Tämä on maaliskuun uutis- ja tuotekatsaus Digiturvamallilta sekä vuoden 2025 ensimmäinen pääkäyttäjäwebinaarin kooste. Pyrimme tänä vuonna pitämään näitä useammin ja ilmoitamme eri kanavien kautta, kun seuraavan pääkäyttäjäwebinaarin ajankohta on lyöty lukkoon. Voit ilmoittautua webinaareihin Webinaarit-sivuillamme lähempänä ajankohtaa.
Kyberturvallisuuslaki on Suomessa NIS2-direktiivin täytäntöönpaneva kansallinen laki ja se on nyt hyväksytty eduskunnassa. Tästä on saatu eduskunnan vastaus, joka sisältää jo hyväksytyn lakitekstin ja nyt laki odottaa enää presidentin vahvistusta.
Tarkistimme uuden version kyberturvallisuuslaista, ja muutokset aiempaan versioon ovat hyvin pieniä:
Hallitus on myös esittänyt jo muutoksen kyberturvallisuuslakiin ja tämä liittyy CER-direktiiviin. Kyberturvallisuuslain velvoitteita sovelletaan siis myös kriittisiksi määriteltäviin toimijoihin. Käytännössä tämä tarkoittaa sitä, että lain piiriin voi tulla esimerkiksi pieniäkin toimijoita, jos he ovat kriittiseksi määrättyjä.
Digiturvamallissa Kyberturvallisuuslaki löytyy jo vaatimuskehikkona eikä siihen tarvita muutoksia näiden edistysten myötä. 👍
NIS2-toteutukset ovat osin viivästyneet eikä tässä kohtaa olla nähty vielä suuria uutisia direktiiviin liittyen. Monet EU-maat viimeistelevät vielä kansallista lainsäädäntöä. Uusimmat maat, jotka ovat päässeet prosessissa maaliin ovat Romania ja Slovakia. Toteutuksien viivästymiselle on useita eri syitä, kuten poliittiset jännitteet, muut hallinnon prioriteetit (esim. vaalit) tai sopimattomat hallituskoalitiot. Tällä hetkellä on vielä käynnissä hiljaisempi ajanjakso, mutta kohta varmasti lait alkavat olemaan valmiita ja todellinen valvontatoiminta voi alkaa.
European Banking Authority eli EBA on täydentänyt DORA:an liittyvää ohjeistusta tietoturvariskien hallintaan liittyen. Myös EU:n komissiolta on tullut delegoitu asetus Threat-Led Penetration Testingin (TLPT) kuvaamiseksi. Työtä valvovien viranomaisten kanssa jatketaan saadakseen lisätietoja siitä, kuinka TLPT:tä tulisi toteuttaa. Tämä on edistyksellinen lainsäädäntö siinä mielessä, että kyseessä ei ole mikä tahansa penetraatiotestaus vaan uhkatiedon perusteella suunniteltua testausta. DORA:n tekniset standardit tulevat täydentyessään saataville myös Digiturvamallissa. Työ on parhaillaan käynnissä ja seuraamme aktiivisesti kehitystä.
Systemaattiseen tietoturvatyöhön liittyy roolien hallinta organisaation sisällä ja nykyään tämä on mahdollista Digiturvamallissa “Yksiköt ja työntekijät”-osion alla. Pääkäyttäjä pystyy linkittämään käyttäjiä eri rooleihin ja prosessia helpottaa Digiturvamallin valmis kirjasto eri rooleista. Myös omien roolien luominen on mahdollista. Roolin kuvaukseen voi yleisesti kuvata siihen liittyvät vastuualueet sekä täyttää tarkemman dokumentaation, joka sisältää esimerkiksi tietoa valtuuksista sekä rooliin vaadittava osaaminen. Riippumatta siitä onko kyseessä ylätason teema tai yksittäinen politiikka, on mahdollista linkittää jatkossa se joko yksittäiselle henkilölle tai esimerkiksi tietylle roolille.
Vinkki: Kun tehtäville tai esimerkiksi teemoille on linkitetty omistajaksi jokin rooli, on helppo vaihtaa roolia toiselle henkilölle ja näin ei tarvitse käydä yksitellen vaihtamassa uudelle henkilölle omistajuutta, vaan ne kaikki siirtyy automaattisesti tuon roolin mukana. Tämä on varsinkin kätevä, jos talon sisällä vaihtuu työntekijä.
