NIS2-direktiivi nosti kyberturvallisuuden johtoryhmän pöydälle. Direktiivi velvoittaa organisaatiot parantamaan kyberturvallisuutta ja se asettaa laiminlyönnistä ylimmälle johdolle henkilökohtaisen vastuun.
Alla tietoturvallisuutta koskevan päätöksenteon avuksi suunniteltu kysymyssarja, joka avaa keskustelua johdon ja IT:n välillä. Mukana myös vinkkejä siitä, miten ISO 27001 -standardin avulla voidaan vastata NIS2-vaatimuksiin.
1. Miksi kaikkea verkossamme tapahtuvaa pitää seurata ja miten se kannattaa tehdä?
Modernit yritysten sisäverkot on tyypillisesti rakennettu vähitellen vuosien varrella. On täysin normaalia, että tietoliikenteestä ei tunnisteta poikkeamia eikä aina edes tunnisteta kunkin palvelimen kaikkia käyttötapauksia.
NIS2-direktiivi edellyttää poikkeamien tunnistamista ja tätä varten pitää ensin selvittää nykytila, eli ei-poikkeava toiminta.
Jotta poikkeamat havaitaan ajoissa, tarvitaan kattavaa lokien keruuta ja usein niin sanottua SOC‑valvontaa, joille asetetaan selkeät mittarit, kuten Mean Time to Detect (MTTD) sekä esim. prosenttiosuus valvonnan piirissä olevasta kriittisestä liikenteestä.
ISO 27001 -standardi sisältää valmiita työkalut toimintaympäristön valvontaan, oli kyseessä sitten tietojärjestelmä tai fyysisen maailman kulunvalvonta.
2. Miksi NIS2:n 24 tunnin ilmoitusvelvoite on vaativa ja miten se kannattaisi täyttää?
Vain harva organisaatio kykenee viestimään poikkeamista 24 tunnin sisällä. Sekä poikkeamien tunnistaminen, niistä viestiminen ja tähän liittyvä päätöksentekoprosessi pitää huolella suunnitella ja varmistaa, sillä hapuilemalla tätä tiukkaa mittaria ei saavuteta.
NIS2-direktiivin asettama tiukka aikaraja edellyttää huolellisesti suunniteltua prosessia, jossa vastuuhenkilö varmistaa ilmoitusten lähtemisen viranomaisille. Mallia voi ottaa GDPR:n ilmoitusvelvollisuuden toteuttamisesta.
3. Kestääkö toimitusketjumme kyberhyökkäyksen aiheuttamat häiriöt?
Vain harvan toimitusketju kestää kyberhyökkäyksen aiheuttamat häiriöt, ellei toimitusketjun resilienssiin ole panostettu ja sen poikkeamien kestoa ole testattu. Erinomainen työkalu toimitusketjun resilienssin testaamiseen on erilaiset toimittaja-auditoinnit.
Riskiluokitukseen perustuva auditointiohjelma auttaa priorisoimaan toimenpiteet ja kohdentamaan resurssit kustannustehokkaasti. Alihankkijaverkostossa pitää ottaa huomioon myös alihankkijoiden alihankkijat – ja todellinen kyvykkyys edellyttää muutakin kuin rasti-ruutuun-lomakkeen täyttämistä.
ISO 27001 -standardissa on myös tunnistettu toimitusketjujen aiempaa suurempi merkitys tietoturvallisuudelle sekä resilienssille. Standardin vaatimuskehikko sisältää kontrollit koko toimitussuhteen elinkaarelle, sopimuksen teon hetkestä alkaen. Tuoreimmassa standardiversiossa on erityisesti nostettu esiin erilaisten pilvipalveluiden käyttö.
4. Miten priorisoimme tietoturvainvestoinnit nykyisin ja miksi meidän pitäisi siirtyä riskiperusteiseen toimintatapaan?
Keskustelu siitä, mihin aikaa ja rahaa organisaatiossa nykyisin käytetään, on kiinnostavaa ja saattaa avata uusia mahdollisuuksia parempaan riskien huomiointiin. NIS2-direktiivin tavoitteena on nykyistä kattavampi digitaalisten riskien hallinta, mutta nykyisen budjetin tarkastelu saattaakin tuoda esille myös ylipainotettuja osa-alueita.
Tietoturvallisuuden riskit tulee entistä tehokkaammin tunnistaa ja hallita. Resurssit tulee ensisijaisesti kohdistaa korkean riskin ja korkean vaikutuksen kohteisiin, ja usein se edellyttää organisaatiolta uuden oppimista ja panosten pääpainon kohdistamista toisin kuin mihin on totuttu. Tietoturvallisuuden hallintajärjestelmä kannattaakin rakentaa riskipohjaisesti, esimerkiksi ISO 27001 -standardia noudattaen. Näin rajalliset resurssit saadaan käytettyä tehokkaasti ja merkityksellisesti.
