Digitalisointi helpottaa tulevaisuuden infran suunnittelua, rakentamista ja kunnossapitoa, mutta meidän täytyy pitää mielessä myös digitalisaation riskit. Kyberrikollisuus voi nykyään koskettaa jokaista, kun digitaalinen ja fyysinen maailma yhdistyvät.
– Dilemma on, että mitä modernimpi digitaalinen yhteiskunta sähköisine palveluineen on, niin sitä enemmän on kyberrikollisuudellakin maalipintaa. Esineiden internet laajentaa sitä jokaiseen toimistoon ja kotiin. Siksi meistä jokaisen pitäisi olla kiinnostunut kyberturvallisuudesta, toteaa asiantuntija Aapo Cederberg.
Cederberg toimii opettajana Geneven turvallisuuspolitiikan keskuksessa ja puhui kyberturvallisuudesta kevään 2018 Civilpoint-päivillä. Hänen mukaansa modernin yhteiskunnan kaikki avaintoiminnot voivat olla seuraavia hybridihyökkäysten kohteita.
– Erityisesti valtionjohdon pitäisi ymmärtää kyberrikollisuuden riskit. Mitä se kansallisesti tarkoittaa, jos hyökätään elintärkeitä palveluita tuottaviin yrityksiin, kuten energiaa, sähköä, terveydenhuoltoa tai tiedonvälitystä häiritsemään. Esimerkiksi jos sähkö loppuu, emme saa ruokaa kauppoihin, kun logistiikka ja maksaminen eivät pelaa, Cederberg toteaa.
Kyberturvallisuus ei ole yrityksille vain uhka, se voi olla myös mahdollisuus. Cederbergin mukaan oikein hyödynnettynä ja kyberturvallisuuden osalta sertifioituna yritys voi saada sen avulla kilpailu- ja liiketoimintaetua. Tietoturvamurron takia voi menettää koko brändin maineen, jonka takia kyberrikoksistakaan ei ole tähän saakka aina asiakkaille – saati julkisesti – kerrottu.
– Jatkossa hyökkäyksiä ei voi salata, koska GDPR velvoittaa ilmoittamaan tietoturvaongelmasta. Eihän se reilua ole, että ilmoitusvelvollisuuden lisäksi voidaan vielä rangaista sakoilla, jos yrityksen tietoturvassa on aukkoja. Tässäkin mielessä huolellinen varautuminen kannattaa, Aapo Cederberg sanoo.
Kyberturvallisuussertifikaatti
Yritys tai organisaatio voi suojautua hyökkäyksiltä kouluttamalla henkilöstöään, kehittämällä prosessejaan ja toimintatapojaan sekä hyödyntämällä innovatiivisia kyberturvallisuusratkaisuja. Kokonaisuus ratkaisee. Kyberturvallisuus on uusi liiketoimintakulu, jonka suorittaminen lisää yrityksen kilpailukykyä.
– Jos saat tarjouksen kahdelta yritykseltä, joista toisella on kyberturvallisuussertifikaatti, niin kummalta ostat? Jos ostajayritys tai organisaatio on ollut kybervaikuttamisen kohteena, niin totta kai se ottaa kumppanikseen turvallisemman eli sertifioidun toimijan, Cederberg kertoo.
Monessa maassa, kuten esimerkiksi USA:ssa, yhteiskunnan kannalta kriittisillä osa-alueilla kauppoja ei synny, ellei yrityksellä ole kyberturvallisuussertifikaattia.
– Tai sitten potentiaalinen ostaja haluaa tulla testaamaan teidän järjestelmänne, eli tekevät niille niin sanotun läpäisytestin. Kyberturvallisuuden merkitys vaihtelee riippuen siitä, millä toimialla, missä maassa ja millaisten kumppaneiden kanssa toimitaan. On yritysjohdon tehtävä miettiä, miten olennaista yrityksen kyberturvallisuus sen liiketoiminnan kannalta on.
Yrityksen kyberturvallisuuskokonaisuus koostuu ihmisistä, prosesseista ja tekniikasta.
– Ennen sertifiointia huolehditaan ihmisten osaaminen perusasioissa riittävän hyväksi, testataan ja todetaan, miten vastustuskykyinen tai haavoittuvainen järjestelmä on sekä analysoidaan, miten tietoa prosesseissa käsitellään. Jos henkilöstön kouluttaminen lasketaan mukaan, voi sertifiointi kokonaisuudessaan olla noin puolen vuoden kestävä projekti. Testaajien taso vaihtelee, mutta tarjolla on hyviäkin toimijoita, Cederberg tietää.
Aapo Cederberg.
Medialukutaitoa kannattaa kehittää
Kyberrikollisuus on uusi, kasvava liiketoiminnan muoto ja nopea tapa tehdä voittoja. Se voi olla yrityssalaisuuksien kalastelua rahanarvoisen tiedon perässä, sairaaloiden järjestelmämurtoja esimerkiksi poliittisten päättäjien heikkouksien löytämiseksi, näyttävän onnettomuuden järjestäminen medianäkyvyyden saamiseksi tai valtioiden välistä informaatiovaikuttamista.
Kybermaailman kokonaisuutta analysoidessa täytyy tunnistaa poliittiset narratiivit ja motiivit, jotka sekoitetaan rikolliseen toimintaan ja hakkerointiin. Aapo Cederberg kannustaakin ihmisiä oman medialukutaitonsa kehittämiseen.
– Aktivistien, terroristien ja rikollisten mielenkiinnon kohteet riippuvat motiivista: halutaanko medianäkyvyyttä, rahaa vai kauppatavaraa. Kyberrikollisuuden lonkerot ovat kaikkien toimijoiden taskussa. Valtiollisillakin toimijoilla on kiusaus käyttää rikollisia apunaan, jolloin voi sanoa, että ’ei me olla tehty mitään’. Tästä on syntynyt kyberrikollisuuden boosti, mikä tällä hetkellä vain kasvaa. Näemme kyberilmiöitä, mutta emme varmasti tiedä, kuka on niiden tekijä, ja mitkä niiden todelliset tavoitteet ovat.