EU tiukensi vaatimuksia yritysten tietoturvalta

Hacker working on computer

Suojautuminen kyberhyökkäyksiltä on Euroopan unionin lainsäädännön yksi tärkeimmistä kohteista.

Uusi audioartikkeli pienydinvoimasta

– Tietoturva on meillä isossa luupissa, erään sähköasennusyhtiön IT-asiantuntija määrittelee. Osa haastatelluistamme – tietoturva-alalle tyypillisesti – haluaa pysyä nimettömänä puhuttaessa turva- ja tietoturvakysymyksistä.

Viime vuosien myllerrys, jossa tietotekniset resurssit kasvavat huimasti, asettaa ohjelmistojen käyttäjille jatkuvasti uusia haasteita.

Sekunnin murto-osiin putoava datan päivittymisnopeus suunnitteluohjelmissa mahdollistaa pilveen rakentuvan digitaalisen kaksosen suunnittelun kohteesta.

Datapilvi mahdollistaa myös kattavan datan varmuuskopioinnin kiristäjiä vastaan. Kiristykset, joissa tietokone rikollisesti lukitaan saaliin toivossa, ovat vitsaus, johon tulee varautua vastuullisesti.

”Tietoturva on meillä isossa luupissa.

Kiristysohjelmat kuriin

– Datalla on suuri arvo, korostaa Euroopan parlamentin hollantilainen jäsen Bart Groothuis, uuden IT-ajattelun arkkitehti EU:ssa. Hänen mukaansa suojautuminen kyberhyökkäyksiltä, kuten lukituksen kanssa kiristäjiltä, on lainsäädännön keskeisessä fokuksessa.

– Kiristysohjelmat ja muut kyberuhat ovat liian pitkään uhanneet eurooppalaisia. Meidän oli nyt parannettava yritysten, hallitusten ja yhteiskunnan resilienssiä eli sietokykyä vihamielisiä kyberhyökkäyksiä vastaan, hän sanoo.

Kyberhyökkäykset, joissa uhria kiristetään, eivät kuitenkaan ota laantuakseen. Tekoäly on lisännyt Ransomware-kiristäjien kykyä puhua kieliä. Tietoja uusista iskuista tulee, joten ohjeistamme, mitä tilanteen varalle voi tehdä.

Lisää turvaa verkko- ja tietojärjestelmille

Uusitun NIS-direktiivin tavoitteena on saavuttaa korkeatasoinen verkko- ja tietojärjestelmien turvallisuus EU:n alueella ja eritoten kasvattaa kyberturvallisuuden suojauksen tasoa verkko- ja tietoturvaloukkauksia sekä erilaisia tietoturvariskejä ja -uhkia vastaan.

Näyttääkin siltä, että hyvät ylikansalliset yhtiöt, joilla on laajat resurssit ja ammattitaitoista henkilöstöä, ovat vahvoilla IT-muutoksessa. Siten monet ylikansallisesti sähköalalla toimivat asennus- ja ylläpitoyhtiöt ovat onnellisessa asemassa.

– Meidän tietotekniikkapalvelumme tuotetaan keskitetysti Saksassa. Näin muodoin, jos tarvitsemme joitain ohjelmistoja tai muuta, pyydämme ne Saksasta, Bilfinger Industrial Services Finland oy:n toimitusjohtaja Pekka Karppinen kertoo.

Bilfingerin asennusasiakkaat puolestaan vastaavat Karppisen mukaan omista järjestelmistään.

Direktiivien vaatimuksia tulee miettiä tarkkaan

Euroopan komission huoltovarmuuteen liitetyt direktiivit koskevat kriittisten toimijoiden häiriönsietokykyä. EU:n parlamentti on selkeyttänyt EU:lle ominaista virallista tekstiä eli jargonia.

Kyberturvallisuusdirektiivi NIS2 muokkasikin ja täydensi vuoden 2022 CER-direktiiviä yleistajuisempaan ja käytännönläheisempään suuntaan. NIS2-direktiivi kohdistuu erityisesti sellaisiin palveluntarjoajiin, joiden toiminnan häiriöt voivat vaikuttaa vakavasti kansalaisten turvallisuuteen, talouteen tai yhteiskunnan toimintaan.

Sen lisäksi tulee vielä tämän vuoden aikana yleisiä vaatimuksia täsmentävä päivitys kyberkestävyysasetukseen nimeltään Cyber Resilience Act.

Yleinen näkemys sähköalan yrityksissä kulkee sitä rataa, että EU-direktiivien asettamiin velvoittaviin vaatimuksiin ja myös mahdollisuuksiin pitää tutustua, ja niissä on hyvääkin asiaa.

– Tarkemmin mietitään ja tutustutaan aihepiiriin, mitä se vaatii ja mahdollistaa sekä kuulostelemme asiakaspuolen näkemykset, Aro Systems oy:n toimitusjohtaja Mika Huovinen kommentoi.

Aro Systems tarjoaa muun muassa talotekniikkapalveluita lukuisissa asiakasyritystensä kiinteistökohteissa.

– Tietoturva on meillä sisäisesti tärkeässä roolissa, Huovinen määrittelee.
– Varmasti muutoksia ja kehitystä vielä tulee, hän povaa.

