Artikkeli on julkaistu 1/2016
CGI:n uudessa kyberturvallisuuskeskuksessa iskujoukko valvoo ympäri vuorokauden yhtiön asiakkaiden toimintaympäristöä kyberturvallisuusriskien varalta ja ratkoo ongelmia jos niitä löydetään.
”Tai kun löydetään”, sanoo CGI:n kyberturvallisuusjohtaja Jan Mickos. ”Vain 6 % kyberhyökkäysten kohteeksi joutuneista yrityksistä kykenee tunnistamaan sen itse.”
Verkossa on käynnissä jatkuva taistelu tiedon, koneiden ja verkkojen hallinnasta. Yritysvakoilu, valtiollinen tiedustelu, kyberterrorismi, uteliaisuus, meriittien metsästäminen – motiivien ja kohteiden kirjo on laaja.
Kyberturvakeskus tuottaa kyberturvan monitorointi-, vaste- ja tutkintapalveluja, ja se on CGI:n ensimmäinen Suomessa. Täkäläisessä mittakaavassa se on iso, todennäköisesti myös suurin: 400 neliön keskuksessa työskentelee 20 henkeä.
Vain 6 % kyberhyökkäysten kohteeksi joutuneista yrityksistä kykenee tunnistamaan sen itse.
Mickosin mukaan keskuksen asiakkaat ovat lähinnä suurempia suomalaisia yksityisen puolen organisaatioita, mutta tavoitteena on saada myös julkishallinnon asiakkaita.
”Se, että tällainen investointi ylipäänsä tehdään, kertoo siitä että näemme keskukselle ja paikallisesti tuotetulle palvelulle kasvavaa kysyntää. Olemme tuottaneet suomalaisille asiakkaillemme globaaleja palveluita tähänkin asti, mutta EU:ssa tietosuojavaatimukset kiristyvät koko ajan. Erityisesti julkishallinnon puolella on paljon asiakasvaatimuksia jotka edellyttävät, että asiat tehdään Suomessa ja suomalaisvoimin.”
Tilat on rakennettu kansallisen turvallisuusauditointikriteeristön Katakrin mukaisesti. Vankka rakennus on äänieristetty, paksuissa seinissä ja jykevissä ovissa on terästä ja kulunhallinta on tiukkaa.
Uloimman turvakehän sisäpuolella on neuvottelutila, johon asiakkaatkin pääsevät. Yksi seinä on maitolasia ja siihen tykitetään normaalisti videokuvaa, mutta nappia painamalla se muuttuu läpinäkyväksi. Näin asiakkaat pääsevät kurkistamaan saliin, kun asiakaskohtaiset näkymät ovat ensin suojattu piiloon katseilta.
Isossa salissa keskuksen henkilöstö seuraa valtavaa videoseinää, joka näyttää reaaliajassa, mitä asiakkaiden verkossa tapahtuu. Työtä tehdään tiimeissä. Kun jotakin tavallisuudesta poikkeavaa havaitaan, videoseinälle pomppaa punainen pallukka.
”Jos asiakas miettii valvovansa itse ympärivuorokautisesti verkkonsa turvallisuutta, sen pitää palkata vähintään kymmenen henkeä – ja siitä tulee Suomen työlainsäädännöstä johtuen isot kulut. Me pystymme tuottamaan tämän tasoista palvelua huomattavasti pienemmillä kustannuksilla asiakkaillemme.”
Yksi CGI:n globaaliuden eduista on uhkatilannetietojen ajantasainen saanti eri puolilta maailmaa.
”Meillä on satoja asiakkaita ympäri maailman vastaavien keskusten palvelujen piirissä. Kun niissä havaitaan jotakin, me jaamme tiedon haittailmiöstä välittömästi muihin keskuksiimme. Näin pystymme ennalta ehkäisemään vastaavat ilmiöt myös suomalaisilta asiakkailtamme”, Mickos sanoo.
Automatiikka tekee analyysejä ja nostaa esille ilmeisempiä uhkia. Ihmistyönä havaitaan ja tutkitaan sellaisia ilmiöitä joita automatiikka ei pysty tunnistamaan. Kun ongelma on havaittu, käynnistetään incident response -prosessi, jolla ongelma hoidetaan pois päiväjärjestyksestä. Tapauksesta riippuen se saattaa johtaa tutkintaan, forensiikkaan, jossa selvitetään tapahtunut.
Tietosuoja-asetus uudistuu
EU:n tietosuoja-asetus tuo uudenlaisia vaatimuksia organisaatioille.
”Organisaatiossa täytyy asetuksen voimaantulon jälkeen olla taho, joka vastaa tietosuojan toteutumisesta juridisessakin mielessä. Se on iso muutos, koska sellaisia ei ole kovinkaan monessa suomalaisessa organisaatiossa tänä päivänä”, sanoo Jan Mickos.
Toinen uudistus asetuksessa koskee ilmoitusvelvollisuutta. Jos organisaation tietojärjestelmistä varastetaan henkilötietoja, asiasta pitää kertoa.
”Ongelmista tulee julkisia, kun tähän asti ne on halutessaan voinut pitkälti painaa villaisella. Hämminkiä voi aiheuttaa sekin, että ilmoittaa pitää kaikille niille henkilöille, joiden tietoja loukkaus koskee. Heitä pitää myös opastaa siihen, kuinka tulee toimia.”
Lisäksi odotettavissa on tuntuva sanktiointi laiminlyönneistä. Kaikella tällä halutaan ohjata EU:ssa organisaatioita suhtautumaan vakavammin yksityisyydensuojaan.
”Suunnitteilla on myös EU-tason kyberturvallisuusregulaatio, joka asettaa vaatimuksia eurooppalaisille organisaatioille varautua kyberuhkiin ja huolehtia kyberturvallisuudesta. Kyllähän EU-tasolla selvästi kiristetään vaatimustasoa ja lähestytään yhdysvaltalaista markkinaa tässä mielessä.”
Kun asetus on hyväksytty, se tulee sovellettavaksi kahden vuoden siirtymäajalla eli aikaisintaan vuoden 2018 alussa.
