Verkkosivusto on monelle organisaatiolle liiketoiminnan jatkuvuuden kannalta kriittinen järjestelmä ja vielä useammalle viestinnän kannalta. Mutta oletko pysähtynyt pohtimaan mahdollisten häiriötilanteiden ja tietoturvapoikkeamien aiheuttamia vaikutuksia organisaatiosi toimintaan? Ja sitä, miten verkkosivuston kyberturvallisuutta kannattaisi kehittää?
Laadukkaasti toteutettu, käytettävyydeltään korkeatasoinen ja korkean saatavuuden verkkosivusto lisää organisaation uskottavuutta ja luotettavuutta. Verkkosivuston kriittisyyttä voi pohtia muutaman tarkentavan kysymykseen kautta:
- Onko verkkosivustollasi tärkeitä lomakkeita, upotuksia, integraatioita tai muita transaktioita sisältäviä ominaisuuksia?
- Sisältääkö verkkosivustosi tärkeää tai jopa laissa vaadittua ajantasaista tiedottamista? (pörssitiedotteet, viranhaltijapäätökset, tärkeät yhteystiedot henkilöistä, toimipisteistä tai asiointikanavista)
- Kertyykö asiakaspalautetta häiriötilanteissa yleensä nopeasti tai paljon?
- Kuinka pitkään organisaatiosi kestää kokonaan ilman toimivaa verkkosivustoa; tunnin, useita tunteja vai päiviä?
- Onko sisäiseen ja ulkoiseen kriisiviestintään kykeneviä henkilöitä vähän vai useita?
Tietoturvaseteli uutena tukena
Valtioneuvosto antoi lokakuun 13. päivänä asetuksen tuesta tietoturvan kehittämiseen, jonka päätavoite on lisätä yhteiskunnan ja kansalaisten turvallisuutta sekä huoltovarmuutta nopeasti muuttuneessa turvallisuusympäristössä. Tukea on haettavissa yhteiskunnan toiminnan kannalta kriittisten alojen yrityksille 1. joulukuuta 2022 alkaen Kyberturvallisuuskeskukselta.
Miten ja mihin tukea on saatavissa?
Tukea on euromääräisesti kahta eri tasoa, 15 000 ja 100 000 euroa, joista suurempi on varattu hyökkäyksenestotestaukseen ja kriittisimpien sähköisten palveluiden testaukseen ja välittömiin tietoturvaparannuksiin. Pienempi tuki on suunnattu pienille ja keskisuurille yrityksille tietojärjestelmien tarkastus- ja arviointityöhön, tietoturvan parantamiseksi tehtävään hankintaan, henkilökunnan kouluttamiseen tai muuhun osaamisen kehittämiseen taikka muuhun vastaavaan yrityksen tietoturvallisuutta kehittävään toimeen. Pienemmässä setelissä ei ole myöskään omavastuuta kuten isommassa setelissä, joka kattaa enintään 70% kuluista.
Kenelle tukea?
Ennakkotapauksia siitä, millainen kehittämisprojekti hyväksytään tai hylätään, ei ole tällä hetkellä saatavilla julkisista lähteistä. Mutta siinä tapauksessa, kun verkkopalvelu on osana kansallista huoltovarmuutta tai kuuluu alaan, joka on yhteiskunnan toiminnan kannalta kriittinen, tukea voisi olla saatavilla. Valun tarjoamista tietoturvallisuutta parantavista ratkaisuista esittelen muutaman vaihtoehdon:
Valu Valmiussivusto – häiriötilanteisiin suunniteltu verkkosivusto
Valmiussivuston avulla voidaan parantaa organisaation kyvykkyyttä vastata esimerkiksi julkista verkkosivustoa koskettavaan vakavaan häiriöön, tai vaikka pääsivusto olisi saatavilla, halutaankin ohjata poikkeustilanteen viestintä ja tiedottaminen kokonaan omaan verkkopalveluun nopeasti. Verkkosivustojen avulla on huomattavasti helpompaa hoitaa häiriötilanteen viestintää kuin some-kanavien kautta. Yhteispelillä some-kanavien kanssa valmiussivustolla varustettu organisaatio pystyy tehokkaasti viestimään akuutista häiriötilanteesta huolimatta.Valmiussivuston suunnittelu ja toteutus on osa kyberuhkiin varautumista ja se on tehtävä ennalta. Häiriötilanteen yllättäessä ei enää ehditä rakentamaan suojauksia tai ottaamaan käyttöön valmiustyökaluja.
