Korona-ajan valtava digiloikka vaatii samanlaisen hyppäyksen myös kyberturvallisuuden osalta. Täydellistä turvallisuutta ei voida koskaan kybermaailmassa taata, joten yritysten ja organisaatioiden resilienssin on oltava aina riittävällä tasolla, että kyberhyökkäyksen sattuessa siitä kyetään myös selviytymään. Erilaiset huijauskampanjat ja pahantahtoiset kybertoiminnot yleistyvät edelleen ja niistä tulee yhä vaikeammin tunnistettavia, jonka vuoksi henkilöstönkin kybertuvallisuusosaamisen rooli korostuu. Kyberturvallisuuden professori Jarno Limnèll nimeää kolme keskeisintä asiaa yritys- ja organisaatiokentän kyberturvallisuuden osalta ja ne ovat: yhteiskunnan kriittisen infrastruktuurin turvaaminen, yritysten ja yhteisöjen oman kybertuvallisuuskulttuurin kehittäminen ja ylläpito sekä organisaation resilienssi kyberuhkien realisoituessa. – Olin hetki sitten tekemisissä USA:n suuntaan, kun The Washington Post toi esille varsin mielenkiintoisen uutisen. Kyseessä on toki yksittäinen tapahtuma, mutta keskeisempää on sen viesti isommassa kuvassa. Jälleen tuli julkisuuteen asia, miten Israel oli tehnyt kyberhyökkäyksen iranilaista ydinvoimalaa kohtaan. Tämä kertoo kaikkinensa siitä trendistä, joka meillä maailmassa tällä hetkellä vallitsee. Kun ajatellaan valtioiden välisiä poliittisten päämäärien edistämistä ja edun tavoittelua, erilaiset kyberhyökkäykset ja pahantahtoiset kybertoiminnot korostuvat yhä enemmän ulko-, turvallisuus- ja puolustuspolitiikassa, Limnéll toteaa. Hän mainitsee suomalaisen yhteiskunnan kriittisen infrastruktuurin, joka on pääsääntöisesti yksityisen sektorin hallinnassa. – Nämä asiat tulevat yhä voimakkaammin myös poliittisesti koskettamaan meidän yhteiskunnan kriittisen infrastruktuurin toimijoita, koska ne ovat potentiaalisia hyökkäyskohteita, kun puhutaan tämän päivän vihamielisestä valtiollisesta kybervaikuttamisesta. Israelin tekemä hyökkäys iranilaista ydinvoimalaitosta kohtaan toimii tästä erittäin hyvänä esimerkkinä. Toinen tärkeä asia, joka korostuu Limnéllin mukaan jatkuvasti eri keskusteluissa, on pitkään trendinä ollut digitalisoituminen. Ensimmäisen koronavuoden aikana on arvioiden mukaan otettu 3–5 vuoden ylimääräinen digiloikka, jossa piilee hyötyjen lisäksi myös riskejä. – Tämä ei ole tarkoittanut sitä, että olisimme ottaneet samanlaista hyppäystä myös kyberturvallisuuden osalta. Kehoitan kaikkia yrityksiä ja organisaatioita kiinnittämään tähän puoleen entistä suurempaa huomiota. Nyt kun digitalisaation vauhti entisestään kiihtyy, olipa kyseessä etätöiden tekeminen, erilaisten tuotantolaitosten digitalisoituminen tai jotain muuta, turvallisuutta ei saa unohtaa. Suosittelisin mieluummin vaikka hieman hidastamaan kehitysvauhtia, että turvallisuusnäkökulma pysyy varmasti riittävän vahvasti mukana. Ellei tätä turvallisuusnäkökulmaa oteta riittävän vakavasti nyt, se tulee kostautumaan isommin. Organisaation resilienssin on oltava kunnossa – Meillä ei koskaan tulekaan olemaan täydellistä turvallisuutta, vaikka kaikki tekisivät asiat oikein ja viimeisen päälle, syystä tai toisesta ongelmia ja häiriöitä tulee kaikilla yrityksillä ja organisaatiolla, jolloin kysytään organisaation resilienssiä. Tutkimukset alkavat Limnéllin mukaan osoittamaan, että kun yritys tai organisaatio kykenee selviämään jostakin ikävästä tai häiriöllisestä, se voi jopa kasvattaa luottamusta tätä kyseistä organisaatiota kohtaan. – Varsinkin kun puhutaan nopeasta teknologian kehittymisestä, ja enemmän siitä, miten kybermaailmassa on yhä ammattitaitoisempia toimijoita, jotka toimivat ikävillä