Tämä on maaliskuun uutis- ja tuotekatsaus Digiturvamallilta. Seuraava pääkäyttäjäwebinaarimme, jossa käymme asiat läpi livenä, järjestetään toukokuussa 2024. Voit ilmoittautua webinaariin Webinaarit-sivullamme lähempänä ajankohtaa.
Tärkeimmät digiturvauutiset 3/2024
Traficom palkitsee yhteistyön huijauspuheluiden ja huijausviestien estämiseksi Tietoturvan suunnannäyttäjä -tunnustuspalkinnolla
Traficom ja Huoltovarmuuskeskus järjestivät Tietoturva 24 -seminaarin Helsingissä 13.3.2024. Seminaarissa jaetaan vuosittain Tietoturvan suunnannäyttäjä tunnustuspalkinto joka on osoitus merkittävästä yhteistyöstä ja innovatiivisuudesta kyberturvallisuuden saralla. Tänä vuonna tunnustus myönnettiin yhteistyöstä tahoille, jotka ovat olleet laatimassa ja toteuttamassa toimia kansainvälisten huijauspuheluiden ja huijausviestien estämiseksi.
Estoissa tärkeä osa toteutusta on teknistä suodatus, jossa asiallinen suomalaisten liittymien liikenne ulkomailta Suomeen sallitaan, mutta muu estetään. Lisäksi oleellisessa roolissa oli Traficomin sääntely, jolla kaikki operaattorit velvoitettiin toteuttamaan samat estot, jotta saavutettiin yhtenäinen toteutus ilman aukkoja kyberrikollisille.
Vuosina 2020 ja 2021 suomalaiset menettivät pelkästään teknisen tuen huijauspuheluille 7,1 miljoonaa euroa. Vuonna 2022 lanseeratut estomenetelmät ovat laskeneet huijauspuheluiden määrää merkittävästi, ja rikoshyöty on pudonnut 600 euroon. Huijauspuheluyrityksiä estettiin aluksi jopa yli 200 000 päivässä. Huijauspuheluiden ja viestien ongelma on maailmanlaajuinen, joten Suomen tulokset herättävät kiinnostusta kansainvälisellä tasolla.
Teleoperaattorien ja viranomaisten yhteistyön ansiosta väärennetyillä suomalaisilla numeroilla soitetut huojauspuhelut ovat käytännössä loppuneet.
Palkinnon saivat: DNA Oyj, Elisa Oyj, KRP, Traficom, Länsilinkki Oy, Setera Communications Oy, Suomen Numerot NUMPAC Oy, Telia Finland Oyj ja Ålands Telekommunikation Ab
Suositus tietoturvallisuuden vähimmäisvaatimuksista julkaistu (TiHL)
Tiedonhallintalautakunta ja Valtiovarainministeriö ovat julkaisseet Maaliskuussa 2024 Tiedonhallintalain (TiHL) suosituksen tietoturvallisuuden vähimmäisvaatimuksista. Julkaisu koskee julkishallinnon organisaatiota ja antaa selkeän katsauksen mitä tiedonhallintalain perusteella tulee tehdä vähintään tietoturvan varmistamiseksi.
Toimenpiteiden aihepiireinä ovat:
- Hallinnolliset: Vastuiden määrittely, tietojen luokittelu, henkilöstön ohjeistus ja koulutus, varautuminen, valvonta
- Aineistolähtöiset: Dokumentointi, toimitilaturvallisuus, sähköinen muuntaminen, arkistointi ja tuhoaminen
- Järjestelmälähtöiset: Dokumentointi, hankinta, vikasietoisuus, salaus, pääsynhallinta, lokitiedot
Osana vähimmäisvaatimuksia julkishallinnon organisaatioiden tulee arvioida omat tietoturvariskinsä sekä tehdä mahdolliset toimenpiteet riskien pienentämiseksi hyväksyttävälle tasolle. Tämä tarkoittaa myös toimenpiteiden tarkentamista oman toiminnan ja siihen liittyvien uhkien näkökulmista
Suositus tietoturvallisuuden vähimmäisvaatimuksista tulee Digiturvamalliin pian!
$12.5 billion lost to cybercrime in US
FBI:n vuosittain julkaisema Internet Crime Complaint Center (IC3) raportti on julkaistu, ja sen mukaan kyberrikollisuuden tappiot ovat nousseet ennätyksellisesti, jopa 22% vuonna 2023. Raportin luvut koskevat ainoastaan IC3:lle ilmoitettuja häiriöitä, joten luku voi todellisuudessa olla suurempi.
