MPK – Maan kattavin kokonaisturvallisuuden kouluttaja

Maanpuolustuskoulutusyhdistys
Försvarsutbildningsföreningen

26.11.2019

Kyberturvallisuuden peruskurssin tarkoituksena on avata osallistujille kyberturvallisuuskäsitteitä eri lähtökohdista (rikoslaki, yritystoiminta ja viranomaistahojen toiminta, mobiililaitteiden turvallisuus). Kurssilla pyritään lisäämään ymmärtämystä arkipäivän uhista ja riskeistä.

Lainsäädäntötaustaisesti asiaa lähestyttiin katsomalla mitä rikoslaki sanoo mm. tietoliikenteen häirinnästä, tietomurroista, identiteettivarkauksista tai viestintäsalaisuuden loukkauksesta.  Kyberrikokset eivät välttämättä noudata maan rajoja, minkä maan lainsäädäntöä siis noudatetaan? Päivän lakipakettia täydennettiin vielä GDPR tietosuoja-asetuksen kertaamisella.

Kurssilaiset saivat käytännön vinkkejä mobiililaitteiden sekä selainten tietoturvalliseen käyttöön kuten sovellusten oikeuksien rajaamiseen. Motto ”Lievä paranoia on iloinen asia” tarkoittaa, että tietynlainen terve varauksellisuus laitteiden ja sovellusten käytössä on ihan paikallaan.

Salasanoista puhutaan paljon ja syystäkin. Liian moni käyttää samoja, mahdollisesti vielä heikkotasoisia salasanoja eri palveluissa, jolloin käyttäjätietojen paljastumisella saattaa olla laajakantoiset seuraamukset. Toivottavasti kurssin oppien jälkeen salasanojen oikeat käytänteet viedään käytäntöön; salasanan sijaan voisi olla salalause, joka on riittävän pitkä, ei sisällä perusmuotoisia sanoja, on helposti muistettava mutta vaikeasti arvattava ja se on joka palvelussa oma ja erillinen. Muistikapasiteetin rajallisuuteen voi löytyä apua erilaisista salasanahallintaohjelmista, joita yhtä testattiin ihan käytännössä.

Toisena käytännön harjoituksena käytiin läpi kotireitittimien konfigurointia eli millä toimenpiteillä kotiverkkoa saadaan tuunattua tietoturvallisempaan suuntaan. Ohjeiden avulla kynnys ottaa reitittimien tietoturvallisuus omiin käsiin toivottavasti laski.

Kyberhyökkäykset tai uhat liiketoiminnassa ovat jo arkipäivää: haittaohjelmat, tietojen kalastelut ja toimitusjohtajahuijaukset ovat miljardien arvoista rikollista toimintaa.  Yritykselle realisoituneet kyberuhat tarkoittavat taloudellisia menetyksiä, toimintojen häiriintymistä, mainehaittoja ja mahdollisia juridisia seuraamuksia (esim. GDPR).

Kyberturvallisuudessa kuitenkin ihmiset ovat tietotekniikkaakin tärkeämmässä asemassa. Yrityksellä on toki oltava toimivat tietoturvapolitiikat, järjestelmien suojaaminen ja päivittäminen kunnossa. Tämän lisäksi tietoturvaa on testattava, häiriötilanteita harjoiteltava ja samalla arvioida liiketoiminnan jatkuvuussuunnitelmien toimivuutta.  Paljon riippuu kuitenkin osaavista työtekijöistä, jotka ovat omaksuneet tietoturvalliset työkäytänteet ja toimivat niiden mukaisesti. Kun sekä tietotekniset että inhimilliset osa-alueet ovat kunnossa, on yrityksen resilienssi vahva kun, ei jos, kyberhyökkäys iskee. Kyberturvallisuuden perusasioiden opettelu ja harjoittelu pitäisikin nykyään olla samanlainen kansalaistaito, kun ensiaputaidot.

