Tämä on joulukuun uutis- ja tuotekatsaus Digiturvamallilta ja samalla vuoden 2024 viimeisen pääkäyttäjäwebinaarin kooste. Seuraava pääkäyttäjäwebinaarimme, jossa käymme asiat läpi livenä, järjestetään alkuvuodesta 2025. Voit ilmoittautua webinaariin Webinaarit-sivullamme lähempänä ajankohtaa.
NIS2-direktiivin soveltaminen on alkanut lokakuussa 2024, ja maakohtaiset lait valmistuvat hyvää tahtia. Maakohtaisia eroja on lähinnä toimialojen nimeämisissä, sekä tietoturvatoimenpiteiden painotuksissa. Monissa maissa kansallinen laki on saatukin täytäntöön. Suomen kansallinen Kyberturvallisuuslaki odottelee yhä lopullista vahvistusta, mutta versiota on jo pystytty hyödyntämään.
Julkaisimme keväällä 2024 e-kirjan: NIS2 haltuun ISO 27001 parhaita käytäntöjä hyödyntäen, jossa esittelemme kuinka kansainvälisesti tunnetun standardin vaatimukset kulkevat käsi kädessä direktiivin kanssa, helpottaen vaatimustenmukaisuutta. Myös monien maiden kansallinen lainsäädäntö viittaa ISO 27001 toteutuksen riittävien toimien varmistamiseksi.
Voit aktivoida Kyberturvallisuuslain Digiturvamallissa!
DORA (Digital Operational Resilience Act) koskee EU:n alueella toimivia finanssialan toimijoita, sekä ICT-palveluntoimittajia.Se asettaa yhtenäiset vaatimukset tietoverkoille ja järjestelmille, jotka tukevat rahoitusalan liiketoimintaprosesseja. Kirjoitimme jo aiemmin blogissamme tarkemmin DORA:n sisällöistä.
DORAan on julkaistu vuoden 2024 aikana useita RTS-tarkennuksia (Regulatory Technical Standards), joiden avulla finanssiyhteisöt voivat ottaa DORA:n periaatteet käyttöön ja varmistaa vaatimusten täyttymisen. Toimiakseen DORAn mukaisesti on siis noudatettava myös RTS-tarkennuksia.
Tarkennukset käsittelevät mm. riskienhallinnan, häiriöiden luokittelun, toimitusketjun turvallisuuden hallinnan, penetraatiotestauksen, häiriöraportoinnin sekä alihankinnan tietoturvallisuuden tarkempaa toteuttamista. Digiturvamallissa DORA on saanut jo päivitystä häiriöiden luokittelun osalta, ja tulemme tuomaan RTS-tarkennukset vuoden 2025 aikana.
Valvonta DORAn osalta käynnistyy 17.1.2025 alkaen.
CRA (Cyber Resilience Act) on EU:n tietoturva-asetus, jolla varmistetaan tietoturva kaikissa digitaalisissa tuotteissa ja palveluissa. Soveltamisala on laaja, ja koskee kategorisoidusti ohjelmistoja ja laitteistoja (esim. kuluttajaelektroniikka, IoT, käyttöjärjestelmät) joissa on digitaalisia elementtejä. CRA varmistaa, että digitaalisia elementtejä sisältävät tuotteet suunnitellaan, kehitetään ja ylläpidetään turvallisuusnäkökohdat huomioon ottaen koko niiden elinkaaren ajan.
EU Artificial Intelligence Act astui voimaan elokuussa 2024, ja sen valvonta aloitetaan vaiheittain vuoden 2025 aikana. AI Act koskee tekoälyjärjestelmien kehittäjiä sekä käyttäjiä. Vaikka AI Actin soveltamisala on suppeampi, on organisaatioiden hyvä tietää missä mennään.
AI Actin pääomaisena tarkoituksena on:
EU:n tekoälylainsäädännön odotetaan toimivan maailmanlaajuisena vertailukohtana tekoälyä koskevalle sääntelylle, jossa teknologinen kehitys tasapainotetaan yhteiskunnallisten ja eettisten näkökohtien kanssa.
Organisaatioiden tietoturvapäälliköillä eli CISO:illa (Chief Information Security Officer) on usein valtava vastuu työssään. CISO on strategisen tason tekijä ja riskien hallitsija. CISOn rooliin ei kuitenkaan kuulu pelkästään datan suojaamisen varmistaminen, vaan myös organisaation luottamuksen ylläpitäminen.On kriittistä huomioida pelko, jonka moni CISO kokee: Menetänkö työni, jos organisaatiossa tapahtuu tietomurto?
