Agendium Oy on nyt Cyberday Oy ➡️
Cyberday (Digiturvamalli)-tiimimme lähti syksyyn täydellä vauhdilla, ja osallistuimme 29.-30. lokakuuta järjestettyyn Cyber Security Nordic -tapahtumaan strategisena kumppanina koko tiimimme voimin. Tässä blogissa pääset mukaan tapahtuman jälkipuintiin, kuulet kohokohdat ja saat näkemyksiä tapahtuman aiheista. Osallistuimme tapahtumaan Cyberdayna, jolla meidät tunnetaan myös kansainvälisesti.
Cyber Security Nordic 2024 -tapahtuma järjestettiin Helsingin Messukeskuksessa, vuosittain järjestettävässä tapahtumassa keskitytään kriittisiin kyberturvallisuusaiheisiin, kuten politiikan, talouden, nykyisten uhkien ja alan tulevan kehittämisen teemoihin. Tapahtuma kokoaa yhteen IT- ja kyberturva-alan ammattilaisia, julkisen ja yksityisen sektorin vaikuttajia sekä viranomaisia.
Tämän vuoden ohjelmassa oli mielenkiintoisia keynote-puheenvuoroja, esityksiä ja keskusteluja erilaisista aiheista, kuten kyberresilienssistä, digitalisaation turvallisuudesta, strategioista kyberrikollisuuden ehkäisemiseksi sekä geopolitiikan ja kyberturvallisuuden risteyskohdista. NIS2 oli jälleen puheenaiheena muun muassa toimitusketjun turvallisuuden, turvallisuustilanteen hallinnan ja yleisesti NIS2:n osalta Euroopan tasolla. Tapahtuma tarjosi tilaisuuden jakaa tietoa ja pysyä ajan tasalla kyberturvallisuuden uusimmista suuntauksista ja haasteista. Tutustutaanpa tarkemmin muutamaan tapahtumassa esiin nostettuun aiheeseen syvällisemmin. Loimme tämän postauksen tarjotaksemme näkemyksen ajankohtaisista teemoista myös niille, jotka eivät voineet osallistua tapahtumaan.
Kuumia aiheita @ CSN 2024 🔥
Toimitusketjujen turvallisuus
Toimitusketjuihin kohdistuvat hyökkäykset ovat lisääntyneet merkittävästi viime vuosina, ja ne aiheuttavat merkittäviä riskejä organisaatioille maailmanlaajuisesti. On tärkeää muistaa, että organisaatio on yhtä turvallinen kuin sen heikoin lenkki.
Toimitusketjuhyökkäykset ovat kyberhyökkäyksen muoto, jossa hyökkääjät tunkeutuvat organisaatioon hyödyntämällä sen toimitusketjun heikommin suojattuja osia. Tämä voi tarkoittaa ohjelmistopäivitysten vaarantamista, haitallisen koodin syöttämistä kolmannen osapuolen tuotteisiin tai sellaisten palveluntarjoajien loukkaamista, joilla on luotettu pääsy kriittisiin järjestelmiin. Toimitusketjuun kohdistuvat hyökkäykset voivat johtaa kauaskantoisiin seurauksiin, jotka vaikuttavat kohteena olevan organisaation lisäksi myös sen asiakkaisiin ja kumppaneihin.
Toimitusketjun suojaaminen on monimutkainen mutta olennainen osa nykyaikaista tietoturvaa. Ymmärtämällä uhkia ja ottamalla käyttöön varmoja turvaprotokollia yritykset voivat paremmin suojautua tällaisilta epäsuorilta mutta erittäin tehokkailta hyökkäysväyliltä. Organisaatiot, jotka työskentelevät ennakoivasti toimitusketjunsa kanssa parantaakseen tietoturvatasoa, eivät ainoastaan vähennä hyökkäysriskiä, vaan myös edistävät tietoturvakulttuuria, joka hyödyttää kaikkia ekosysteeminsä jäseniä.
Cyber Security Nordicissa aiheesta keskusteltiin myös vaatimuskehikkojen näkökulmasta: Uusia toimitusketjun hallintaan viittaavia vaatimuksia tulee parhaillaan DORA:n, CRA:n ja NIS2:n kaltaisista kehikoista, joten katsotaanpa hieman tarkemmin, mitä näistä on ehkä tarpeen tietää.
NIS2
NIS2:n mukaan organisaatioiden on toteutettava tehokkaita riskienhallintatoimenpiteitä, joissa otetaan huomioon koko toimitusketjun tietoturva. Tähän kuuluu sen varmistaminen, että kolmannen osapuolen toimittajat ja kumppanit täyttävät tietyt tietoturvastandardit organisaation suojaamiseksi ja toimitusketjun kokonaisriskin vähentämiseksi.
NIS2 tukee jaettua vastuuta ja avoimuutta vaatimalla organisaatioita luomaan selkeää viestintää ja yhteistyötä toimitusketjun verkostoissaan. Tämä edellyttää roolien ja vastuiden määrittelyä turvallisuusprotokollien puitteissa sen varmistamiseksi, että jokainen taho ymmärtää oman roolinsa turvallisuuden ylläpitämisessä. NIS2 pyrkii vahvistamaan toimitusketjujen yleistä turvallisuutta edistämällä kollektiivisen vastuun kulttuuria.
Kerromme lisää siitä, miten NIS2 kannustaa vahvempaan toimitusketjuyhteistyöhön toisessa blogikirjoituksessamme täällä.
DORA
Digital Operational Resilience Act (DORA) -säädöksessä keskitytään finanssialan yksiköiden digitaalisen kestävyyden vahvistamiseen, ja siinä painotetaan voimakkaasti toimitusketjun turvallisuuden hallintaa. DORA:ssa tunnustetaan, että finanssilaitokset ovat riippuvaisia kolmansien osapuolten tarjoajien monimutkaisesta verkostosta, ja nämä suhteet aiheuttavat ainutlaatuisia kyberturvallisuusriskejä. DORA edellyttää, että rahoituslaitokset arvioivat ja hallitsevat riskejä, jotka liittyvät ICT:n ulkopuolisiin palveluntarjoajiin, kuten pilvipalveluihin, ohjelmistotoimittajiin ja muihin teknologiatoimittajiin. Tähän kuuluu näiden palveluntarjoajien huolellinen arviointi ja sen varmistaminen, että ne täyttävät kyberturvallisuusstandardit.
DORA:n vaatimuksilla pyritään rakentamaan turvallinen ja häiriönsietokykyinen finanssiala käsittelemällä tieto- ja viestintätekniikan ulkopuolisiin palveluntarjoajiin liittyviä riskejä. Varmistamalla sekä rahoituslaitosten että niiden tärkeimpien ulkopuolisten palveluntarjoajien vastuullisuuden DORA pyrkii luomaan ekosysteemin, jossa toimitusketjun turvallisuus on olennainen osa EU:n rahoitusjärjestelmän toimintavarmuutta.
AI + tietoturva = ?
Tekoälystä keskustellaan paljon tietoturvan yhteydessä, ja tämä näkyi selvästi myös monissa tapahtuman puheenvuoroissa ja esityksissä, kuten tekoälyn ohjaama NDR, tulevaisuuden näkymät sekä tekoälyn riskit ja mahdollisuudet. Koska tekoäly ottaa yhä enemmän paikkansa työ- ja arkielämässä, sen merkitys myös tietoturvan kannalta korostuu entisestään. Tekoäly tarjoaa mahdollisuuksia, mutta yhtä lailla se herättää myös huolia. Tekoäly muuttaa tietoturvaa ja luo sekä uusia mahdollisuuksia puolustuksen vahvistamiseen että uusia riskejä, joihin organisaatioiden on varauduttava.
Tekoälyyn liittyy useita mahdollisuuksia, kun kyse on tietoturvasta. Tekoäly pystyy esimerkiksi tunnistamaan ja analysoimaan valtavia datamääriä huomattavasti ihmisen kykyjä nopeammin, mikä nopeuttaa uhkien sekä haittaohjelmien ja tietojenkalastelun havaitsemista merkittävästi. Tekoäly voi olla hyödyllinen myös organisaatioiden häiriöihin reagoimisen parantamisessa, lyhentämällä reagointiaikaa ja minimoimalla kokonaisvaikutukset. Tekoälyn mahdollisuudet ovat lukemattomat, ja on mielenkiintoista nähdä, mitä tulevaisuus tuo tullessaan.
Mutta kun puhumme tekoälyn mahdollisuuksista, meidän on keskusteltava myös riskeistä ja uhkista. Tekoälyä voidaan käyttää erilaisten kyberhyökkäysten tehostamiseen, ja kyberrikolliset voivat epäilemättä myös työstää keinojaan "huijata" tekoälyä manipuloinnilla. Tekoäly ei myöskään ole idioottivarma - se voi antaa väärää tietoa ja johtaa harhaan. Viimeisenä mutta ei vähäisimpänä tässä mainituista uhkista tekoäly lisää tietosuojaan liittyviä huolenaiheita, erityisesti arkaluonteisten tietojen osalta. Organisaatioiden on varmistettava, että tietoja käsitellään tietosuojasäännösten mukaisesti.
Loppujen lopuksi menestyksen avain on tietoisuus. Yksi mahdollinen tapa on oppia hyödyntämään tekoälyn edut tietoturvan alalla ja hallita samalla riskejä. Ihannetapauksessa tekoälyä ei käytettäisi tietoturvan inhimillisen elementin korvaajana vaan ihmisen työn tukena.
Kyberresilienssi
Cyber Security Nordic toi esiin myös kyberresilienssin, ja erityisesti Suomeen ja Pohjoismaihin koskevaan kyberresilienssiin kiinnitettiin huomiota. Kyberresilienssi on tärkeää, sillä mikään organisaatio ei voi olla täysin immuuni kyberuhkille. Resilientti organisaatio voi ehkäistä häiriöistä aiheutuvat mittavat vahingot, jatkaa asiakkaiden palvelemista mahdollisimman vähin keskeytyksin, suojella mainettaan ja vähentää taloudellisia tappioita. Koska kyberuhat kehittyvät jatkuvasti, erityisesti toimitusketjujen ja etätyöympäristöjen monimutkaistuessa, organisaatiot asettavat häiriönsietokyvyn etusijalle varmistaakseen pitkän aikavälin turvallisuuden ja vakauden.
- Riskienhallinta: Iso osa kyberresilienssiä on mahdollisten uhkien ja haavoittuvuuksien tunnistaminen, niiden vaikutusten arviointi ja toimenpiteiden toteuttaminen riskien lieventämiseksi. Tähän kuuluu jatkuva riskien arviointi, jotta pysytään uusien uhkien edellä ja varmistetaan, että kaikki, erityisesti kriittiset, omaisuuserät ovat hyvin suojattuja.
- Häiriötilanteiden torjunta: Valmistautuminen nopeaan ja tehokkaaseen reagointiin häiriötilanteen sattuessa. Häiriötilanteisiin reagoimista koskeviin suunnitelmiin olisi sisällyttävä erityiset protokollat, roolit ja vastuualueet olisi määriteltävä ja olisi varmistettava, että reagointiryhmät ovat koulutettuja ja toimintavalmiita. Tavoitteena on rajoittaa ja lieventää vahinkoja mahdollisimman pian.
- Liiketoiminnan jatkuvuus: Tämä näkökulma keskittyy toiminnan ylläpitämiseen hyökkäyksen aikana ja nopeaan toipumiseen hyökkäyksen jälkeen. Liiketoiminnan jatkuvuussuunnitelmat pitävät keskeiset toiminnot käynnissä, kun taas katastrofista toipumista koskevat suunnitelmat toimivat tietojen, järjestelmien ja toimintojen palauttamiseksi häiriön jälkeen.
- Jatkuva seuranta: Järjestelmien jatkuva seuranta poikkeamien varalta auttaa havaitsemaan häiriöt ja reagoimaan niihin varhaisessa vaiheessa. Uhka-analyysin avulla organisaatiot pysyvät ajan tasalla uusista ja esiin nousevista uhkista, jolloin ne voivat mukauttaa puolustusta reaaliaikaisesti.
