Ennakointi avain kyberturvallisuuteen

”Kun uhat ja riskit tunnistetaan jo järjestelmän kehittämisvaiheessa, voidaan ne ottaa huomioon suunnittelussa, koodatessa ja testatessa”, totesi kyberturvallisuuden uhkamallinnuksen asiantuntija Anne Oikarinen jo kolmattatoista kertaa järjestetyssä Turun AMK:n Tietoturvapäivässä.  

Naistenpäivänä 8.maaliskuuta 2022 järjestetty aamupäivätilaisuus, tänä vuonna nimeltään ”Information Security Day” , järjestettiin tällä kertaa osana TechTurku Week -tapahtumaa. Vajaa satapäinen yleisö osallistui hybriditapahtumaan sekä paikan päällä Vierailukeskus Joessa että etänä. 

ICT-osaamisalueen johtava yliopettaja Jarkko Paavola Turun AMK:sta toivotti alkuun osallistujat parin vuoden tauon jälkeen taas tervetulleiksi ja kertoi lyhyesti käynnissä olevasta 4K - Kokonaisvaltainen kyberturvallisuus kestävälle kasvulle -hankkeesta. Hanke pyrkii kehittämään pk-yritysten kyberturvallisuuden valmiuksia ja osaamista Varsinais-Suomessa. 

Tunnista uhat jo suunnitteluvaiheessa

Anne Oikarinen (Information Security Manager, Futurice ) kertoi kyberturvan uhkamallinnuksesta ja tunnusti olevansa ennaltaehkäisevän tietoturvatyön suuri fani.

– Uhkamallinnuksessa pyritään jo varhaisessa vaiheessa tunnistamaan mitä tietoa tai dataa tulisi turvata, mikä voi mennä vikaan ja mitkä ovat riskit tai uhat. Entä mitä voimme tehdä niiden estämiseksi, tai jos huonosti käy, korjaamiseksi? Kun uhat ja riskit tunnistetaan jo järjestelmän kehittämisvaiheessa, ne voidaan ottaa huomioon suunnittelussa, koodatessa ja testatessa. Näin vältytään turhalta työltä, säästetään aikaa ja resursseja, korostaa Oikarinen.

Oikarisen esityksessä taustakuvina vilahtelevat kissan- ja koiranpennut popularisoivat esitystä mukavasti ja pitivät maallikonkin mielenkiinnon yllä, kun hän kertoo uhkamallinnuksen tekemisen vaiheista käytännön tasolla.

– Ensin valitaan käyttäjätarina (user story), jonka avulla hahmotetaan potentiaalinen uhkatilanne. Se voi olla esimerkiksi evil user story´ jossa mietitään miten tarinan pahis haluaisi hyötyä tilanteesta. Seuraavaksi kootaan tiimi ja määritellään mitä tietoja, dataa tai muuta halutaan suojata, ja keitä hyökkääjät ja vahingontekijät voisivat olla. Hyökkääjän ja hakkerin lisäksi se voi olla myös hyvää tarkoittava talon oma projektipäällikkö, joka tekee vahingossa järjestelmää vahingoittavan virheen. Tämän jälkeen mietitään, mikä kaikki voi mennä pieleen ja miten voimme joko estää, tunnistaa tai vastata mahdolliseen häiriöön.

”Tietoturvaongelman voi aiheuttaa vahingossa myös hyvää tarkoittava oman talon projektipäällikkö."

- Anne Oikarinen - 
 

Varmista nopea päätöksenteko ja viestintä

Meriteollisuuden kyberturvan kanssa työskentelevä Tero Hyppänen (Operational Security Expert, Meyer Turku ) korosti myös esityksessään, miten hyvä ennaltavarautuminen mahdollistaa nopean reagoinnin tietoturvaongelman sattuessa ja lyhentää mahdollisen hyökkääjän peliaikaa tehdä tuhojaan.

– Ongelmatilanteiden päätöksenteko ja viestintä on mietittävä etukäteen niin, että tarvittavat päätökset saadaan tehtyä nopeasti ja sisäinen kommunikaatio ei ole kiinni yhdestä ihmisestä, painottaa Hyppänen. 

Merenkulku digitalisoituu kiihtyvällä vauhdilla

Kim Halavakoski (Director of Cybersecurity, Sofecta Labs ) avasi merenkulun kyberturvauhkia alati kehittyvässä ja digitalisoituvassa maailmassa. Kyberturvallisuus on Halavakosken mukaan merillä seilatessa yhtälainen riski ja uhkatilanne kuin esimerkiksi tulipalo tai sähkökatkot. Alan toimijat myös suhtautuvat siihen nykyään erittäin suurella vakavuudella ja vaatimukset kovenevat kaikille toimitus- ja palveluketjussa mukana oleville.

– Homma ei toimi, jos alihankkijat eivät huolehdi salasanoista, verkkojen segmentoinnista, laitteiden turvallisuudesta ja niin edelleen, hän korostaa.

– Riskejä analysoitaessa on huomioitava myös muut kuin digitaaliset vahingot; henkilöturvallisuus, omaisuusvahingot, liiketoiminnan tappiot, maineen menetys ja niin edelleen, muistuttaa Halavakoski vielä.

Viisaita sanoja näinä epävarmoina aikoina. 

Toim.huom. Venäjän sotilaallinen hyökkäys Ukrainaan on kestänyt juttua kirjoitettaessa 13 päivää. Toimet ovat sisältäneet myös kehittyneitä kyberhyökkäyksiä. Puhujat muistuttivat kyberuhkiin varautumisen merkityksestä kaikkialla.