluihin