Katse tietoliikenneverkkojen kyberuhkiin – miten voimme suojautua?
Suomelle tietoliikenneverkkojen toimintavarmuus, turvallisuus ja luotettavuus ovat elinehto. Tämä vaatimus koskettaa maamme rajojen sisällä kulkevien yhteyksien lisäksi muun muassa merikaapeleita, jotka yhdistävät meidät muuhun maailmaan ja tekevät Suomesta entistä keskeisemmän solmukohdan globaalille dataliikenteelle.
Miten sitten pystymme vastaamaan koviin vaatimuksiin ja rakentamaan luottamusta verkkoihin? Ciniassa tämä kysymys on joka päivä pöydällä. Teemaan pureutui hyvin avoimesti, isoja haasteita kiertelemättä ja monesta eri näkökulmasta Cinian järjestämä kyberturvatilaisuus, jonka juontajana äskettäin toimin.
Jännittävimmät ja ajankohtaisimmat riskienhallinnan haasteet liittyvät Suomesta Aasiaan suunniteltuun Arctic Connect- eli Koillisväylä-merikaapeliin. Yhteyden kyber- ja muuta turvallisuutta on nyt tutkittu hyvin monipuolisesti Jyväskylän yliopiston informaatioteknologian tiedekunnan kriittisen infrastruktuurin tutkimusryhmän, japanilaisen Hokkaidon yliopiston ja Naton asiantuntijan yhteistyönä.
Merikaapelit kybertiedustelun houkutteleva kohde
Tutkimusryhmä tarkasteli Koillisväylää ARCY-tutkimusraportissaan geopolitiikan ja strategisen kybertiedustelun, kansainvälisen oikeuden ja kyberuhkien kannalta. Työn tuloksia esitteli kyberturvallisuuden professori Martti Lehto.
Koillisväylän kannalta geopoliittisesti oleellisia maita ovat Kiina ja Venäjä. Kiinalla on kasvava tietoliikenneyhteyksien kaistanleveyden tarve sekä halu luoda sekä fyysinen että virtuaalinen silkkitie. Koillisväylä täydentää ja varmentaa eteläisempiä reittejä, mutta sen vahva valtti on lyhyin välimatka eli pienin latenssi. Venäjä puolestaan on reitin merenpohjan pääomistaja, joka on entistä aktiivisempi arktisella alueella. Venäjällä on alueen viestintäyhteyksille omat tarpeensa, mutta raportin mukaan niiden täyttämiseksi maalta puuttunee omaa teknologiaa ja infrastruktuuria.
Riskianalyysin lähtökohtana oli havainto, että maailman tietoliikenteestä peräti 95 prosenttia kulkee merenalaisissa datakaapeleissa. Tämän vuoksi ne ovat kriittinen datan valtaväylä, joka herättää suurta mielenkiintoa – mukaan lukien suurvallat ja verkkorikolliset. Merikaapeleille riskejä muodostavat myös kalastajat, ruoppaajat, hait ja luonnontuhot. Pelkästään Atlantin kaapeleleissa on katkoja keskimäärin 50 kertaa vuodessa!
Kansainvälinen merioikeus suojaa merikaapeleita kybertiedustelulta vain sen verran, että se kieltää kaapelien katkaisemisen tai muun vaurioittamisen. Tämä ei kuitenkaan estä urkintaa, sillä kaapelien optinen ylikuuntelu on mahdollista. Lohtuna on se, että vain suurvalloilla on tämän vaatimaa kehittynyttä tekniikkaa ja syvänmeren tiedustelutehtäviin suunniteltuja aluksia. Toisaalta, maareiteillä kulkevien kaapeleihin pääsy on huomattavasti helpompaa, joten maakaapeleiden suojaukseen on kiinnitettävä vähintään yhtä suurta, jos ei suurempaakin huomiota.
Miten voimme parantaa tietoliikenteen turvallisuutta?
Tietoliikenneverkkojen uhkia ei tarvitse liioitella, mutta meidän kannaltamme tärkeintä on rakentaa turvallisuutta tavalla tai toisella. Mitä siis voimme tehdä?
