Katsaus kyberturvallisuuteen

7.5.2025 13.18
dataa ja lukko
Tervehdys Haaste-lehden lukijoille Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksesta. Alkuvuoden aikana etenkin kyberturvallisuuteen liittyvä lainsäädäntö on ollut esillä julkisuudessa. EU-tasoiset NIS, CRA ja CER ovat saaneet lempinimen ”kybertsunami”, sillä sääntelyn ja ohjauksen määrässä on luvassa merkittävää kasvua. Muutoin kyberturvallisuuden tila Suomessa on ollut alkuvuoden aikana varsin tavanomainen.

Päivittämättömissä laitteissa esiintyvien haavoittuvuuksien hyväksikäyttö on yleistynyt myös Suomessa. Haltuun saatuja laitteita käytetään esimerkiksi tietomurroissa sekä niiden yrityksissä. Etenkin niin sanottujen verkon reunalaitteiden (esim. etäyhteysratkaisut ja modeemit) haavoittuvuuksia on käytetty aiempaa enemmän tietomurroissa myös Suomessa.

Haavoittuvuuksien hyväksikäyttö on yleistynyt Suomessa.

Haltuun saatuja päätelaitteita käytetään myös kyberhyökkäysten uudelleen ohjaukseen. Näin torjuntatoimien toteuttaminen voi olla vaikeampaa, koska haitallinen liikenne näyttäisi tulevan Suomesta, jolloin maantieteellinen liikennesuodatus ei toimi.

Suojauskeinona haavoittuvuuksien hyväksikäyttöä vastaan toimii verkkoon kytkettyjen laitteiden pitäminen päivitettynä. Oletussalasanat on syytä käydä vaihtamassa ja lisäksi hallintaliittymiä ei tulisi pitää avoinna julkiseen verkkoon, vaan laitteiden ylläpito on syytä tehdä sisäverkon puolelta. Tämän lisäksi organisaatioiden on hyvä laatia varaviestintäsuunnitelma silmällä pitäen niitä tapauksia, joissa etäyhteysratkaisut joudutaan sulkemaan ja etätöissä olevien henkilöiden tavoittaminen ei onnistu sähköpostitse tai esimerkiksi Teamsilla. Lisäohjeita hyvistä käytännöistä voit lukea verkkosivuiltamme.

Kyberturvallisuuslaki tuli voimaan 8. huhtikuuta

Kyberturvallisuuslaki tuo mukanaan uusia riskienhallinta- ja raportointivelvoitteita monille toimialoille. Eduskunta hyväksyi huhtikuun alussa hallituksen esityksen kansalliseksi kyberturvallisuuslaiksi, jolla pannaan täytäntöön EU:n kyberturvallisuusdirektiivi eli niin sanottu NIS 2 -direktiivi. Valvonnan piirissä olevien organisaatioiden on ilmoittauduttava omalle valvovalle viranomaiselleen. Julkishallinnon osalta direktiivin vaatimukset on sisällytetty lakiin julkisen hallinnon tiedonhallinnasta.

Kyberturvallisuusdirektiivi on osa laajempaa Euroopan Unionin laajuista lakikokonaisuutta, johon kuuluvat lisäksi esimerkiksi kriittisten toimijoiden häiriösietoisuutta parantava CER-direktiivi (Critical Entities Resilience Directive) sekä kyberkestävyyssäädös CRA (Cyber Resilience Act). Lisätietoa kyberturvallisuuslaista sekä kyberkestävyyssäädöksestä löydät Liikenne- ja viestintäviraston verkkosivuilta.

Vaaleihin varauduttiin yhteistyöllä – vaaleissa ei merkittäviä kyberhäiriöitä

Vaikkei Suomessa ole käytössä sähköistä äänestämistä, niin mm. äänestäjän äänioikeuden varmistaminen sekä vaalitulosjärjestelmä vaatii toimivia ja luotettuja digitaalisia yhteyksiä. Luonnollisesti vararatkaisuja on olemassa häiriöitä varten, mutta parhaiten luottamus saadaan varmistettua varsinaisten järjestelmien toiminta takaamalla. Vaalit turvattiin hyvällä ennakkovarautumisella sekä yhteistyöllä.

Alue- ja kuntavaalit pidettiin 13. huhtikuuta. Mitään merkittäviä kyberturvallisuuden häiriöitä ei vaalien aikaan havaittu, vaikka joihinkin puolueiden ja ehdokkaiden verkkosivustoihin kohdistuikin palvelunestohyökkäyksiä. Palvelunestohyökkäykset jäivät vaikutuksiltaan vähäisiksi.

Rauhallista kevättä, 
Markus Happonen

Artikkelin kirjoittaja työskentelee johtavana asiantuntijana liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksessa. Kyberturvallisuuskeskus on kansallinen tietoturvaviranomainen, jonka tehtävinä ovat mm. ylläpitää kyberturvallisuuden kansallista tilannekuvaa sekä auttaa tietoturvapoikkeaman kohteeksi joutuneita toipumisessa. 
 

Kuva: Pixabay

Haaste 1-2/2025