- Säännöllinen testaus: Esimerkiksi hyökkäysten simulointi, kuten tunkeutumistestit tai häiriötilanteisiin reagoimista koskevat harjoitukset, auttaa arvioimaan organisaation valmiutta ja häiriönsietokykyä sekä tunnistamaan reagointisuunnitelman heikkoudet ja tarjoamaan tilaisuuksia suunnitelman tarkentamiseen ja vahvistamiseen.
- Toimitusketjun turvallisuus: Kyllä, aiemmin käsittelemämme teema on myös tärkeä osa kyberturvallisuuden palautumiskykyä - on ratkaisevan tärkeää varmistaa, että myös kolmansien osapuolten toimittajat ja kumppanit ylläpitävät vahvoja kyberturvallisuuskäytäntöjä.
Kiitos monista mahtavista kohtaamisista ständillämme!
Haluamme kiittää lämpimästi kaikkia, jotka kävivät tapaamassa tiimiämme osastollamme. 👏 Meillä oli 2 erittäin aktiivista päivää täynnä hienoja asiakaskeskusteluja.
Joitakin tärkeimpiä aiheita, joista asiakkaamme olivat kiinnostuneita, olivat muun muassa:
- Automaatio ja tekoäly: Erityisesti se, miten niitä voidaan käyttää aloitettaessa vaatimustenmukaisuustyötä ensimmäisten konkreettisten tulosten saavuttamiseksi, omien asiakkaiden lähettämien turvallisuuskyselyjen vastaamiseen ja myöhemmin ISMS:n ylläpidon ja parantamisen hienosäätöön.
- Toimittajien turvallisuusarvioinnit: Olemme hiljattain lanseeranneet nämä ominaisuudet, jotka ovat selvästi herättäneet monien tietoturvasta vastaavien kiinnostuksen. Saimme monia ideoita siitä, miten toimittajien arviointeja voitaisiin hienosäätää, ja työskentelemme jo parhaillaan parannusten parissa. 👍
- Integraatiot: Monet käyttäjämme, jotka ovat jo edenneet ISMS-matkallaan pidemmälle, toivoivat mahdollisuuksia vetää ISMS:ään lisää sisältöä eri järjestelmistä seurannan, mittareiden, todisteiden keräämisen ja jatkuvan parantamisen tehostamiseksi.
Muita kunniamainintoja saavat CRA (EU:n kyberkestävyyslaki, jossa asetetaan kyberturvavaatimukset digitaalisia elementtejä sisältäville tuotteille) ja tietoturvan hallinta suuremmissa konserneissa, joissa keskusyksikkö tekee jotakin ja tytäryhtiöiden on tehtävä loput. Jälkimmäisen osalta olemme myös äskettäin julkaisseet ensimmäiset ominaisuudet.
Kaikki edellä mainitut ovat ehdottomasti teemoja, joiden parissa tiimimme tulee jatkamaan. Osallistu keskusteluihin esim. Digiturvamallin yhteisön kehitysideoiden foorumilla tai seuraa tiimimme kehitysjuttuja viikoittaisista uutiskirjeistämme!
Viestimme: ISO 27001 steroideilla - selviytyminen säännösten myrskyistä.
Cyber Security Nordic -tapahtuman strategisena kumppanina meillä oli myös tilaisuus nousta lavalle ja pitää keynote. Toimitusjohtajamme ja toinen perustajistamme Ismo Paananen nousi lavalle aiheena: ISO 27001 steroideilla - selviytyminen säännösten myrskyistä.
Eurooppalaisilla organisaatioilla on edessään uusien tietoturvasäännösten aalto. NIS2, DORA, CRA ja monet muut säädökset luovat organisaatioille uusia velvoitteita noudattaa lakia ja jatkuvasti kasvavia asiakasvaatimuksia. Sääntely ei vaikuta vain suoraan mainittuihin toimialoihin, vaan myös valtavaan määrään yrityksiä, joilla on rooli toimitusketjussa. ISO 27001 -standardi on käytännössä testattu lähestymistapa näihin haasteisiin vastaamiseksi, mutta sen täytäntöönpanoa on parannettava, jotta se kattaisi kaikki tarvittavat näkökohdat. Ismo esitteli, miten kaikki tarvittavat vaatimukset voidaan täyttää ja jopa luoda liiketoiminta-arvoa käyttämällä ISO 27001 -standardin kevyttä lähestymistapaa, johon on lisätty haluttujen vaatimuskehikkojen vaatimuksia.