Suosituimmat hyökkäystyypit:
- Kiristyshaittaohjelmat (+18%)
- Sijoitushuijaukset (+33%)
- Tekninen tuki -huijaukset
- Julkishallintoa esittävät huijaukset
Suosittelemme raporttiin tutustumista kaikille kiinnostuneille!
Stormous ransomware gang takes credit for attack on Belgian brewer Duvel
Maaliskuussa 2024 Belgialaisen Duvel-panimon toimintaan iski kiristyshaittaohjelma. Duvelin IT-osasto havaitsi huijauksen, ja sulki yrityksen tuotantolinjat ja serverit. Tästä johtuen tuotanto häiriintyi ja oli jumittuneena päiväkausia niin Belgiassa kuin Yhdysvalloissa sijaitsevilla tehtailla. Duvel kuitenkin vakuutteli asiakkailleen, että saatavuusongelmia ei tule, kiitos olemassaolevan varaston.
Torstaina 7.3. Duvel listattiin Stormous- kiristysjengin vuotosivustolle. Stormous-sivustolla väitetään, että Duvelilta saatiin varastettua 88 GB:n verran dataa, mukaanlukien tilaustietoja, yhteystietoja, osoitteita. Maksuaikaa yritykselle annettiin 25.3. asti.
Stormous on lähikuukausina ilmoittanut liittyneensä allianssiin, johon heidän lisäkseen kuuluu ThreatSec, GhostSec, Blackforums sekä SiegedSec. Allianssin jäsenet tekevät yhteistyötä hyökkäyksissä, sekä kehittävät omia tarjoamiaan (mm. matalamman tason kyberrikollisille kuukausimaksulla myytävät RaaS-palvelut (Ransomware-as-a-Service)).
IAPP publishes ”EU AI Act: 101”
Euroopan Unioni on kehittänyt maailman ensimmäisen kattavan tekoälylain (EU AI Act), jonka tarkoituksena on asettaa vaatimukset tekoälyjärjestelmien kehittämiselle ja käyttöönotolle eri riskitasoille. Näin pyritään turvaamaan ihmisoikeuksia ja samalla kannustaa innovaatioihin.
Keskiviikkona 13.3.2024 Euroopan parlamentti äänesti EU AI Act- luonnoksen puolesta, ja teksti on nyt saatavilla ja valmis. Tekoälylain on tarkoitus tulla voimaan pikimmiten, kun viimeiset menettely- ja kielitarkastukset on saatu päätökseen.
IAPP (International association of privacy professionals) on julkaissut helppolukuisen koosteen AI Actin sisällöstä. Olennaisena laissa on riskiperusteinen lähestymistapa, joka koostuu neljästä riskitasosta:
- Unacceptable risk: Tekoälyjärjestelmät, joita pidetään uhkana ihmisten oikeuksille, turvallisuudelle tai toimeentuloille kielletään.
- High risk AI Systems: tekoälyteknologia, joka voi vaarantaa ihmisen turvallisuuden, oikeudet tai toimeentulon. Näihin sovelletaan tiukkoja velvoitteita ennen markkinoille pääsyä.
- Low risk AI systems: Vähäisen riskin antava tekoälyteknologia.
- General purpose AI models: Yleiset tekoälymallit, jotka voidaan integroida erilaisiin tuotantoketjuihin tai sovelluksiin.
Suurin osa AI Actin sisällöstä tulee sovellettavaksi kaksi vuotta lopullisen tekstin vahvistamisen jälkeen, joten nyt on hyvä aika selvittää vaatimukset samalla kun suunnittelette, kuinka tekoälyä käytetään tai tullaan jatkossa käyttämään toiminnassanne.
NIST Releases Version 2.0 of Cybersecurity Framework
NIST (National Institute of Standards and Technology) on julkaissut uuden, 2.0 version vaatimuskehikostaan. Alkuperäinen NIST CSF julkaistiin alun perin vuonna 2014, ja v1.1 päivitys vaatimuskehikkoon julkaistiin myöhemmin vuonna 2018.
NIST CSF oli alkujaan tarkoitettu kriittisten infrastruktuurien organisaatioille kyberturvallisuusriskien hallintaan ja lieventämiseen olemassa olevien standardien, ohjeiden ja käytäntöjen pohjalta. Jo luonnosvaiheessa vaatimuskehikon uusi versio sai laajalti palautetta, jonka pohjalta 2.0 on pyritty laajentamaan ja kehittämään nykyiseen malliin.
Uusi CSF 2.0 on suunniteltu palvelemaan laajempaa yleisöä riippumatta tietoturvan tasosta, aina pienistä kouluista ja järjestöistä isoimpiin korporaatioihin. NIST CSF 2.0:ssa on päivitetty keskeiset ohjeet ja kehitetty erilaisia työkaluja, joilla organisaatioita autetaan saavuttamaan tietoturvatavoitteet, painottaen hallinnon ja toimitusketjun näkökulmiin. Vaatimuskehikko tarjoaa myösenemmän tukimateriaalia digiturvatyöhön.
