Miten kyberpuolustaa oppimisympäristöjämme?

Koulutussektori on osoittautunut kiinnostavaksi kohteeksi kyberhyökkäyksille, ja uhka on valitettavasti konkretisoitunut jo useasti eri puolilla Suomea. Ennakointi, yhteistoiminta, käyttöoikeushallinta sekä koulutus ovat esimerkkejä puolustuskeinoista, joita tunnistettiin osana AAPA- ja AKTIV-verkostojen, eli ammattikorkeakoulujen ja toisen asteen oppilaitosten tietohallintojohtajien yhteistä työpajaa marraskuussa 2022.

Työpajan evästyksenä kuultiin Savonian kokemukset siihen alkuvuonna 2022 kohdistuneesta kiristysyrityksestä. Tyypillisiä tietoturvauhkia tällä hetkellä ovat kiristyshaittaohjelmat, palvelunestohyökkäykset sekä riski talvikauden sähkökatkoista.

Uhkien ennakoinnissa keskeinen periaate on muistaa inhimillisten tekijöiden vaikutus niin käyttäjien kuin palveluiden ylläpitäjienkin osalta. Organisaation toimintaprosesseihin ja teknologioiden ajantasaisuuteen voidaan resurssien puitteissa vaikuttaa, mutta ihmiset ovat järjestelmän heikko lenkki.

Käyttäjien tunnusten kalastelu on hyökkääjille tehokas keino löytää tunkeutumisreittejä ja tämä on kouluissa jo merkittävä ongelma. Kalastelukeinoja on monia: sähköposti, some, puhelin ja tekstiviestit. Huomiota tulisi kiinnittää vanhentuneiden tunnusten poistamiseen, käyttöoikeuksien rajaamiseen vain tarvittavaan sekä ylläpitotunnusten eriyttämiseen. Mikään yksittäinen tunnus ei saisi olla riskitekijä. Tietoturvan testaamiseksi on pilotteina nyt toteutettu itse organisoituja kalastelukampanjoita. Tuloksilla voidaan mitata ja havainnollistaa riskitasoa. Piloteista saatujen kokemusten perusteella niitä on syytä jatkaa.

Kun muutos on jatkuvaa ja uusia asioita virtaa omaksuttavaksi, vaihtelee käyttäjien tietoturvaosaamisen taso pakostakin. Tästä syystä tulisi olla prosessimaista, tietyin välein systemaattisesti toistuvaa tietoturvakoulutusta. Kun tällaisen järjestelyihin liittyy paljon avoimia kysymyksiä, voisi tilausta olla sektorin yhteisille koulutusaineistoille. Koulutusta on nyt yhdistetty mm. uusille henkilöille annettavaan perehdytykseen sekä tiettyihin muutosvaiheisiin, kuten vahvennetun tunnistautumisen käyttöönottoon.

Tietoturvakoulutuksen järjestäminen edellyttää tukea organisaation koko johdolta, se ei voi olla pelkästään tietohallinnon vastuulla. Esimiesten (ja opiskelijoiden osalta opettajien) vastuuta koulutukseen osallistumisen kattavuudesta tulee korostaa. On myös syytä miettiä sanktiot laiminlyöntitilanteisiin, jyrkimpänä esimerkkinä tunnusten sulkeminen.

Organisaatiojohdon yhteistyö on kriittinen tekijä myös uhkien ennakoinnissa ja niihin varautumisessa. OKM:n kesällä 2022 edellyttämä valmiussuunnitelmien päivitys ja siihen liittyvä harjoittelu ovat auttaneet huomaamaan tämän näkökohdan.

Riskipohjainen tarkastelu on yksi lähtökohta suunnitella varautumista. Muita hyviä käytänteitä ovat valmiiksi laaditut listat ensi vaiheen tärkeimmistä toimenpiteistä ja jako eri aikaikkunoille (esim. 30 min / 3 tunnin aikana). Suunnitelmat tulisi myös tulostaa paperille sähköttömiä tilanteita ajatellen. Huomiota pitää yhä enemmän kiinnittää kiinnostavan datan vääriin käsiin joutumisen riskiin.

Kriisitilanteita täytyy harjoitella ja korjata havaittuja puutteita. Digi- ja väestötietoviraston Taisto-harjoitukset ovat pätevä väylä. Ulkopuoliset tietoturva-auditoinnit ja korkeakoulujen tietoturva- eli SEC-verkostojen järjestämät harjoitukset ovat olleet enemmän yo-puolen vahvuuksia, joita voisi soveltaa laajemminkin.

Viestintä kriisin aikana on herkkä kohta, joten siihen ennalta valmistautuminen ja selkeä roolittaminen on erityisen tärkeää. Annetuilla lausunnoilla voi olla miljoonayleisö ja toisaalta vakavissa loukkauksissa viranomaiset todennäköisesti rajoittavat tutkinnallisista syistä ulos kerrottavia yksityiskohtia. Silti mahdollisimman avoin asiantuntijaverkostojen välinen tietojen vaihto auttaa oppimaan huonoistakin kokemuksista ja se vähentää kokonaisriskiä. Hyvänä esimerkkinä tähän kannustamisesta on Digi- ja väestötietoviraston kaksi viikkoa yhteisseminaarin jälkeen Savonialle myöntämä Vuoden Digiturvateko -tunnustus – perusteena oli aktiivisuus kertoa omista kokemuksista monissa tietoturvaan liittyvissä tilaisuuksissa.

Jaakko Riihimaa
IT-pääsihteeri
AAPA-verkosto