5. Osaako henkilöstömme toimia tietoturvallisesti?
Eri organisaatioiden välillä on merkittäviä eroja henkilöstön perustoimintatavoissa. Paradoksaalisesti tietoturvatyö on usein vaativinta asiakaspalveluun panostaneiden organisaatioiden tapauksessa. Henkilöstön vaihtuvuus on lisäksi jatkuvaa – uusia työntekijöitä ja erilaisia sijaisia tulee vähänkään isompaan organisaatioon jatkuvasti. ISO 27001 tarjoaa myös tähän erinomaista apua. Standardissa on hyvin huomioitu sekä tietoturvatiimin osaaminen, että myös laaja-alaisesti koko organisaation tietoturvatietoisuuden kasvattaminen.
Henkilöstö on kaikissa tapauksissa opetettava tunnistamaan hyökkäykset ja toimimaan rauhallisesti silloinkin, kun verkkorikollinen yrittää kiirehtiä tekemään juuri heidän tapauksessaan sen vaarallisen poikkeuksen. Edes puheääni tai Teams-kasvot eivät tekoälyn aikakaudella ole välttämättä riittävä vahvistus poikkeukselle.
Parhaissa organisaatioissa henkilöstön toimintaa testataan ja testien pohjalta vahvistetaan tarvittaessa joko koulutusta tai muita suojakeinoja.
6. Millä mittareilla tietoturvatasomme kehittymistä kannattaisi seurata?
Ilman kunnon mittareita laatutyö ja riskienhallinta on haastavaa. Toiminnan kriittisiä osa-alueita on mitattava, jotta tehtyjen riskienhallintatoimien tehokkuutta voidaan seurata sekä tarvittaessa reagoida puutteellisiin turvaamistoimiin. Mittaukseen on fiksua käyttää alalle vakiintuneita mittareita, joiden keräämiseen ja analysointiin osaamista löytyy myös talon ulkopuolelta. Mittauksessa on tärkeää keskittyä poikkeamien havaitsemiseen. Parhaat tietoturvatiimit löytävät aina poikkeamia, joiden avulla tietoturvaa saadaan kehitettyä.
Taitavat organisaatiot synnyttävät kulttuurin, joka muistuttaa parhaiden länsimaisten lentoyhtiöiden riskienhallintaa – jokainen työntekijä uskaltaa raportoida poikkeamat, sillä tapaukset käsitellään kehittämiskohteina eikä syyllisten etsimisenä.
Kun mittareihin on totuttu, näille on hyvä asettaa tavoitearvot ja lähteä kehittämään tietoturvaa niin, että mittareissa havaittuja poikkeamia saadaan rajattua entisestään.
Tietoturvallisuuden tilannekuvan ylläpitäminen sekä mittaaminen ovat ISO 27001 -standardin ytimessä!
7. Miten kyberturvallisuus kannattaa ottaa huomioon uusissa liiketoimintahankkeissa? Mitä kannattaa välttää?
Tietoturva oli helppoa jättää huomioimatta maailmassa, jossa riskit olivat loppujen lopuksi vain liiketoimintapäätöksiä. Olemme EU:ssa siirtyneet viime vuosina kohti maailmaa, jossa tietoturvaan ja -suojaan liittyvät päätökset tulevat usein näistä EU-tason asetuksista. Yritys voi myös huomata toimivansa alihankintaketjussa, jonka veturi saattaa olla jopa asetuksia vaativampi.
Ennen tietoturvan saattoi juuri ja juuri jättää hankkeen loppupuolelle vaikka silloinkin otti tietoisen riskin hankkeen myöhästymisestä. Malli on vanhentunut – hyvä tietoturvaosasto tai tämän käyttämä kumppani osaa auttaa jo ns. MVP-vaiheessa (Minimum Viable Product eli prototyyppi) pohtimaan, mitkä ovat tärkeimmät riskit hyökkääjän ja regulaattorin puolelta sekä mitkä voisivat olla niin sanottuja “secure by design,” eli turvalliseksi suunniteltuja tapoja minimoida riskit.
Aloitettaessa uutta projektia, hankittaessa uusia sovelluksia tai tietojärjestelmiä tai tehdessä laajamittaista muutosta organisaation toimintaan, tietoturvallisuuden tulee olla sisäänrakennettua toimintaa. Jälleen kerran ISO 27001 -standardi tarjoaa hyvän perustan tekemiselle.
8. Mitä uusia uhkia ja mahdollisuuksia näette tietoturvan alalla?
Suurin osa tietoturvatyöstä on raskasta puurtamista, joka ei välttämättä yksityiskohdiltaan juurikaan kiinnosta johtoa. Tietoturvan tilannekuva on poikkeus, joka hyvin tehtynä kyllä kiinnostaa johtoa. Suosittelemme rakentamaan mallin, jossa johdon kanssa yhdessä käytte vuosittain tilannetta läpi.
Maariskit, tai esimerkiksi tekoälyyn liittyvät uudet trendit ovat luonteva tapa sitoa johtoa lähemmäksi IT:n tekemää työtä ja siihen liittyvää muuttuvaa tilannekuvaa.
