Turvallisuus7.10.2024Hyvishakkerit eivät ole vain isojen yritysten herkkua – pienenkin yrityksen kannattaa tehdä ainakin nämä kaksi toimenpidettäViime viikkoina on ollut tavanomaista enemmän suomalaisiin yrityksiin kohdistuvia palvelunestohyökkäyksiä. Kyberrikollisuus aiheuttaa maailmanlaajuisesti yksityisille ja julkisille toimijoille satojen miljardien eurojen menetyksiä joka vuosi.

Niin julkinen sektori kuin suomalaiset yritykset ovat olleet toistuvan kyber- ja hybridivaikuttamisen kohteina tämän vuoden aikana. Myös yksityishenkilöihin kohdistuvat huijaukset ja verkkopetokset ovat yleistyneet, kun tekoäly on helpottanut hyökkääjien työtä. – Nyt ihan viime viikkoina on ollut enemmän palvelunestohyökkäyksiä suomalaisiin yrityksiin kuin aiempina viikkoina. Isoja yrityksiä kohdanneet hyökkäykset saavat paljon palstatilaa, mutta vähemmälle huomiolle jäävät pienet ja keskisuuret yritykset, joihin kohdistuu lukumäärällisesti merkittävä osa hyökkäyksistä. Pienemmille toimijoille toipuminen niistä voi olla hyvinkin raskas prosessi, jota voi kuitenkin huomattavasti helpottaa niin ennaltaehkäisyn kuin varautumisen keinoin, toteaa LähiTapiolan kybervakuutusten kehityspäällikkö Eero Järvenpää. Valkohattuhakkereilla tärkeä rooli tietoturvapuutteiden tunnistamisessaEnnaltaehkäisy-, puolustus- ja palautumiskyky ovat kaikki tärkeitä ominaisuuksia tietoturvavakaalle organisaatiolle. LähiTapiolan Bug Bounty -palkkio-ohjelma sekä Hack Day -päivät ovat vuosien varrella vahvistaneet LähiTapiolan palveluiden tietoturvaa mutta samalla myös tarjonneet suomalaisille ja kansainvälisillekin hyvishakkereille mahdollisuuden ansaintaan.– Finanssialalla kyberturvallisuus otetaan vakavasti. Yhteistyö hakkereiden kanssa auttaa tuomaan tietoturvaa esiin positiivisuuden kautta, sanoo LähiTapiolan tietoturvajohtaja Leo Niemelä.Seuraavassa Hack Day -tapahtumassa 12.10. hyvishakkerit testaavat POP Vakuutuksen tietoturvaa. Paikalla ovat myös kansanedustaja Jarno Limnéll sekä Maanpuolustuskoulutuksen kyberturvallisuudesta vastaava koulutuspäällikkö Tero Oittinen. Vastaavat ohjelmat ja tilaisuudet ovat yleistyneet maailmalla merkittävästi, mutta ne vaativat organisaatiolta paitsi panostusta valkohattuhakkereiden palkitsemiseen, myös löydösten käsittelyyn ja korjaamiseen. – Jos yrityksellä ei ole aiempaa haavoittuvuudenhallintaprosessia, eivät nämä ole välttämättä helpoimpia tai kustannustehokkaimpia tapoja päästä alkuun. Kaikki organisaatiot voivat kuitenkin ottaa ennakoivamman roolin valkohattuhakkereiden suuntaan, Niemelä sanoo. Alkuun näillä kahdella toimenpiteelläValkohatuille on hyvä tarjota ohjeet ja kanava tietoturvahavaintojen ilmoittamiseen. Helpoiten tämä tapahtuu kertomalla nettisivuilla toiminnan pelisäännöt ja ilmoituskanavat nopeasti yleistyvää security.txt -standardia käyttäen. – Globaalisti käytetyn standardin tarkoitus on yhtenäistää ja helpottaa hakkeriohjeistusten tekemistä. Kuten LähiTapiolan esimerkistä käy ilmi, ohjeistuksen ei käytännössä tarvitse olla kovin monimutkainen, Niemelä sanoo. Toisena konkreettisena toimenpiteenä organisaatioiden kannattaa käydä sisäisesti läpi, miten mahdollinen tietoturvailmoitus käsitellään. Samalla on hyvä sopia tavat valkohattuhakkereiden kanssa viestimiseen. Tarkempia ohjeita on koottu tietoturvailmoitus.fi-sivustolle.Tietoturvailmoituksen saadessaan organisaatio saa etulyöntiaseman ja voi proaktiivisesti ehkäistä mahdollisia kyberhyökkäyksiä. Vaikka puutteen korvaaminen olisikin työlästä tai kallista, yleensä se on kuitenkin huomattavasti helpompaa ja edullisempaa kuin onnistuneesta kyberhyökkäyksestä palautuminen.– Ilmoitukset tulisi ottaa tosissaan ja niiden tulisi johtaa korjaustoimenpiteisiin. Vaikka tietoturvapuutteesta saatu ilmoitus voi alkuun tuntua ikävältä sormenosoittelulta, kohdeorganisaation on hyvä muistaa, että tämä on tehty hyvässä tarkoituksessa. Poikkeuksetta vakavammat seuraukset syntyisivät, jos löydöksen olisi tehnyt valkohatun sijaan joku, jolla on pahat mielessä, Leo Niemelä muistuttaa. Myös kybervakuuttajat tarkkailevat yritysten hyökkäyspintaaOptimitilanteessa yllä kuvatut askeleet auttavat organisaatiota pääsemään liikkeelle kyberuhilta suojautumisessa. Mikäli jotain jää huomaamatta ja kyberhyökkäys onnistuukin läpäisemään varautuneen organisaation puolustukset, kybervakuutus auttaa liiketoimintaa palautumaan tästä.– Kiinnostus kybervakuuttamista kohtaan on lisääntynyt. LähiTapiolassa kybervakuuttamisen liiketoiminta on kasvanut tämän vuoden aikana kymmeniä prosentteja, Eero Järvenpää kertoo.Kybervakuutusten yleistyessä LähiTapiola on monien muiden kybervakuuttajien tavoin kokeillut ja ottanut käyttöön erilaisia työkaluja, joilla tutkitaan organisaatioiden hyökkäyspintaa. Käytännössä haavoittuvuuksia on etsitty niistä verkkosivuista ja -palveluista, jotka näkyvät julkiseen verkkoon.– Mahdolliset löydökset auttavat meitä vakuuttajana tukemaan asiakastamme proaktiivisesti, mikäli merkittäviä tietoturvapuutteita havaitaan. Tämä on sama lähtökohta ja tieto, josta hyökkääjät lähtevät liikkeelle, selventää Järvenpää.Järvenpää huomauttaa, että käytössä olevat työkalut ja palvelut eivät kuitenkaan korvaa valkohattuhakkereiden tekemää työtä. He näkevät ja löytävät erityyppisiä asioita organisaatioiden verkkopalveluista kuin mihin automatisoidut työkalut pystyvät. LähiTapiolan Hack Day lauantaina 12.10.LähiTapiolalle näkyvin yksittäinen tapa pitää yhteyttä valkohattuihin on ollut yhtiön vuosittain järjestämä Hack Day. Seuraavan kerran 12.10. järjestettävässä Hack Dayssa Suomen taitavimmat hyvishakkerit pääsevät testaamaan POP Vakuutuksen tietoturvaa. Päivän teemaan johdattaa kansanedustaja, kyberturvallisuuden työelämäprofessori Jarno Limnéll sekä Maanpuolustuskoulutuksen kyberturvallisuudesta vastaava koulutuspäällikkö Tero Oittinen. Puheenvuorojen jälkeen siirrytään osallistujien kanssa seuraamaan hakkereiden työskentelyä.

