Kyber­turvallisuutta vahvistettava joka tasolla

Suomenlahden merenalaisen infrastruktuurin epäilty sabotaasi ja Suojelupoliisin ohje kotitalouksien reitittimien tarkistamisesta ovat nostaneet kyberturvallisuuden nyt suuren huomion kohteeksi. Ja aivan syystäkin. Kyberympäristön uhkataso on noussut, ja tähän on viime vuodet valmistauduttu myös EU-tasolla.

Juuri tämän vuoden alussa astui voimaan uusi EU-direktiivi kriittisten toimijoiden häiriösietokyvyn vahvistamisesta (CER). Suomessakaan ei kriittistä infrastruktuuria tai toimijoita ole ennestään laissa määritelty. Sitä tehdään nyt osana lain kansallista toimeenpanoa, samoin kuin riskiarvioita ja -strategioita näille kriittisille kohteille ja sektoreille.

Meidän jokaisen arki on entistä tiiviimmin kiinni internetissä. Niin älykellot, puhelimet, televisiot, jääkaapit kuin talojen lämmitykset tai lukituksetkin. Ennusteen mukaan vuonna 2030 internetiin on kytkettynä 30 miljardia laitetta. Tämä tarkoittaa myös uusia riskejä ja haavoittuvuuksia, jotka on pystyttävä torjumaan. Organisaatioihin kohdistuu kyberhyökkäys maailmanlaajuisesti joka 11. sekunti. Yleisimmin kyse on kiristysohjelmista tai palvelunestohyökkäyksistä. Monet organisaatiot ovat joutuneet maksamaan hyökkääjien vaatimia lunnaita. Digihuijaukset ovat rajussa kasvussa: Viime vuonna suomalaiset menettivät poliisin mukaan erilaisissa digihuijauksissa jo yli 30 miljoonaa euroa.

Tällä hetkellä kaikki digilaitteet eivät myöskään ole kyberkestäviä. Olemme Euroopan unionissa tekemässä nyt ensimmäisenä maailmassa sääntöjä internetiin kytkettävien laitteiden kyberturvallisuudesta. Toimin tässä yhtenä neuvottelijana. Uudessa CRA-kyberkestävyyssäädöksessä (Cyber Resilience Act) tullaan määrittämään säännöt internetiin kytkettävien laitteiden kyberturvallisuudesta. Säädöstä tullaan soveltamaan kaikkiin tuotteisiin, jotka on liitetty joko suoraan tai välillisesti verkkoon, esimerkiksi juuri reitittimiin. Jatkossa EU-alueella saa myydä ainoastaan laitteita, jotka täyttävät nämä vaatimukset. Laitteisiin lisätään sähkölaitteista tuttu CE-merkintä.

Samalla laitteiden valmistajalle tulee velvollisuus varmistaa laitteiden kyberturvallisuus niiden koko elinkaaren ajan tarjoamalla tietoturvatukea ja ohjelmistopäivityksiä.

Kasvaneet geopoliittiset jännitteet, sodat ja keskinäiset riippuvuudet lisäävät tarvetta varautua erilaisiin häiriöihin. EU-tasolla on käsitelty kuluneella kaudella iso nippu kyberturvallisuuteen liittyviä lainsäädäntöjä. Digitaalisessa ja yhteen verkottuneessa Euroopassa olemme vain niin vahvoja kuin heikoin lenkki. Siksi kyberturvallisuudesta on huolehdittava joka tasolla.

Kriittisen infrastruktuurin lainsäädännön lisäksi Suomessa on juuri toimeenpano meneillään myös uudesta kyberturvallisuuden NIS2-direktiivistä, joka vahvistaa EU:n ja sen jäsenmaiden kriittisten sektoreiden ja toimijoiden kyberturvallisuutta, riskienhallintaa ja poikkeamista raportointia. Se koskee sekä julkisia että yksityisiä keskeisten palveluiden tarjoajia energian, liikenteen, terveyden ja digitaalisen infrastruktuurin osalta. Vastaava lainsäädäntö on hyväksytty juuri myös EU-instituutiolle.

Sen lisäksi, että valtioille, julkishallinnolle ja yrityksille asetetaan nyt tiukempia vaatimuksia kyberturvallisuuden varmistamiseksi, jokaisen on syytä varautua myös itse. Toimia turvallisesti, myös netissä, ja pitää huolta kotivarasta.

Kannattaa huolehtia ohjelmistopäivityksistä laitteisiin, tehdä vahvat salasanat ja niihin tuplavahvistukset. On myös syytä suhtautua terveen varovaisesti sosiaalisessa mediassa kiertäviin linkkeihin, eikä klikata auki epäilyttävää sisältöä. Yksikään viranomainen ei kysy esimerkiksi salasanoja tai pankkitunnuksia puhelimitse tai sähköpostitse.

Kyberturvallisuus ei ole ainoastaan viranomaisten tai yritysten asia, vaan se koskee meitä kaikkia. Siksi jokaisen on syytä olla valppaana.

Julkaistu Uudessa Suomessa 18.10.2023.

Henna Virkkunen - Kokoomus