Tietoturva ja kyberturvallisuus kuumottavat niin yrityspäättäjiä kuin yksityishenkilöitäkin. Samaan aikaan vain harva pystyy määrittelemään, mitä termi kyberturvallisuus pitää sisällään.

Kysyimme määritelmää Timo Majalalta älyliikenteen ja teollisen internetin ratkaisuihin erikoistuneesta Nodeonista. Mikä siis on tietoturvan ja kyberturvallisuuden ero?

Majala korostaa alkuun, ettei varsinaisesti ole kyberturvallisuuden aihepiirin ammattilainen, vaikka “tietoturva ja nykypäivänä myös kyberturvallisuus ovatkin kiinteä osa toimintakenttäämme”.

Sitten hän ryhtyy jäsentämään tietoturvakenttää ammattimaisesti:

– Tietoturva on terminä ollut olemassa aina 70-luvulta, henkilökohtaisten tietokoneiden, lähiverkkojen ja internetin edeltäjien alkuajoista lähtien. Kyberturvallisuus on puolestaan uudempi asia, jota on lanseerattu voimakkaasti viimeisen 5-10 vuoden aikana.

– Ehkäpä yksinkertaisin tapa hahmottaa näiden termien eroa on kohdistaa tietoturvallisuus nimensä mukaisesti tiedon turvaamiseen (esim. yritysten tiedostot, henkilökohtaiset sähköpostit tai pankkitunnukset). Tieto-omaisuuteen kohdistuva uhka voi johtua vaikka heikosta toimiston fyysisestä tilaturvallisuudesta tai heikosta verkkotietoturvasta, joka altistaa tiedon verkkojen kautta tehtäville tietomurroille.

– Kyberturvallisuus kattaa tietoturvallisuuden kentästä nimenomaan verkkojen kautta tehtävät tietomurrot, ei sorkkaraudalla yrityksen tiloihin murtautujaa, joka nappaa lähtiessään tietokoneen kainaloon. Tämän lisäksi kyberturvallisuus liittyy erityisesti myös tietojärjestelmien varassa toimivan infrastruktuurin turvallisuuteen. Hyvinä esimerkkeinä toimivat sähköverkkojen ohjausjärjestelmät, teollisuuslaitosten prosessiautomaatiojärjestelmät ja jatkossa myös esimerkiksi autonomiset ajoneuvot.

”Kyberturvallisuus kattaa verkkojen kautta tehtävät tietomurrot, ei sorkkaraudalla yrityksen tiloihin murtautujaa, joka nappaa lähtiessään tietokoneen kainaloon.”

Jälkimmäinen osuus eli yhteiskunnan kannalta kriittisten järjestelmien turvallisuus ja toimintavarmuus on nimenomaan se alue, jossa keskustelu kyberturvallisuudesta käy kuumimmillaan. Erityistä huomiota on saanut järjestelmissä verkkoon liitettyjen laitteiden määrän kasvava vauhti, joka samalla yhä laajemmin altistaa järjestelmät verkkojen kautta tehtäville murroille. Kun soppaan lisätään vielä jatkuvasti kehittyvä järjestelmien automaatio, jossa niiden toiminta perustuu sensoreiden kautta luettavaan mittaustietoon, ennakoiviin algoritmeihin ja automaattiseen päätöksentekoon, saa järjestelmien toimintakyvyn vaarantaminen ihan uusia ulottuvuuksia.

Nyt puhutaan siis nimenomaan IoT:n eli asioiden internetin tai teollisen internetin nopeasta kehityksestä ja sen aiheuttamista riskeistä. Ajatellaan vaikka tulevaisuuden autonomisia ajoneuvoja. On helppo rakentaa mielessään skenaarioita, joissa tietoverkkoon liitettyjen ajoneuvojen sensorijärjestelmiin tehtävällä haitalla voidaan vaikuttaa ajoneuvon kykyyn tunnistaa ympäristön tarkka tilannekuva ja ohjata ne ”väärille urille”. Seurauksia ei ole mukava miettiä, Majala hahmottelee.

Nodeonin Timo Majala pohtii Blue Wingsissä onko teollinen internet Suomen seuraava kilpailuvaltti?