Paras keino on tietoliikenteen luotettava ja tehokas salaus päästä päähän. Silloin voidaan olla varmoja, että ulkopuoliset eivät pysty käyttämään viestien hyötykuormaa ainakaan helposti hyödykseen. Olen seurannut läheltä, kuinka paljon töitä on tehty myös Suomen kansallisen salauskyvykkyyden rakentamiseksi, mikä on kansallisesti erittäin tärkeää.
Kyberturvallisuuskeskuksen johtaja Jarkko Saarimäki muistutti, että verkkorikolliset menevät yli siitä, missä aita on matalin. Kääntäen tästä seuraa, että tekemällä hyökkääjän toiminnan mahdollisimman vaivalloiseksi saa jo aimo annoksen turvallisuutta. Varman kuvan omien järjestelmien turvallisuustasosta saa tekemällä riskiarvion. Arvion toteutus laadukkaasti on kuitenkin useimmille ylivoimainen tehtävä, samoin jatkotoimenpiteet.
Tietoturvan toteuttamisessa on usein järkevintä hankkia osa tarvittavasta osaamisesta alan asiantuntijayrityksiltä eli ulkoistaa, totesi Cinian palvelu- ja kyberturvallisuusyksikön johtaja Anssi Kärkkäinen. Vahva perustelu on jo se, että tietoverkkojen riskienhallinnassa keskeiseksi nousee tarve havaita mielellään reaaliajassa, mitä verkoissa on meneillään. Tilannekuvasta täytyy olla selvillä ympäri vuorokauden, koska uhkat eivät rajoitu virka-aikaan.
Monellako organisaatiolla Suomessa on resursseja itse valvoa ja kehittää verkkojensa turvallisuutta sekä kyky reagoida aikaa hukkaamatta, jos jotakin tapahtuu? Cinialla tämä kyvykkyys on tuotteistettu palveluksi, joka on luotu oman infrastruktuutin suojaamisen tarpeita ajatellen, mutta samalla myös asiakkaitamme varten. Pyrimme rakentamaan jokaisen asiakkaan kanssa syvän kumppanuussuhteen, jossa palvelun taso ulottuu tarvittaessa asiakkaan IT-infrastruktuurin täyteen operointiin.
Kun ponnistelemme tietoverkkojen kyberturvallisuuden ylläpitämiseksi, on omaa kyvykkyyttä verrattava tunnistettuihin uhkiin ja tämä on tehtävä avoimesti – oli kyse sitten Cinian omista tai asiakkaittemme verkoista. Avoimuus edistää oikeiden ratkaisujen tekoa. Se palvelee myös luottamuksen rakentamista ja se on välttämätön edellytys, kun luodaan toimivia kumppanuuksia.
- Pertti Hyvärinen, Tietohallinto- ja kyberturvallisuusjohtaja, Cinia
Pertti Hyvärinen työskentelee Cinian turvallisuus- ja tietohallintojohtajana. Hänellä on pitkä kokemus kyberturvallisuuden johtamisesta turvallisuuskriittisissä organisaatioissa. Pertillä on keskeinen rooli Cinian Kyberturvallisuusneuvostossa, joka toimii yhtiön johdon neuvonantajana kyberturvallisuuteen liittyvissä asioissa.
Lue lisää Cinian kyberturvallisuuspalveluista.
MERIKAAPALEIDEN KYBERTURVALLISUUTTA KÄSITTELEVÄ TUTKIMUSRAPORTTI JULKAISTU
Arctic Connect Project and Cyber Security Control -tutkimuksen tavoitteena oli selvittää merikaapeleiden kyberturvallisuuteen liittyviä uhkia ja kuinka niihin voidaan vastata. Työ tukee erinomaisesti Ciniassa käynnissä olevaa selvityshanketta kyberturvallisen tietoliikennekaapelin rakentamiseksi Euroopasta Aasiaan koillisväylän kautta. Tutkimusraportti julkaistiin 29.4.2019.
Haluatko saada tutkimusraportin käyttöösi? Jätä meille yhteystietosi niin toimitamme sinulle raportin.