Kyberturvallisuudesta pitää tulla kaikkien yhteinen asia, kirjoittaa Marja Dunderfelt:
Talous ja yhteiskunta digitalisoituvat nopeasti. Kyberuhkien luonne on laajentunut kohdennetuista hyökkäyksistä miljoonia yrityksiä ja kansalaisia koskeviin uudenlaisiin joukkouhkiin, muun muassa yhä yleisempiin kehittyneisiin kiristyshaittaohjelmiin. Kyberturvallisuuden ylläpitäminen ja verkkohyökkäyksiin varautuminen on koko yhteiskunnan yhteinen asia, mutta erityisen suuri vastuu siitä on julkisella sektorilla, valtiolla, kunnilla sekä kriittistä infrastruktuuria ylläpitävillä muilla organisaatioilla. Unohtamatta yksilön vastuuta palveluiden sekä laitteiden käyttäjänä.
Digitaaliset tuotteet ja palvelut tuovat mukanaan sekä etuja että riskejä. Nämä riskit on tunnistettava ja niiden vaikutuksia lievennettävä. Kun arvioidaan digitaalisten ratkaisujen turvallisuutta ja varmistetaan niiden luotettavuus, on olennaisen tärkeää omaksua yhteinen toimintamalli, jonka tavoitteena on saada aikaan tasapaino yhteiskunnan, markkinoiden, talouden ja kyberturvallisuuden tarpeiden välillä. Avoimesti toimiva neutraali yhteisö lisää asiakkaan luottamusta digitaalisiin ratkaisuihin ja laajempaan digitaaliseen ympäristöön.
Kyberturvallisuudesta pitää tulla kaikkien yhteinen asia, ja ICT-toimijoiden ja muiden alojen asiantuntijoiden välistä kyberturvallisuuteen liittyvää osaamiskuilua tulee kaventaa. Kyberturvallisuus yrityksissä tulee jalkauttaa jatkuvaksi prosessiksi, jota pitää kehittää ja ylläpitää jatkuvasti. Kyberturvallisuus tulee olla osana yrityksen teknologiaratkaisuja , prosesseja sekä henkilöstöä. Tietoturvan ja kyberturvallisuuden kehittäminen on jatkuvaa työtä. Ja turvallisuusnäkökulmat on huomioitava kaikessa kehityksessä ja arjen toiminnassa.
Tämä yhteistyö, tämä yhteenkuuluvuuden tunne, auttaa rakentamaan vankempia ja sujuvammin toimivia yhteiskuntia. Yhdessä toimiminen voi myös auttaa rakentamaan tietoverkkoturvallisen organisaation. On kuitenkin toinen asia saada kaikki ymmärtämään, että tämä jaettu vastuu on nykypäivän kyberturvallisuusuhkien hallinnan todellisuutta.
National Institute of Standards and Technology (NIST) tukee tätä turvallisuutta etusijalle asentavaa ajattelutapaa. NIST:n vuonna 2018 julkaistussa julkaisussa ”Security is everybody’s job” esitetään viisi keskeistä arvoa, joiden avulla luodaan kyberturvallisuuskulttuuri, jota NIST pitää ”kriittisenä” onnistuneelle kyberturvallisuusasenteelle:
NIST:n mukaan kyberturvallisuuskulttuuri on olennaisen tärkeää, jotta koko organisaatioon saadaan turvallisuusajattelu. Tämä yritysturvallisuuden peruskivi luo pohjan paremmalle turvallisuudelle, kun tiedostetaan temppuja ja huijauksia, jotka johtavat tietojen paljastumiseen, lunnasohjelmiin ja muihin tietoturvaloukkauksiin.
Turvallisuusvastuun sävyn on tultava ylhäältä, jotta voidaan kannustaa tietoturva-asenteeseen, jota tarvitaan tietoverkkohyökkäysten torjumiseksi, ja panna se täytäntöön.
Tämä ylhäältä alaspäin suuntautuva turvallisuusjohtaminen on virallistumassa, sillä Gartner, Inc. ennustaa, että ”vuoteen 2025 mennessä 40 prosentilla hallintoneuvostoista on erityinen kyberturvallisuuskomitea, jota valvoo pätevä hallituksen jäsen”. Johtajien olisi näytettävä esimerkkiä ja toimittava vaikuttamalla ja mallintamalla hyviä tietoturvatottumuksia.
NIST tunnustaa, että turvallisen organisaation perustekijä on tietoturvatietoisuuskoulutuksen toteuttaminen. Kouluttamalla työntekijöitä sosiaaliseen manipulointiin liittyvistä tempuista ja kouluttamalla heitä tunnistamaan phishing-sähköpostit, työntekijät voivat ”paiskata verkkouhan oven” verkkorikollisten edessä.
Organisaation tavoitteiden on oltava linjassa yksilön tulostavoitteiden kanssa. NIST ehdottaa, että kannustimien ja haittakeinojen avulla voidaan muuttaa huonoa kyberturvallisuuskäyttäytymistä.
Teknisiä toimenpiteitä, kuten monitekijätodennusta (MFA) ja salasanakäytäntöjä, olisi käytettävä täydentämään ja valvomaan hyvää turvallisuushygieniaa.
Huawei haluaa toimia vastuullisena toimijana markkinoillla ja Huaweilla kyberturvallisuus on rakennettu osaksi liiketoimintaprosesseja, teknologiaratkaisuja sekä henkilöstökäytäntöjä. Tuotekehitysprosessissa kyberturvallisuus ja tietosuoja on jalkautettu osaksi tuotteen elinkaarenhallintaa tuotteen suunnittelusta lanseeraukseen asiakkaalle.
Yhteistyötä tarvitaan kaikilla tasoilla, yhteiskunnan eri sektoreiden välillä (elinkeinoelämää unohtamatta), organisaatioiden välillä ja organisaatioiden sisällä. Tarvitaan myös vahvoja kansainvälisia tai kansallisia toimijoita, joilla on resursseja uhkien havaitsemiseen ja torjuntaan niiden puolesta, joilla ei itsellään ole siihen resursseja tai kyvykkyyttä.
Marja Dunderfelt, kyberturva- ja tietosuojajohtaja, Pohjoismaat, Huawei