Ajankohtaista

Elämänturva12.12.2024Sairauspäivärahan leikkaus osuu tuhansilla euroilla keskituloisiin – pitkä sairastuminen vie tuloista yli kolmanneksen mediaanipalkallaKelan sairauspäivärahan laskentaa muutetaan 1.1.2025. Leikkaus tietää keskimäärin 17 prosentin vähennystä sairauspäivärahan määrään sen kohteeksi joutuvissa tuloluokissa. Sairastuminen on taloudellinen tuplariski, ja hoidon viivästyminen voi tietää nopeasti kertautuvaa toimeentulo-ongelmaa.Elämänturva11.12.2024Green Cardin voi esittää vuoden alusta alkaen myös digitaalisestiGreen Cardin eli Vihreän kortin voi esittää 1.1.2025 alkaen joko paperisena tai suoraan mobiililaitteen kuten matkapuhelimen näytöltä. Uudistus tuo joustavuutta kuljetusyrityksille sekä niille, jotka matkustavat omalla ajoneuvolla Suomen rajojen ulkopuolelle. Terveys11.12.2024Hoitoonpääsyn haaste ei ole yksin julkisen terveydenhuollon ongelma, myös terveysvakuutusten kannattavuus on heikko – ”Vastakkainasettelu julkisen ja yksityisen terveydenhuollon sekä vakuutusten välillä turhaa”Tuoreen kyselyn mukaan 82 prosenttia suomalaisista hakeutuisi ensisijaisesti julkiseen terveydenhuoltoon, jos vakuutusta tai mahdollisuutta työterveys- tai opiskelijaterveydenhuoltoon ei olisi, kerrottiin LähiTapiolan mediatilaisuudessa.

Katso lisää ajankohtaisia