Kyberturvaharjoittelu kannattaa

Jaa julkaisu

Paltan viime viikolla järjestämässä Kyberturvallisuus palveluliiketoiminnan elinehtona -jäsenseminaarissa keskusteltiin kyberturvan ajankohtaisimmista uutisista sekä tavoista ja käytännön esimerkeistä, joilla organisaatioissa voidaan tietoturvaa edistää.

Puheenvuorot kuultiin niin WithSecuren tutkimusjohtaja Mikko Hyppöseltä, huoltovarmuusorganisaation digipoolin erityisasiantuntija Tero Oittiselta, Hoxhuntin Head of Training Content Arto Voipiolta sekä Elisan tietoturvajohtaja Teemu Mäkelältä. Tilaisuuden moderaattorina toimi Paltan johtava asiantuntija Jari Konttinen.

Jokainen puhujista korosti etenkin harjoittelun ja ennakoinnin merkitystä. Korona ja Venäjän hyökkäyssota ovat myös entisestään muuttaneet pelikenttää, kun esimerkiksi etäpalvelut ovat pandemian myötä yleistyneet ja Venäjällä toimivat kyberrikolliset kohdistavat iskujaan etenkin Venäjän etuja tukeviin hyökkäyksiin.

Rikos tapahtuu yhä useammin digimaailmassa

– Internet deletoi maantieteen – myös verkkorikoksissa.

Näin totesi WithSecuren Hyppönen seminaarissa. Rikollinen voi hyökätä myös Suomeen mistä päin maailmaa tahansa, ja yhä useammin rikokset tapahtuvat kyberavaruudessa.

Esimerkiksi pankkiryöstöjä ei ole tehty 12 vuoteen Suomessa konttorissa, vaan verkon kautta, Hyppönen havainnollisti. Hänen mukaansa joudummekin nykyään yhä todennäköisemmin verkkorikoksen uhriksi, kun vertaamme tilannetta fyysisesti paikan päällä tapahtuviin rikoksiin. Verkkorikollisuuden yleisyyttä ei kuitenkaan vielä aivan ymmärretä, koska kansalaiset ilmoittavat fyysisessä maailmassa tapahtuvat rikokset helpommin poliisille.

Tilanne ei kuitenkaan ole niin paha, kuin mitä voisi luulla.

– Kyberhyökkäyksiä on Suomessa pysäytetty merkittävästi enemmän, kuin päästetty läpi. Epäonnistumiset vain ovat todella näkyviä, ja onnistumiset näkymättömiä, Hyppönen sanoi.

Hänen mukaansa kyberturvamme taso on Suomessa parempi kuin koskaan. Tämä johtuu muun muassa siitä, että kyberturvatuotteet pohjautuvat nykyään tavalla tai toisella koneoppimiseen. Turvajärjestelmät toimivat koneiden nopeudella, ja rikolliset ihmisten nopeudella – ainakin vielä.

– On ihme, elleivät vuoden sisään myös verkkorikolliset siirry koneoppimiseen. Ainoa, mikä voi pysäyttää ‘pahan tekoälyn’ on varmaankin ‘hyvä tekoäly’, ja siksi sitä kannattaa kehittää, Hyppönen sanoi.

Verkkohuijausta voi olla vaikea tunnistaa – kuka vain voi haksahtaa

Verkkohuijauksia ei ole lainkaan niin helppo tunnistaa, kuin mitä voisi kuvitella, Hyppönen korosti esityksessään. Esimerkiksi työntekijöihin suunnatut niin sanotut toimitusjohtajahuijaukset voivat olla nykyään hyvinkin edistyneitä.

Yksi keskeinen huomioitava tekijä on toimitusketjujen turvallisuus, sanoi puolestaan huoltovarmuusorganisaation digipoolin erityisasiantuntija Tero Oittinen.

– Hyökkäys voi kohdistua myös alihankintaketjuun, ja omat toimitusketjut ja niiden mahdolliset haavoittuvuudet on tärkeää pyrkiä tunnistamaan, Oittinen totesi.

Lisäksi haavoittuvuuksia etsitään tyypillisesti etäkäyttöpalveluista, jotka ovat pandemian myötä yleistyneet, kertoi Hyppönen.