motivaatioilla, niin näitä ongelmatilanteita tulee ihan kaikille. Iso tärkeä kysymys tässä on se, että nyt pitää kysyä itseltään, miten hyvin on varautunut siihen tilanteeseen, kun jotain ikävää tapahtuu, kun se kuitenkin tapahtuu. Varautumisessa ja suunnittelussa pitää ottaa yhä paremmin huomioon, että mikä on se viestinnällinen toimintatapa, kun jotain ikävämpää tapahtuu. Henkilöstön kyberturvallisuusosaamisella on keskeinen rooli – Henkilöstön tietotaidon lisääminen on yleensä helpoin ja kustannustehokkain tapa suojautua kyberuhkilta, jonka tehdyt tutkimuksetkin osoittavat. Viimeisimpien tutkimusten mukaan, yritysten itsensä mielestä merkittävin este kyberturvallisuuden tekemiselle ja toteuttamiselle on henkilöstön tietotaito sekä asenne, joka pitää osata huomioida. Jokaiseen riskinhallintaa liittyy Limnéllin mukaan se, että ensin arvioidaan mitä tässä ollaan turvaamassa ja minkälaisia uhkia vastaan, jonka jälkeen on määriteltävä se turvallisuuden taso, mikä halutaan saavuttaa ja pohdittava miten se on mahdollista saavuttaa. – Jos ajatellaan organisaatiota, joka toimii pääsääntöisesti kyberrikollisia vastaan, perusasioiden kuntoon laittamisella pääsee jo hyvin pitkälle, koska kyberrikolliset etsivät pääsääntöisesti helppoja kohteita. Mutta jos hyökkääjinä ovat valtiolliset toimijat, on kyberturvallisuuden tason ja havaintokyvyn oltava hyvinkin korkealla tasolla, esim. ydinvoimaloiden osalta. Jokaisen tulee itse määritellä, mitä turvaa, mitä uhkaa ja uhkia vastaan sekä millaista turvallisuuden tasoa halutaan toteuttaa. Muutokseen päästään joko kriisin tai johtajuuden kautta – Kärjistäen voisin sanoa, että asiat muuttuvat yleensä kahdella eri tavalla, joko kriisin tai johtajuuden kautta. Jos yrityksessä ei kukaan ota tätä selkeästi tehtäväkseen, velvoita varautumisen kehittämistä, harjoituta ihmisiä, huolehdi että perusasiat laitetaan kuntoon, silloin jäljelle jää kriisi. Kuten ollaan julkisuudessakin nähty, jos tietoturvaan ja kyberturvallisuuteen ei suhtauduta vakavasti, silloin se voi pahimmillaan tarkoittaa yrityksen konkurssia. Tällöin kriisi opettaa ja herättää. Toki mukavampi tapa olisi se, että tämä muutos tapahtuisi johtajuuden kautta. Olen huomannut Vastaamo-tapauksen jälkeen, että se on ollut eräänlainen herätys monille yrityksille, että jos noillekin voi käydä näin ikävästi, miten meillä on nämä asiat hoidettu. Näin kehittyminen tapahtuu kriisin kautta, Limnéll toteaa. Digitaalinen yhteiskunta on eri tavalla haavoittuva kuin sitä edeltänyt yhteiskunta – Kyberhyökkäyksiä tehdään nykyään paljon, koska se on niin houkutteleva ympäristö. Jos ajatellaan että valtio hyökkää toista valtiota vastaan täällä fyysisessä maailmassa, verrattuna siihen, että siirrytään digitaaliseen maailmaan, missä operaatiot ovat hyvin kustannustehokkaita. Toisaalta jos kyseessä on taitava hyökkääjä, tekijää on vaikea tunnistaa, joka toimii osaltaan tekijän motivaattorina. Limnéll lisää, että kybermaailma on muodostunut sellaiseksi, että valtiot käyttävät yhä enemmän resursseja kehittääkseen erilaisia kyvykkyyksiään kybermaailmassa. – Tässä on hyvä huomata myös se, että jos puhutaan vaikka vihamielisestä kybervaikuttamisesta suomalaiseen yhteiskuntaan, sitä tapahtuu tänäkin päivänä, se ei ole vain poikkeusolojen toimintaa. Silloin se johtaa ajatteluun, että yhtä lailla kuin huolehdimme valtiollisesta suvereniteetistamme fyysisessä maailmassa, siitä tulee huolehtia myöskin kybermaailmassa. Sen merkitys yhteiskunnan ja yritysten turvallisuudessa sekä valtiollisessa suvereniteetissa tulee vain kasvamaan tulevaisuudessa. Koska