Tietoturvan osoittaminen voi olla joissakin tilanteissa haastavaa ilman hyvää kattavaa yleiskuvaa. Loputtomat Excel-taulukot, epäsuora lainsäädäntö ja lukemattomia sivuja täynnä juridista tekstiä. Puhumattakaan jatkuvasta seurannasta, vaatimustenmukaisuuden ylläpitämisestä sekä henkilöstön tietoisuudesta ja koulutuksesta. Digiturvamallissa on lähdetty etsimään parempaa tapaa tehdä tämä.
Ismon puheenvuoro oli kattava; saimme kuulla kasvutarinan tietoturvan pariin ja ymmärtää kuinka tietoturva voi näyttäytyä jopa "sudenkuoppana".´Ismo kertoi haasteista, joita organisaatio voi kohdata vaatimustenmukaisuusasioissa, ja Cyberdayn menetelmästä, miten organisaatiot voivat luoda yhtenäisen suunnitelman valittujen kehysten pohjalta. Digiturvamallin kaltaisten ratkaisujen avulla organisaatiot voivat paremmin valmistautua tuntemattomaan, seurata vaatimustenmukaisuutta ja tietoturvatoimia ja jakaa tietoisuutta työntekijöiden kesken. Oli hienoa päästä näkemään Cyberday esillä päänäyttämöllä, ja Ismon oivaltava keynote sai yleisöltä erittäin hyvän vastaanoton. Kiitos niille, jotka olivat paikalla kuuntelemassa!
Julkaisimme myös blogikirjoituksen: Selviytyminen tietoturvan labyrintissa: Hallitse NIS2 ISO 27001 -standardin avulla, jossa käsittelemme joitakin samoja aiheita. NIS2:n kaltaisissa direktiiveissä voidaan vaatia menettelyjä tietyille tietoturvan osa-alueille, mutta niissä ei voida eikä ole tarkoitus täsmentää, mitä näiden menettelyjen tulisi olla. Vapaaehtoiset standardit, kuten ISO 27001, voivat mennä pidemmälle ja määrittää, mitä nämä riittävät toimenpiteet voisivat olla.
Cyber Security Nordic järjesti yhteistyössä FISC:n ja FiBANin kanssa Pitch Finland Cyber Security-kilpailun, jossa etsittiin uusia innovatiivisia Startup ratkaisuja, joilla on potentiaalia kansainväliseen kasvuun. Kilpailu on avoin kyberturva-alan yrityksille, tiimeille ja organisaatioille. Meille oli kunnia olla viiden finalistin joukossa. Saimme erittäin hyvää palautetta pitchistämme, eikä se olisi voinut mennä paremmin. Onnittelut myös Siren Anti-Cheatille mielenkiintoisesta ratkaisusta ja hienoa työtä voittajajoukkueelle!
Loppuajatukset
Kaiken kaikkiaan Cyberdayn osallistuminen Cyber Security Nordic tapahtumaan oli suuri menestys, ja tiimillämme oli loistava tilaisuus tavata tuttuja ja kumppaneitamme sekä uusia kontakteja. Kahden päivän aikana saimme kuulla lukemattomia mielenkiintoisia puheenvuoroja, tavata muita alan edustajia sekä tiimiytyä myös oman henkilökuntamme kanssa. Ehkä näemme teidät ensi vuonna uudelleen! Jos et päässyt tapaamaan meitä tapahtumassa tai haluat enemmän oivalluksia, olemme täällä! Tiimimme auttaa sinua mielellään oikeassa nurkassa olevassa chatissa, sähköpostitse tiimi@digiturvamalli.fi, tai voit varata lyhyen puhelun kanssamme silloin, kun se sinulle parhaiten sopii täältä.
Nähdään Cyber Security Nordic 2025 -tapahtumassa! ⭐️