Usein organisaatiot haluavat toimia niin, että osa raporteista on yleisesti saatavilla ja tämä on mahdollista Digiturvamallin Trust center -sivuston avulla. Trust center -sivusto pitää ottaa erikseen käyttöön ja sen asetuksista määritellään esimerkiksi kelle sivusto on näkyvillä, mitkä raportit siellä näytetään ja kuka on sivuston pääyhteyshenkilö.
Jatkokehityksessä aiomme laajentaa sivuston toiminallisuutta ja tulevaisuudessa esimerkiksi oma tietoturvasertifikaatti tai vaikkapa lausunto penetration testauksesta on myös mahdollista tuoda mukaan. 👍
Nykyään työpöydällä hallintajärjestelmän päärakenteen alta löytyy “Suositukset seuraavista toimista” -osio, josta on helppo hahmoittaa millä jatkotoimenpiteillä pystyt parantamaan kahta pääarvoa eli compliance-arvoja tai todistearvoja. Työpöydän listauksessa näkyy lyhyt kolmen eri kohdan lista mitä voisi seuraavaksi parantaa, mutta on myös mahdollista avata laajempi listaus tehtävistä. Molempien listojen järjestys on tehty niin, että ylimpänä näkyy aina ne toimenpiteet, joilla on suurin vaikutus arvoon.
Työpöydällä sekä riskienhallintaan liittyvillä raporteilla näkyy uusi päivitetty riskimatriisi. Näin saat selkeämmän kuvan omista riskeistä sekä näät selkeästi muutokset, kun tietoturvatyötä viedään eteenpäin.
Lisää-painikkeen alta löytyy nykyään erillinen Tiedostot-sivu.
Kun esimerkiksi kuvausta muutetaan, niin nyt tapahtumaloki näyttää myös vanhan version ja pystyt kätevästi vertaamaan tehtyjä muutoksia. Tämä on myös kätevä niissä tapauksissa, kun vahingossa muokataan kuvausta, niin vanha saadaan helposti palautettua takaisin.
Lisäsimme mahdollisuuden muokata taulukossa näkyviä sarakkeita omiin käyttötarpeisiin sopivaksi Kaikki tehtävät-sivulla. Näin pystyt esimerkiksi kätevästi näkemään mitä tehtäviä on muokattu viimeisen vuorokauden aikana.
Jatkamme aktiivisesti tuotteen kehitystä ja seuraamme käyttäjiltä saatuja palautteita. Tuleviin kehityksen teemoihin kuuluu esimerkiksi Trust center-sivusto, toimittajakyselyt, NIS2 kansalliset vaatimuskehikot ja tehtäväkuvausten sekä muun sisällön jakaminen. Tutkinnassa on myös AI:n hyödyntäminen tietoturvakyselyhin vastaamiseksi.
Artikkeli osoitteesta thehackernews.com
Pelihuijauksia mainostavilla YouTube-videoilla toimitetaan uutta haittaohjelmaa ja nämä mahdollistaa uuden metodin varastaa ison kasan tietoa käyttäjältä. Kysessä on Arcane-nimisen haittaohjelman levittäminen, joka todennäköisesti kohdistuu venäjänkielisiin käyttäjiin.
”Kiehtovaa tässä haittaohjelmassa on se, kuinka paljon se kerää”, Kaspersky sanoi analyysissään. ”Se nappaa tilitietoja VPN- ja peliohjelmista sekä kaikenlaisista verkkoapuohjelmista, kuten ngrok, Playit, Cyberduck, FileZilla ja DynDNS.”
Hyökkäysketjuihin kuuluu linkkien jakaminen salasanalla suojattuun arkistoon YouTube-videoissa, joka avattaessa purkaa tiedoston, joka vastaa toisen arkistotiedoston hakemisesta PowerShellin kautta.
Batch-tiedosto käyttää PowerShelliä käynnistääkseen kaksi äskettäin ladattuun arkistoon upotettua suoritettavaa tiedostoa, samalla kun se poistaa käytöstä Windowsin SmartScreen-suojaukset ja jokaisen aseman juurikansio SmartScreen-suodatinpoikkeukset.
Artikkeli osoitteesta wired.com
WIREDin artikkeli paljastaa, kuinka Elon Muskin johtama Department of Government Efficiency (DOGE) toimii täysin päinvastoin kuin oikeat valtion auditoinnit. DOGE on Trumpin uuden hallinnon nimissä ottanut haltuun valtion virastojen järjestelmiä ja dataa väittäen etsivänsä petoksia ja tuhlausta – mutta kokeneet valtion tarkastajat sanovat, ettei toiminnassa ole mitään, mikä täyttäisi virallisten tarkastusstandardien kriteerit.