 

Kuinka organisaatiot voivat varautua kyberturvallisuusriskeihin?

Kyberturvallisuuden käsitteen ympärillä käytävä keskustelu on johtanut myös keskusteluun yritysten ja organisaatioiden kyvystä toimia kyberuhkatilanteissa. Yritysten kyberturvallisuuteen liittyvien toiminnallisten prosessien taso onkin tätä kautta hahmotettu vahvasti osaksi kyberturvallisuuden kenttää. Usein tässä kohtaa asiantuntijat puhuvat myös kokonaisturvallisuudesta.

Yllä oleva osuus kyberturvallisuudesta näkyy myös alan standardoinnissa, jossa kyberturvallisuus nivoutuu kiinteäksi osaksi yritysten laatu- ja johtamisjärjestelmiä. Kuinka yritys reagoi kyberuhkiin, miten yritys voi toiminnallaan ehkäistä niiden syntymistä (riskien hallinta), miten uhkatilanteissa viestitään ja kuinka johtamisjärjestelmät ottavat ne huomioon esimerkiksi yritysten vastuualueiden määrittelyssä?

Kyberturvallisuus voidaan siis liittää organisaation kyvykkyyteen ja valmiuteen toimia oikein uhkatilanteissa, Majala määrittää.


Miten organisaation valmiutta voidaan sitten kehittää?

Yhtenä esimerkkinä Majala mainitsee Jyväskylän Ammattikorkeakoulun IT-instituutti JYVSECTEC:n, jonka kyberturvallisuuden hyökkäyksiä simuloivaa ympäristöä myös Nodeon on ollut mukana kehittämässä. Ympäristöön on mallinnettu internetin perusrakenteet ja siihen voidaan simuloida myös kulloinkin harjoitukseen osallistuvan organisaation toimintaympäristö. Näin kyberturvallisuusharjoituksissa organisaatiot pääsevät kokeilemaan miten toimia, kun palvelunestohyökkäys tai tunkeutuminen kriittiseen järjestelmään tapahtuu.

”Kriisitilanne asettaa ison haasteen viestinnälle, palautteeseen on voitava reagoida julkisesti ja lähes reaaliajassa.”

Ympäristössä voidaan esimerkiksi mallintaa hyökkäys yrityksen julkiseen palveluun tai tuotantolaitokseen, jonka jälkeen simuloidaan asiakkaiden yritykseen kohdistama kritiikki sosiaalisessa mediassa. Näin voidaan testata, miten organisaatio vastaa paineeseen, jonka lehdistö tai kuluttajat luovat.

Kriisitilanne asettaakin usein ison haasteen viestinnälle, palautteeseen on voitava reagoida julkisesti ja lähes reaaliajassa. Silloin vastuiden on oltava kunnossa ja tilannetta harjoiteltu ennakkoon. Kyberturvallisuuden simulointiympäristön avulla organisaatiolle voidaan tarjota konkreettinen kosketuspinta kyberuhkatilanteisiin, ja harjoitella turvallisesti organisaatiossa määriteltyjä toimintamalleja.


Onko tunnelin päässä valoa?

Kyberturvallisuudesta toitottamisella, ns. kyberhypellä, on toki paljon positiivia vaikutuksia. Teollisen internetin nopea kehitys on ollut myös omiaan parantamaan asiaan liittyvää tietoisuutta. Julkinen taho on myös tehnyt hyvää työtä järjestelmätoimittajille asetetuilla kyberturvallisuuteen liittyvillä vaatimuksilla tarjouspyynnöissään.

– Kyberturvallisuus nostaa siis väkisin tasoaan ja siitä tulee pitkässä juoksussa arkipäivää. Kun yrityksissä rakennetaan laatujärjestelmiä, rakennetaan kasvavasti samalla myös kyberturvallisuusjärjestelmiä. Joka tapauksessa alalla riittää vielä paljon kehitettävää, ja teollisen internetin teknologiatoimittajilla onkin suuri vastuu toimitettavien järjestelmien turvallisuudesta ja toimintavarmuudesta.

– Valoa on kuitenkin näkyvissä, siis siellä tunnelin päässä, Majala lopettaa.

 

Nodeonin kotisivut
Nodeonin ite wiki-profiili