Portnox järjesti tutkimuksen, johon vastasi 200 CISOn roolissa työskentelevää ammattilaista, erityisesti suurissa organisaatioissa. Luvut puhuvat puolestaan työn haasteiden ja pelkojen suhteen, sillä tutkimuksen mukaan 99 % vastanneista on huolissaan työpaikan säilymisestä tietomurron jälkeen, joista 77 % on erittäin huolissaan.
Miten tilannetta pystyisi parantamaan? Organisaatioiden tulisi ymmärtää tietoturvan nykytilanne, ja käyttää resursseja proaktiivisen tietoturvaympäristön ja jaetun vastuun rakentamiseen ja vaalimiseen.
Tietoturva on tiimityötä - tehdään siitä myös sellaista.
Katsotaan seuraavaksi, mitä CyberArkin tutkimus henkilöstön tietoturvakäytännöistä paljastaa. Tutkimukseen osallistui 14 000 työntekijää eri aloilta, ja tuloksista käy ilmi, että tietoturvakäytännöt eivät juurikaan ole parantuneet. Tutkimuksen avainlukuja ovat esimerkiksi:
Tutkimuksen tulokset korostavat tarvetta henkilöstön tietoturvatietoisuudelle ja kouluttamiselle. Miten organisaatiossanne ylläpidetään henkilöstön tietoturvaosaamista?
Ransomware-kyberrikollisjengit ovat viime aikoina riivanneet Iso-Britannian terveydenhuollon alaa. Iso-Britannian NHS (National Health System) on ollut paljon uutisissa, sillä monet järjestelmät ovat olleet useiden hyökkäysten kohteena, väitetysti myös eri rikollisjengien toimesta. Viimeisimpiin kohteisiin kuuluu myös tunnettu Liverpoolin Alder Heyn lastensairaala. Lastensairaalan hyökkäyksen on tunnustanut sama ransom-ryhmä, joka myös aikaisemmin on ollut monien NHS-sairaaloihin kohdistuneiden hyökkäysten takana.
Monissa kohteissa hyökkäys on vaikuttanut järjestelmien käytettävyyteen, jonka seurauksena tapaamisia on jouduttu perumaan, ja henkilöstö on joutunut turvautumaan kynään ja paperiin. Tietomurrosta huolimatta Alder Heyn palvelut eivät vaikuta asiaan, eikä suunnitelluissa tapaamisissa tai toimenpiteissä ole häiriöitä. Tietomurrossa saatiin kuitenkin varastettua sensitiivistä dataa. Alder Heyn tapauksessa vuotaneet tiedot sisältävät potilas- ja luovuttajatietoja, raportteja, ja dokumentteja. Sairaala vahvisti, että se tutkii tietomurtoa ja työskentelee yhdessä kansallisen rikostorjuntaviraston (NCA) sekä muiden kumppaneiden kanssa vaikutusten arvioimiseksi ja järjestelmiensä turvaamiseksi.
.png)
Romaniassa, Euroopan kuudenneksi suurimmassa maassa, päädyttiin joulukuussa mitätöimään presidentinvaalien 1. kierroksen tulos. Mitätöintiin päädyttiin, kun Tik Tok- palvelussa lähti kiertämään laitaoikeistolaisen Geogescun näkyvyyttä boostaavia kampanjoita, joissa Venäjän epäiltiin olevan mukana. Selvityksessä löytyi esimerkiksi mittavia, ilmoittamattomia rahoituksia sekä 25 000 lyhyellä ajalla aktivoitunutta, Geogescun vaalikampanjaa tukevaa sosiaalisen median tiliä, joiden toimintaa koordinoitiin toisen yhteydenottokanavan kautta. Vielä ei ole varmuutta, oliko Geogesculla osuutta kampanjointiin.
Mitätöinnin lausunnoissa korostui kuinka vaalien tulos ei vastannut mielipidetiedusteluja, kun kärkeen nousi verrattain vähän tunnettu äärioikeistolainen ehdokas. Vaaleissa hyvin pärjänneet ehdokkaat ovat tietysti tyytymättömiä päätökseen, ja osa kommentoikin mitätöintiä anti-demokraattiseksi. Presidentinvaalien toisen kierroksen oli määrä tapahtua vielä joulukuussa 2024, mutta Romanian hallitus on päättänyt siirtää presidentinvaalit myöhemmälle, oletettavasta vuoden 2025 keväälle.