Auditoijat syyttävät DOGE:a kokemattomasta henkilöstöstä, turvaprotokollien ohittamisesta ja väärien johtopäätösten tekemisestä ilman asianmukaista analyysiä. Monet väitetyt "säästöt" saattavat todellisuudessa lisätä kustannuksia. Lisäksi huolta herättää, miten laajasti DOGE on päässyt käsiksi arkaluonteiseen dataan ilman tarvittavia lupia tai osaamista.
Yksi auditoijista kiteyttää tilanteen: "Jos he haluaisivat oikeasti parantaa asioita, he voisivat aloittaa olemassa olevien suositusten toteuttamisesta. Nyt tämä näyttää enemmän silmänkääntötempulta kuin tehokkuudelta."
Artikkeli osoitteesta krebsonsecurity.com
Trumpin hallinto jatkaa räikeää piittaamattomuutta peruskyberturvallisuudesta. U.S. Cybersecurity & Infrastructure Security Agencyn (CISA) kotisivuille ilmestyi viesti, jossa hiljattain erotettuja työntekijöitä pyydettiin lähettämään arkaluonteisia tietoja – kuten sosiaaliturvatunnuksia – sähköpostitse suojatussa liitetiedostossa. Ohjeita salasanan lähettämiseen liittyen ei kuitenkaan annettu ja osa lähetti salasanan samassa sähköpostissa.
Viesti rikkoo selkeitä tietoturvakäytäntöjä ja altistaa valtionhallinnon mahdollisille haittaohjelmille. Tilanne kuvastaa laajempaa suuntausta, jossa hallinto ohittaa vakiintuneet turvallisuuskäytännöt nopeuden tai mukavuuden nimissä. Samaan aikaan Musk-vetoinen DOGE tuo valtionverkkoihin Starlinkiä ilman kunnollista riskiarviointia ja nostattaa kysymyksiä turvallisuusselvitysten puutteesta.
Entisten huippuasiantuntijoiden mukaan joukkoirtisanomiset ja kokemattomien tilalle tuominen uhkaa vakavasti Yhdysvaltojen kyberpuolustuksen selkärankaa.
"Kyse ei ole vain epäpätevistä käytännöistä. Kyse on koko hallinnon turvallisuuden purkamisesta pala palalta," summaa entinen NSA:n johtava kyberturvallisuusasiantuntija Rob Joyce.
Artikkeli osoitteesta: cybersecurity-insiders.com
New Hampshiren Straffordin piirikunnassa murhaoikeudenkäynti jouduttiin siirtämään kyberhyökkäyksen vuoksi – juuri ratkaisevan istunnon kynnyksellä. Hyökkäyksen tarkkaa luonnetta ei ole vahvistettu, mutta sen seurauksena oikeudenkäynti siirrettiin seuraavalle päivälle.
Vaikka ei ole selvää, oliko hyökkäys tahallisesti kohdistettu oikeudenkäyntiin, se nostaa esiin vakavia huolia oikeusjärjestelmän haavoittuvuudesta kyberuhkia vastaan. Pitkittyneet häiriöt voivat aiheuttaa merkittäviä viivästyksiä, taloudellisia tappioita ja heikentää kansalaisten luottamusta oikeuden toteutumiseen.
Kyseessä ei ole pelkkä tekninen ongelma – kyberhyökkäykset oikeusjärjestelmää vastaan voivat vaarantaa oikeusvaltion toimivuuden.
Artikkeli osoitteesta: katsaus.supo.fi
SUPO julkaisi vuosittaisen kansallisen turvallisuuden katsauksen ja siinä käsiteltiin myös kyberturvallisuutta. Mukana oli luku autoritaaristen valtioiden kyberekosysteemeistä ja näissä eniten esillä olivat Kiina ja Venäjä.
Mielenkiintoisia aiheita katsauksessa oli esimerkiksi haavoittuvuuksien pakkokeräys ja kyberrikollisuuden salliminen tietyissä määrin. Kiinassa yritykset, tietoturvatutkijat ja asiantuntijat on velvoitettu viipymättä ilmoittamaan kaikki ohjelmisto- ja laitehaavoittuvuudet valtiolle. Venäjällä sallitaan muualle kohdistuva kyberrikollisuus eli käytännössä on luotu olosuhteet, missä kyberrikollisuus on sallittua, kunhan se ei aiheuta omalle valtiolle haittaa.
Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.
.png)
.svg)
.svg)