Viranomaistoiminnan osuudessa Kyberturvallisuuskeskuksen edustaja kertoi keskuksen roolista kansallisena tietoturvaviranomaisena. Yhteistyötä tehdään kansallisesti mm.  KRP:n, Suojelupoliisin, paikallispoliisin, Väestörekisterikeskuksen, eri ministeriöiden, Puolustusvoimien ja tietosuojavaltuutetun toimiston kanssa. Luonnollisesti Kyberturvallisuuskeskus toimii myös useissa kansainvälisissä verkostoissa.

Tilannekuvan luominen on yksi Kyberturvallisuuskeskuksen tehtävistä.  Palveluina ovat varoitukset, Tietoturva nyt -tiedotteet, uutis- ja haavoittuvuustiedotekosteet meilit, Kybersää ja tietoturvaoppaat. Kyberturvallisuuskeskus tarjoaa luottamuksellista ja maksutonta ohjeistusta ja koordinointia tietoturvaloukkauksissa: tiedon jakamista, teknistä analyysiä, lainopillista neuvontaa ja tukea.

Kyberturvallisuuskeskus Twitterissä @certfi

Yhtenä turvallisuusympäristöön vaikuttavista asioista on hybridivaikuttaminen. Sen takana voi olla joko valtiollinen tai ei-valtiollinen toimija, joka pyrkii erilaisilla, toisiaan täydentävillä keinoilla ja kohteen heikkouksia hyödyntämällä saavuttamaan omat tavoitteensa. Tavoitteisiin pääsemistä voi edistää esim. luomallaan yhteiskunnallista epävakautta ja poliittisen päätöksenteon hankaloittamista. ”Hajoita ja hallitse” menetelmällä pyritään luomaan epäluottamusta yhteiskuntaan sekä viranomaisia kohtaan mutta myös meidän kansalaisten keskuudessa. Hybridivaikuttamisessa yhdistyvät monet vaikuttamisen keinot. Hybridivaikuttamista tehdään esimerkiksi informaatio-, kyber-, fyysisten ja taloudellisten operaatioiden avulla.  Yksittäinen ihminen voi torjua hybridiuhkia muun muassa huolehtimalla omasta tietoturvallisuudestaan. Informaatiovaikuttamisessa tärkeää on tunnistaa vaikutusyritykset, välttää väärän tiedon eteenpäin jakamista ja hankkia oikeaa tietoa.

Erehtyväisten ihmisten vaikutus (kyber)turvallisuuteen on monessa kohtaa keskiössä. Tekniset järjestelmät, prosessit taikka palomuurit saattavat olla viritettyinä kohdilleen mutta kun meihin pyritään vaikuttamaan myös teknisesti tai henkisesti vetoamalla primitiivisiin tunteisiin tai yksinkertaisesti luottamalla ihmisten laiskuuteen. Silloin vaaditaan kansalaisilta tietoa, ymmärrystä ja sitä pientä ”paranoiaa” havaitsemaan tilanteet ja riskit ja toiminaan niiden mukaisesti. Kyberperuskurssi toivottavasti lisäsi tätä osallistujien tietopääomaa omalta osaltaan. Kurssi antaa valmiuksia osallistua jatkokursseille ja tämä polku olikin monelle kurssilaiselle ollut myös syy osallistua tälle peruskurssille.

Kyberturvallisuuden peruskurssi on osa ensimmäiseen tasoon kuuluvasta kyberturvallisuuden koulutusohjelmasta.

MPK:ssa on parhaillaan hyväksyttävänä päivitetty versio koulutusohjelmasta. Ohjelma tulee koostumaan jatkossakin kolmesta koulutuskokonaisuudesta eli kyberturvallisuuden perus- ja jatko-osaamisen sekä soveltamisen koulutuskokonaisuuksista. Perusosaamiseen tullaan liittämään mukaan verkko-opiskelun osuuksia, jotka tulee olla suoritettuina ennen lähiopiskeluun osallistumista. Yleisestikin pyrkimys on tuoda mahdollisuuksien mukaan verkko-opetus osaksi kaikkia kursseja. Jatko-osaamisen ja soveltamisen koulutuskokonaisuuksissa syvennetään osaamista valitulla osaamisalueella kuten tekninen kyberturvallisuus, informaatiovaikuttaminen tai hybrivaikuttaminen.