digitaalinen yhteiskunta on eri tavalla haavoittuva kuin aiempi yhteiskunta, on Limnéllin mukaan tärkeää varautua, eikä pelata liikaa yhden kortin varassa. – Jos syystä tai toisesta digimaailma ei toimikaan, toiminta ei saa silloin lamaantua, vaan pitää olla myös vaihtoehtoisia tapoja toimia. Tämä on toki hyvin haastavaa, koska digitalisaation on edennyt niin pitkälle. On aika pysäyttävää ajatella, että tutkimusten mukaan yli puolet suomalaisista yrityksistä on toimintakyvyttömiä yhden netittömän päivän jälkeen. Tämä kertoo siitä, miten riippuvaisia me tästä digitaalisesta ympäristöstä olemme. Huijauskampanjoihin kannattaa suhtautua maltilla – Erityisesti viime syksynä Suomeen tehtiin miljoonia huijauspuheluita, jotka saattoivat tulla ihan normaaleista suomalaisista numeroista. Huijauksella pyrittiin saamaan ihmisiltä erilaisia tietoja, kuten pankkikorttitietoja. Suomessa on ollut viime aikoina myös Postin nimissä tehty huijauskampanja, jossa on lähetetty sähköposteja ja tekstiviestejä. Täytyy sanoa, että meillä on ollut asiantuntijankin vaikeaa erottaa, onko tämä totta vai ei. Kun tähän tulee lisäksi vielä puheluita, ja kun jatkossa siirrytään vielä video- ja äänimanipulaatioon, saadaan asia näyttämään aivan aidolta, vaikka se ei sitä olekaan. Tämä kertoo siitä, että verkkorikolliset, jotka pyrkivät huijaamaan rahaa, ovat hyvin innovatiivisia ja kekseliäitä. Huijaus- ja kiristysviesteihin Limnéll opastaa suhtautumaan kylmähermoisesti. – Itselläni on sellainen tapa, että jos minulle tulee puhelu, jonka tunnistan huijauspuheluksi, painan välittömästi punaista luuria ja jatkan elämääni eteenpäin. Samaa toimintamallia suosittelen myös sähköpostin kautta tulevissa huijaus- ja kiristysviesteissä. Hyvä esimerkki näistä on viime aikoina liikkeellä olleet pornokiristysviestit, jotka suosittelen poistamaan, eikä niillä kannata vaivata päätään sen enempää. Kyberturvallisuus on jatkuvaa kilpajuoksua – Kyberturvallisuus tulee olemaan jatkossakin kilpajuoksua turvallisuuden ja pahantahtoisten toimijoiden välillä. Kun keksitään yksi keino joltakin kyberturvallisuusuhkalta suojautumiseen, saattaa tulla aika nopeastikin uusi huijauskeino tilalle. Yksi iso trendi tulee olemaan se, että erilaiset huijauskampanjat, mutta myös niiden torjunta tulevat automatisoitumaan ja ihmisen rooli prosessissa tulee vähenemään. Ehkä tulevaisuudessa se tulee kehittymää niin, että tekoäly kamppailee tekoälyä vastaan, jota ihmiset seuraavat sivusta. Vaikka tämä kuulostaa vielä tässä vaiheessa scifiltä, se ei ole sitä, kun aiheesta keskustelee asiantuntijoiden kanssa turvallisuusarvioiden yhteydessä. Limnéll heittää esimerkin pörssi- ja pankkimaailmasta, missä tekoälyt toimivat jo tuloksekkaasti, nopeammin ja tarkemmin kuin ihminen. – Jos laitetaan samankaltainen tekoäly tekemään erilaisia hyökkäyksiä erilaisiin kohdejärjestelmiin, ei ihminen niitä vastaan pärjää, vaan siihen on valjastettava toinen tekoäly hyökkääjiä vastaan. Tämän kaltainen tulevaisuuden visio on täysin realistinen. Yritysten ja organisaatioiden resilienssi lisäksi Limnéll haluaa painottaa oikeanlaisen viestinnän merkitystä kriisitilanteissa. – Kun puhutaan turvallisuudesta, on yhä tärkeämpää huolehtia myös siitä, että oikeanlaisella viestinnällä ylläpidetään ihmisten turvallisuuden tunnetta ja oikeanlaista mielikuvaa, koska näistä asioista käydään yhä kovempia kamppailuita sosiaalisessa mediassa ja laajemminkin. Psykologisen puolen merkitys, joka liittyy turvallisuuteen ja digitaaliseen maailmaan, näyttää nousevan yhä enemmän esille, Limnéll summaa.