Kyberturvallisuusdirektiivin (NIS2) soveltaminen alkaa 18.10. Monissa direktiivin piirissä olevissa organisaatioissa valmistautumista on tehty sekä omin että ulkopuolisten asiantuntijoiden voimin. Millaisia vaatimuksia NIS2 asettaa riskienhallinnalle?
Riskienhallinta on NIS2:n ydin. Tähän liittyen kriittisin puute onkin juuri se, että riskienhallinnan toimintamalli monesta organisaatiosta edelleen puuttuu. Kyberturvallisuusdirektiivin ideana on paitsi vahvistaa turvallisuutta yhteiskunnan kannalta kriittisillä toimialoilla mutta myös lisätä turvallisuuskäytäntöjen läpinäkyvyyttä näissä organisaatioissa. NIS2 on lopulta osa ihan jokaisen arkea, koska sen tarkoituksena on varmistaa ja turvata yhteiskunnan kannalta kriittisten toimintojen jatkuvuus myös poikkeustilanteissa.
”Edelleen aika monesta organisaatiosta puuttuu riskienhallinnan politiikka ja siitä seuraa, että kyberriskien seuranta ja hallinta on vaillinaista. Esimerkiksi vanhat verkkolevyt ovat riski, jos ei tiedetä, mitä dataa niissä on ja kuka niitä ylläpitää. Tieto-omaisuuden riskienhallinta on oltava dokumentoitua, että voidaan helposti tarkistaa vastuut, Loihteen tietoturvakonsultti Laura Halonen kertoo.
Riskienhallinta alkaa siitä, että kartoitetaan organisaation tieto-omaisuus ja sen hallintaan tarvittava laitteisto ja järjestelmät. Kun ympäristö tunnetaan, määritetään kriittisyysluokat. Suojaus-, ylläpito- ja palautussuunnittelu aloitetaan kaikkein kriittisimmistä järjestelmistä.
”Myös omaan ympäristöön liittyvien tietoturvauhkien seuranta on osa varautumista”, Halonen jatkaa.
Halosen mukaan jatkuvuus voidaan nähdä paitsi kriittisenä osana riskienhallintaa myös sitä seuraavana askeleena. Käytännössä kyse on ennalta määritetystä ohjeistuksesta, miten toimitaan mahdollisessa häiriötilanteessa. Jatkuvuudessa voidaan nähdä neljä keskeistä vaihetta.
”Ensin on määriteltävä, miten poikkeama tai haitallinen tapahtuma havaitaan. Toiseksi on oltava selkeät vastuut siitä, kenelle selvitystyö ja analysointi kuuluu. Lokitiedot ovat tässä merkittävässä roolissa”, Halonen selvittää.
Kolmantena kohtana on viestintä eli organisaatioiden on kirjattava, miten häiriötilanteessa viestitään ja kenelle. Poikkeamasta on ilmoitettava 24 tunnin sisällä valvovalle viranomaiselle ja lisäksi niille tahoille, joita poikkeama koskee.
”Jos haaste ei ole ratkennut tässä ajassa, päivitys tehdään 72 tunnin kuluessa uudestaan. Kun asia on saatu selvitettyä, tulee toimittaa 30 päivän kuluessa raportti poikkeamasta ja sen ratkaisusta valvovalle viranomaiselle.”
Neljäs vaihe liittyy testaukseen ja harjoitteluun. Valvonnan varmistamisen lisäksi käyttäjien kouluttaminen on osa jatkuvuuden hallintaa. Valvontaa voidaan koetella esimerkiksi penetraatiotestauksella ja käyttäjiä esimerkiksi koulutuksen jälkeen toteutettavilla kyselyillä.
”NIS2 edellyttää, että käyttäjät saavat koulutusta ja että koulutuksen vaikutusta testataan. Kaikki tämä on dokumentoitava”, Halonen jatkaa.
Vaikka prosessit ja dokumentoitu tekeminen nousevat NIS2:ssa keskeiseen rooliin, käytännön työssä yhteistyön merkitys eri henkilöstöryhmien välillä nousee myös tärkeäksi. Tiedon on kuljettava niin teollisuuden OT-verkoista vastaavien kuin IT-verkoista huolehtivien kesken kuin vaikkapa HR:nkin suuntaan.
”On havaittu, että sitoutuneet ja pitkäaikaiset työntekijät toimivat tietoturvallisemmin. Sitoutuminen edistää siis tietoturvaa, samoin yhteistyö”, Halonen arvioi.
NIS2 edellyttää koko toimitusketjun hallintaa eli yhteistyö tiivistyy myös toimittajien suuntaan. Mitä tärkeämmästä eli kriittisemmästä toimittajasta on kyse, sitä tiheämmin yhteyttä kannattaa pitää ja seurata vaatimusten, kuten esimerkiksi päivitysten ja varmuuskopioinnin, toteutumista.
”Tekniseltä kannalta assettien hallinta on myös valvonnan ja reagoinnin perusta. Jokainen pääte- ja verkkolaite sekä mahdolliset toimittajien tuomat laitteet on tunnistettava ja tiedettävä niiden merkitys ja sovittava omistajuudesta.”
PS. Katso aiheesta 24.9. pidetyn webinaarin tallenne.
PPS. Tutustu NIS2-sivuihimme, joilta löydät tuhdin tietopaketin kyberdirektiivistä.