Ohjelmistovalmistajat eivät jätä heitteille

Cyber Resilience Act -säädöksen mukaan laite- ja ohjelmistovalmistajat joutuvat koko tuotteen elinkaaren ajan päivittämään sen tietoturvan. Tämä tarkoittaa sitä, että ohjelmistot eivät entiseen tapaan ”vanhene käsiin”, vaan ohjelmistovalmistaja on laajennetussa vastuussa ja velvollinen huolehtimaan tietoteknisen tuotteensa ajanmukaisuudesta.

Se on erittäin tärkeä muutos verrattuna vanhaan villinä rehottaneeseen tapakulttuuriin tietotekniikassa. Muutos hyödyttää kaikkia kuluttajia, sillä laki velvoittaa käyttöjärjestelmä- ja ohjelmistovalmistajia.

Esimerkiksi Microsoftilla on tapana vain yhtenä päivänä ilmoittaa käyttöjärjestelmiensä tuen vanhenemisesta laatimansa aikataulun mukaan. Yritykselle tämä on tuntuva menoerä, sillä laptop-laitteissa on jokaisessa oma käyttöjärjestelmänsä. Haastattelemamme yritykset kiittävät muutosta.

Euroopan unioni on lainsäädäntötyössään asettanut jäsenmaille suuremmat vaatimukset kyberturvallisuuden valvontaan ja toteutukseen mutta myös yhdenmukaiset sanktiot. Nyt aiempaa useampien tahojen ja sektorien tulee suojautua kyberuhkilta.

Ehdotus kattaa olennaiset sektorit, kuten energian, liikenteen, pankkipalvelut ja terveyspalvelut, mutta myös digitaali-infrastruktuurin ja julkishallinnon, unohtamatta avaruusteknologiaa, jonne sekä data että sähkönsiirto ovat sijoittumassa.

Data pilveen ja sieltä takaisin puhtaalle koneelle

Altistuminen kiristysohjelmahyökkäykselle voi johtua eri syistä:

  • käytettävä laite ei vastaa nykyisiä laatuvaatimuksia.
  • tietokoneen ohjelmistot ja käyttöjärjestelmä ovat vanhentuneet.
  • asennettuja selaimia ja käyttöjärjestelmiä ei enää tueta korjauspäivityksillä.
  • asianmukainen datapilveen perustuva varmuuskopiointi- ja datan palautussuunnitelma puuttuvat tai osaaminen datan pilvikäytöstä on vaillinaista, samoin VPN-palvelut; myös VPN:n heikkoudet ja bottiverkkojen tekemä haavoittuvuuksien nuuskinta ovat nykysin uhkien listalla.
  • käytössä ei ole konkreettista toimintasuunnitelmaa kyberiskuja vastaan, sillä kyberturvallisuuteen kokonaisuutena ei kiinnitetä riittävästi huomiota; säästösyistä saatetaan jopa hankkia ilmaisia suojaustyökaluja, jotka voivat todellisuudessa olla takaportteja aukovia troijalaisia.

Yrityksen datan, jonka arvo keskimäärin on noin 50 000 euroa, reaaliaikainen varmuuskopiointi pilvitallennusratkaisuihin on paras tunnettu tapa minimoida vahingot. Kaiken datan on oltava yhdessä pilvijärjestelmässä.

Jos kiristysohjelma onnistuu salaamaan tiedostot, yhteyden katkaisemisen jälkeen 128-bittisesti kryptattu data tulee pilvitaltiosta uudelleen käyttöön salaamattomana:

  1. Ennen ruudulle ilmestynyttä brutaalia kiristysvaatimusta vahinko on jo tapahtunut. Rauhoita mielesi, tämä ei ole maailmanloppu.
  2. Ota tietokoneet irti tietoverkosta ja sähköverkosta, sillä muuten Windows-käyttöjärjestelmä pyrkii käynnistämään tietokoneen uudelleen. Yhteys kiristäjään katkeaa, eikä se ole päässyt käsiksi kaksoisvarmenteen takana olevaan datan pilvitaltioon.
  3. Varmuuskopioitasi ei palauteta alkuperäiselle työasemalle ja tallennusvälineelle, kun kaikki laitteet ja kiintolevyt on uusittu sekä ajanmukainen käyttöjärjestelmä asennettu uudelle kiintolevylle. Viimeinen vaihe on pilvidatan palauttaminen.
  4. Kirjaudu selaimella kaksoisvahvistetusti pilvipalveluun, tässä esimerkkinä Microsoftin One Drive -sivusto, joka tarjoaa Etsi tiedostoja -valikon alta Hae kaikki -kehotteen. Näytettävien tiedostojen lista tulee esiin ja siinä on kaikki varmuuskopioitu data, jolle annat komennon latautua Windowsiin. 5. Yrityksessä yhden tehtävään sopivan luotettavan henkilön, tai hankitun IT-palvelun, tulee perehtyä kaikkiin edellä kuvattuihin vaiheisiin.

Reijo Holopainen

Maksuton Admicom-webinaari: Määrälaskenta nyt ja tulevaisuudessa