Tapaus korostaa erityisesti demokratioiden kohtaamia kasvavia haasteita, jotka johtuvat digitaalisten alustojen kautta tapahtuvasta ulkoisesta puuttumisesta, ja korostaa, että sosiaalisen median valvontaa on kiireellisesti tehostettava ja poliittisia säännöksiä nykyaikaistettava vaalien luotettavuuden suojelemiseksi.
Ominaisuuden avulla voit ensin luokitella kumppanisi eri ryhmiin ja nimetä, mitkä niistä tarvitsevat tietoturva-arvioinnin. Tämän jälkeen voit lähettää arvioita valitun vaatimuskehikon perusteella. Tutustu ominaisuuteen lisää Akatemiassamme.
Olemme myös julkaisseet ensimmäiset parannukset tietoturva-arvioinneille, kuten arviointien vastausten tarkastelun, pyyntöjen uudelleenlähetyksen, sekä ylimääräisten arviointien poistomahdollisuudet.
Tiimimme avustuksella tilille voidaan kytkeä konsernitason ominaisuus, jonka avulla ison konsernin eri organisaatiot voivat hyödyntää erillisiä Digiturvamalli-tilejä. Konsernitasolla voi kuitenkin olla tarve välillä lisävaatimusten asettamiseen tietyille tehtävillä ja joskus konsernitason toteutuksen tarjoamiseen joillekin tehtäville.
Yksi tileistä voidaan määritellä "konsernitason päätiliksi", jonka pääkäyttäjät voivat päättää jaella halutut tehtäväkuvaukset alatileille. Alatilit saavat jaetut kuvaukset välittömästi, mutta muutoin niiden on hallinnoitava omaan tehtäväversiotaan normaalisti ja mm. kirjoitettava omat "tilikohtaiset tarkennukset" prosessikuvaukseen.
Tämä ominaisuus on erityisesti luotu useita tileja palveleville konsulteille tai suurille konserneille, joilla on useita yrityksiä / tilejä allaan ja samoja avainhenkilöitä. Oma tilisi-sivu näyttää nyt enemmän relevantteja tietoja. Jos sinulla on pääsy useammalle Digiturvamalli-tilille, Pääset näkymään vasemmanpuoleisesta valikosta "Vaihda tiliä" -painikkeen kautta.
Julkisen API-rajapinnan käyttö: Pyrimme lähiaikoina julkaisemaan parempia kuvauksia Digiturvamallista käytettävissä olevista julkisista API-rajapinnoista. Näiden avulla organisaatiot voivat rakentaa itse integraatioita muiden palvelujen ja Digiturvamallin välille.
Cyberday Trust center -raporttiportaali: Voitte luoda helposti uskottavan näköisen verkkosivun tietoturvaraportointia varten. Voitte poimia jaettavaksi halutut raportit (esim. organisaation tietoturvapolitiikka, vaatimustenmukaisuuden raportit tai osa-aluekohtaiset tietoturvapolitiikat) ja lisäksi sivulle tuodaan muuta "valvontatietoa". Raportit ja koko portaali voivat olla joko vapaasti saatavilla tai kevyen tunnistautumisen takana.
Selkeämmät parannussuositukset Digiturvamallilta: Testaamme parhaillaan uutta näkymää työpöydälle, joka antaisia priorisoidussa järjestyksessä aina 10 seuraavaa suositusta parannuksista joko compliance-arvon tai sen todisteiden kehittämiseksi. Näiden avulla käyttäjä voi aina ymmärtää, mitä asioita kannattaisi seuraavaksi toteuttaa.
Lisäksi tutkimme parhaillaan AI-avusteista tietoturvakyselyjen vastausten generointia hallintajärjestelmänne sisällön avulla. 🔍
Uusia vaatimuskehikkoja: TISAX, NIS2 kansalliset lait: Kyberturvallisuuslaki (Suomi), Cyberfundamentals (Belgia), NSM ICT Security Principles (Norja)
Tulossa Digiturvamalliin: DORA RTS, CIS18, CRA, NIS2 kansalliset lait
Tutustu saatavilla oleviin sekä tuleviin vaatimuskehikkoihin Digiturvamallin sovelluksessa tai Vaatimuskehikot-sivustolta.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