Harjoittele, harjoittele, harjoittele

Jotta uhkia ja huijauksia voidaan mahdollisimman hyvin estää, kannattaa harjoitella etukäteen.

Huoltovarmuuskriittisissä organisaatioissa harjoitellaan Suomessa kansallisella tasolla, toimialojen ja organisaatioiden tasolla sekä kriittisten toimitusketjujen osalta, kertoi Tero Oittinen. Myös kansainvälistä yhteistyötä tehdään. Oittinen vinkkasi yrityksille ja muille organisaatioille myös Digitaalinen turvallisuus 2030 -ohjelmasta, josta voidaan rahoittaa yhteiskunnan digitaalista turvallisuutta parantavia projekteja vuosien 2021−2026 aikana.

Yhden henkilöstöä osallistavan tavan harjoitella on luonut suomalaisyritys Hoxhunt. Hoxhunt kerää käyttäjiltään ilmoituksia huijausyrityksistä ja tekee niiden pohjalta harjoituksia ja koulutuksia asiakkailleen. Yritys kouluttaa käyttäjiä tällä hetkellä 129 maassa ja järjestää harjoituksia 31 eri kielellä.

Hoxhuntin Head of Training Content Arto Voipion mukaan harjoittelussa tärkeää on, ettei työntekijöitä syyllistetä virheistä, vaan mahdollistetaan oppiminen ja kannustetaan siihen positiivisella otteella.

Hoxhuntin toimintalogiikka pohjautuu jatkuvaan ja säännölliseen harjoitteluun, mikä tuo tutkitusti myös tuloksia. Yritys parantaa esimerkiksi asiakkaansa Elisan työntekijöiden valmiuksia lähettämällä heille aitoja hyökkäyksiä muistuttavia huijausviestejä koulutusmielessä. Yhteensä lähes 140 tehdyn vastaavan harjoituksen jälkeen prosenttiosuus työntekijöistä, jotka haksahtavat harjoitushuijauksiin, on romahtanut murto-osaan entisestä.

– Usein sanotaan, että ihminen on tietoturvan heikoin lenkki. Voitaisiin jopa sanoa, että ihminen on tietoturvan ainoa lenkki. Kun oikea toiminta mahdollistetaan ja tietoisuutta lisätään, ihmiset voivat olla tietoturvan vahvin lenkki, Elisan tietoturvajohtaja Teemu Mäkelä totesi.

Tutustu tuleviin tapahtumiimme

Paltan tulevat kaikille avoimet tilaisuudet, jäsentilaisuudet ja koulutukset löydät tapahtumakalenteristamme.

Tapahtumakalenteriin

Cookie	Kuvaus
__cfduid	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
_GRECAPTCHA	Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checbox-analytics	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-necessary	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
pum-17783
unique_id	Twitch TV sets this cookie for its online service used for watching or broadcasting live or prerecorded videos across topics such as cooking, travel, art, sports, and video games.
viewed_cookie_policy	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Kuvaus
_ga	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_ga_*	Google Analytics sets this cookie to store and count page views.
_gid	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.

Cookie	Kesto	Kuvaus
_dc_gtm_UA-71263179-1	1 minuutti	No description
ahoy_unique_27176577		No description
ahoy_visit		No description
ahoy_visitor		No description
CONSENT	16 vuotta, 10 kuukautta	No description
cookielawinfo-checkbox-suorituskyky	1 year	Description is currently not available.
VISITOR_PRIVACY_METADATA	6 months	Description is currently not available.

Cookie	Kesto	Kuvaus
POWR_PRODUCTION	session	This cookie is set by the provider Powr. The cookie is used for pop-up advertisement content on the website. The cookie is set up by the POWr Social Feed.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Kyberturvaharjoittelu kannattaa

Rikos tapahtuu yhä useammin digimaailmassa

Verkkohuijausta voi olla vaikea tunnistaa – kuka vain voi haksahtaa

Harjoittele, harjoittele, harjoittele

Tutustu tuleviin tapahtumiimme

Seuraa meitä

Palvelualojen työnantajat PALTA ry