9. Kuinka turvaamme toiminnan jatkuvuuden poikkeustilanteissa?
Liiketoiminnan jatkuvuutta kehitettäessä vaikeinta on pitää riittävän pitkä tähtäin mielessä. Organisaatiot, jotka eivät ole harjoitelleet toimintaa esimerkiksi ilman internetiä tai puhelinyhteyksiä, eivät yleensä kykene varmistamaan jatkuvuutta. Haastavinta on reagointi tilanteessa, jossa johtoa ei saada kiinni, 24/7 toimintaa pyörittävässä organisaatioissa jokaisessa vuorossa on oltava joku, jolla on valtaa todeta, että poikkeustilanne on päällä ja että nyt on syytä toimia toisin, kuin mihin on totuttu. Vaihtoehtoisesti tulee varmistua, että on olemassa menettelyt johdon tavoittamiseen.
Poikkeusorganisaation sekä siihen liittyvien prosessien ja vastuiden rakentaminen on vaativaa ilman tukea, mutta meillä Suomessa tähän löytyy osaamista ja apua sekä Into Securityn kaltaisista organisaatioista kuin huoltovarmuusalan julkishallinnosta.
10. Miten kriisivalmiutta kannattaa kehittää? Paljonko siihen kannattaa kuluttaa voimavaroja?
Kriisivalmiutta on hyvä harjoitella vähintään vuosittain, joillain aloilla jopa useammin. Harjoittelu auttaa huomaamaan, missä kohtaa suunnitelmat ovat epäselviä tai jopa puuttuvat. Samalla luodaan niitä rutiineja, joilla organisaatio toimii mahdollisessa kriisitilanteessa.
Parhaat organisaatiot käyttävät harjoittelun suunnittelussa ulkopuolista apua. Ulkopuolinen rakentaa harjoituksen tavalla, joka ei välttämättä noudata hierarkiarajoja ja osaa kokeneena toimijana löytää sellaisia vaaranpaikkoja, joihin muut alalla ovat kompastuneet.
Laadukas harjoitus luo tilanteen, jossa on reagoitava ennen kuin kaikki yksityiskohdat ovat selvillä – ja hyvät harjoitukset käydään läpi harjoituksen jälkeen niin, että kaikki osallistujat tietävät, mikä meni hyvin ja missä on vielä kehitettävää. Parhaissa harjoituksissa jokainen kehityskohde saa konkreettisen vastuuhenkilön, jonka tehtävänä on korjata tilanne tai käydä läpi vaihtoehdot tilanteen korjaamiseen.
Lopuksi: miten varmistamme, että vastuunjako täyttää NIS2:n vaatimukset? Miten tästä pitää raportoida?
NIS2-direktiivin mukaan ylimmällä johdolla on henkilökohtainen vastuu organisaation kyberturvallisuudesta. Direktiivi edellyttää myös selkeää ja säännöllistä raportointia vastuiden toteutumisesta.
Hyvä käytäntö on viedä tietoturvakatsaukset osaksi hallituksen ja johtoryhmän säännöllistä raportointiaikataulua – esimerkiksi kvartaaliraportoinnin yhteyteen. Raportoinnin tulisi kattaa ainakin keskeiset tunnusluvut (kuten edellä mainitut mittarit ja tapahtuneet poikkeamat), riskienarviointien löydökset sekä toimeenpantujen parannusten status.
Kysymykset vastuunjaosta ja raportoinnista eivät ole yksinkertaisia, ja parhaat ratkaisut syntyvät johdon, tietohallinnon sekä tietoturvavastaavien yhteistyössä. Into Securityn kokemuksen mukaan onnistumisen edellytys on, että ylin johto ja IT-johto oppivat toistensa käyttämät ilmaukset ja käsitteet sekä niihin liittyvät vastuualueet.
Parhaisiin tuloksiin päästään, kun johto käsittelee kyberturvallisuutta strategisena liiketoimintapäätöksenä, ja IT-osasto pystyy osoittamaan kyberturvan hyödyt mitattavilla tuloksilla. Jos vakavien tietoturvapoikkeamien riskejä ei ole tunnistettu, ei budjettia niiden hallintakeinoillekaan tapaa löytyä eikä poikkeamien vaikutusta saa oikein arvioitua.
ISO 27001 -standardin avulla voidaan hallita lukuisia NIS2-vaatimuksia. Sertifiointi on osoitus huolellisesta tietoturvatyöstä ja tarjoaa tietoturvatyöhön työkaluja sekä mielenrauhaa.
Niki
Into Security auttaa rakentamaan tätä vuoropuhelua ja tunnistamaan teille kriittisimmät KPI:t sekä toimenpiteet. Laita viesti allekirjoittaneelle – niki.klaus@intosecurity.fi – jos haluat keskustella aiheesta tarkemmin.
Toivomme, että yllä laadittu kysymyslista auttaa käymään hedelmällistä keskustelua organisaation sisällä. Kannattaa käydä kysymykset huolella läpi – valitkaa vähintään 2–3 teille ajankohtaisinta kysymystä ja sopikaa niiden käsittelystä seuraavassa johtoryhmän kokouksessa.
Hyvin hoidettu kyberturvallisuus on koko organisaation etu.