Massive Data Breach Exposes Info of 43 Million French Workers
Helmi-maaliskuussa 2024 Ranskassa ilmeni valtava työvoimatoimistojen tietoturvaloukkaus, jossa 43 miljoonan ranskalaisen työntekijän tiedot ovat vuotaneet esille. Tiedot ovat sisältäneet muun muassa nimiä, henkilötunnuksia ja yhteystietoja. Massiivinen tietovuoto on voinut koskea työnhakijoita viimeisen 20 vuoden ajalta, ja noin kahta kolmasosaa Ranskan asukkaista. Tietoturvaloukkaus koski kahta ranskalaista työvoimatoimistoa, France Travail ja Cap Emploi.
Tietoturvaloukkaus havaittiin vasta jälkikäteen, kun ihmiset ilmoittivat epäilyttävästä toiminnasta Ranskan tietosuojaviranomaisille (CNIL). Työvoimatoimisto ilmoitti itse loukkauksesta vasta noin kuukauden jälkeen tietoturvaloukkauksen alusta.
Tietoturvaloukkauksen voimin toinen työvoimatoimistoista, France Travail on saanut rajua kritiikkiä turvallisuuspuutteista, hidastelusta, sekä asiakastietojen hamstrauksesta. France Travailiin oli myös ollut jo aikaisemmin yhteydessä ulkopuolinen eettinen hakkeritoimiston puutteellisista turvatoimenpiteistä. CNIL on laittanut aluille GDPR-tutkinnan arvioimaan, noudattaako yritys vaadittavia tietoturvatoimenpiteitä. CNIL suosittelee myös tietoturvaloukkauksen mahdollisia uhreja pysymään valppaina huijausten ja tietojenkalastelun suhteen.
Tärkeimmät teemat Digiturvamallin kehityksestä
Visuaalinen näkymä dokumentaatiokorteille
Näe kuinka eri dokumentoidut kohteet liittyvät toisiinsa! Olemme kehittäneet eri dokumentaatiokorteille visuaalisen näkymän. jonka kautta voit hahmottaa eri kohteiden välisiä yhteyksiä paremmin.
Dokumentaatiokortissa visuaalisen näkymän voi ottaa helposti käyttöön yläreunassa olevasta liukunapista. Muokkaukset dokumentaatioon tehdään edelleen nykyisestä korttinäkymästä.
Riskienhallinnan parannukset
Olemme tehneet Digiturvamalliin parannuksia tietoturvariskien hallintaan suuniteltuun taulukkoon sekä riskien sisäiseen työnkulkuun. Tietoturvariskit-taulukon käyttöä varten on tehty selkeämpi konsepti.
Samalla on tuotu mahdollinen käyttö asset-kohtaiseen riskien tunnistamiseen. Tämän avulla organisaatio voi ohjata tärkeiden assettien (esim. tietojärjestelmä, tietovaranto, toimittaja, toimipiste) omistajat suorittamaan riskiarvioinnin, jossa käydään läpi olennaisimpia liittyviä uhkia.
Uudet vaatimuskehikot: C2M2 & Katakri 2020
Digiturvamalliin on juuri julkaistu kaksi uutta vaatimuskehikkoa: Cybersecurity Capability Maturity Model (C2M2) sekä Katakri 2020. Voit aktivoida ja muokata vaatimuskehikkoja Digiturvamallissa. organisaation työpöydältä.
Lisäksi pian tulossa Digiturvamalliin: The Digital Operational Resilience Act (DORA), Suositus tietoturvallisuuden vähimmäisvaatimuksista (TiHL), ISO 9001
Tutustu saatavilla oleviin sekä tuleviin vaatimuskehikkoihin Digiturvamallin sovelluksessa tai Vaatimuskehikot-sivustolta.
Tulossa pian: Uusi Tietoturvamittarit-sivu
Asiakkaidemme toiveista olemme lisäämässä Digiturvamalliin Tietoturvamittarit-sivua, joka tarjoaa visuaalisempaa kuvaa prosessista. Tietoa prosessista sekä muista Digiturvamallin kehityksistä lisäämme kehitysloki-sivustolle.
Palautetta tai kysyttävää?
Jos sinulla on lisää kysyttävää, tiimiimme voi olla yhteydessä chatin kautta tai sähköpostitse tiimi@digiturvamalli.fi. Otamme myös mielellämme vastaan palautetta Digiturvamallin käytöstä.