Valu Muuri – tekoälyyn pohjautuva suoja palvelunestohyökkäyksiin
Palvelunestohyökkäysten yhteydessä julkisuudessa puhutaan usein palvelun ruuhkauttamisesta, mutta on yli sata erilaista tapaa toteuttaa palvelunestohyökkäys – ja tehdä se opiskelijabudjetilla. Vaikuttavuudeltaan jo varsin merkittävän, hajautetun hyökkäyksen, voi ostaa tilaustyönä verkon pimeillä kauppapaikoilta alkaen sadalla eurolla. Valu Muuriin sisältyvä tekoälyyn pohjautuva DDoS-suojaus auttaa, jos tehdyistä perustason suojauksista huolimatta hyökkääjä ei lopeta vaan vaihtaa hyökkäystekniikkaansa yrittäessään ruuhkauttaa ja kaataa verkkopalvelun. Myös Kyberturvallisuuskeskus suosittelee haitallisen tietoliikenteen suodattamisessa esimerkiksi pakettipesuria, joka sisältyy myös Valu Muuriin.
Valu Turvalukko – pääsynhallinnan vahvistamiseen
Verkkosivuston suojaamisessa sovellus- ja verkkotason palomuurin ja tunkeutumisenestojärjestelmän käyttö ehdottomasti kannattaa, mutta niillä ei voida estää tilanteita, joissa ylläpidon tunnukset pääsevät vuotamaan. Jos verkkosivuston julkaisujärjestelmään päästään murtautumaan, on ensiarvoisen tärkeää, että on tunnistettu etukäteen, mitä ylläpidon tunnuksilla sallitaan tehdä ja on toteutettu tarvittavat rajoitukset suunnitelman mukaisesti. Sivustoa ei saa pystyä ohjaamaan toisaalle, levylle kirjoittaminen pitää estää ja lisäosia ei saa pystyä asentamaan itsepalveluna.
Valun tarjoamissa ratkaisuissa on otettu sivuston hallinnan suojaamisen kärjeksi monivaiheinen tunnistaminen, IP-rajaukset ja muut täydentävät palomuurisäännöt. Kaksivaiheisen todennuksen käyttö suojaa sivustoasi luvattomilta muutoksilta, jotka voivat aiheuttaa sekä suoraa haittaa että selvitystyötä ja sitä kautta kustannuksia.
Varautuminen on investointi, joka ehdottomasti kannattaa
Kustannustehokkainta on parantaa verkkosivuston suojausta tunnistetuilta kyberuhkilta kunkin organisaation omien resurssien sallimissa puitteissa ja harjoitella toipumiseen liittyvät aktiviteetit säännöllisesti. Kyberturvallisuutta kehitettäessä on tärkeää, että otetaan huomioon suojattavat ICT-palvelut kokonaisuudessaan.
Ratkaisut ja työkalut verkkosivustojen tehokkaaseen suojaamiseen ovat olemassa, ne ovat kaikenkokoisten organisaatioiden saatavilla ja hyödynnettävissä. Nyt kun tukea tietoturvan kehittämiseen on saatavilla, on erittäin hyvä hetki aloittaa konkreettiset toimenpiteet oman organisaation häiriönsietokyvyn parantamiseksi ja kyberturvallisuuden edistämiseksi Suomessa.