EU:n kyberturvallisuusdirektiivi (NIS2) astui voimaan Suomessa huhtikuussa. Direktiivi asettaa merkittäviä teknisiä vaatimuksia organisaatioille, jotka toimivat kriittisillä aloilla. Vaatimuksiin kuuluvat muun muassa monivaiheinen tunnistautuminen, salaus, haavoittuvuuksien hallinta, pääsynhallinta ja lokiauditointi. Joitain organisaatioita voi koskettaa myös vaatimus kriisiajan kommunikointijärjestelmistä.
Blogin ensimmäisessä osassa käsiteltiin direktiivin taustoja sekä keskeisiä velvoitteita organisaatioille, jotka kuuluvat sen soveltamisalaan. Tässä blogin toisessa osassa syvennytään niihin teknisempiin vaatimuksiin, joita direktiivi asettaa toimijoille.
Monivaiheinen tunnistautuminen (MFA)
Monivaiheinen tunnistautuminen (Multi-Factor Authentication, MFA) on yksi tärkeimmistä tietoturvavaatimuksista. NIS2 edellyttää, että organisaatiot ottavat käyttöön MFA:n erityisesti käyttäjille, joilla on pääsy kriittisiin järjestelmiin ja tietoihin. Tämä vähentää riskiä, että luvattomat henkilöt pääsevät käsiksi järjestelmiin varastettujen tai heikkojen salasanojen avulla. Tulevaisuuden kestävät MFA-ratkaisut ovat myös kalastelun kestäviä ja siihen paras ratkaisu on salasanaton tunnistautuminen.
Salasanat ovat yli 60-vuotta vanha keksintö. Vaikka salasanaa vahvistetaan kertakäyttöisellä salasanalla esimerkiksi puhelimen autentikaattorista, se ei suojaa kalastelulta. Salasanaton menetelmä perustuu ns. asymmetriseen salaukseen (salainen avain ja julkinen avain), jolloin kalastelu ei onnistu samalla tapaa kuin perinteisiin salasanoihin kohdistuvat kalasteluhyökkäykset. Tämä teknologia auttaa myös organisaatioita välttämään ihmisten tekemiä virheitä kuten kalastelulinkkien klikkailua, koska perinteinen kalastelu ei toimi enää salasanatonta tunnistautumista vastaan.
Helmikuussa 2025 uutisoitiin, että Valion tietomurrossa hyökkääjä oli saanut haltuunsa yhden Valion alihankkijan käyttäjän VPN-tunnukset. Tämän VPN-yhteyden avulla hyökkääjä oli päässyt Valion sisäverkkoon ja pystyi ajan myötä tekemään siellä tiedustelua sekä etsimään haavoittuvuuksia ja heikkouksia (ns. lateraali liike). Lopulta tiedustelu tuotti tulosta: pääsy arkaluontoisiin tietokantoihin avautui ja tilanne oli menetetty. Tässäkin tapauksessa hyökkäys olisi hyvin todennäköisesti voitu estää käyttämällä vahvaa tunnistautumista, sillä julkisuuteen annettujen tietojen perusteella hyökkääjä ei murtautunut Valion sisäverkkoon, vaan kirjautui sinne.
Salaus ja tietojen suojaaminen
NIS2-direktiivi painottaa myös salauksen merkitystä tiedon suojaamisessa. Organisaatioiden on käytettävä vahvoja salausmenetelmiä sekä tiedon säilytyksessä (data at rest) että tiedon siirrossa (data in transit). Tämä tarkoittaa muun muassa:
- Kovennettuja salaustekniikoita (turvallisia salausalgoritmeja ja riittäviä avainpituuksia)
- End-to-end-salausta (E2EE) arkaluontoiselle viestinnälle
- Turvallisia salausavaintenhallintajärjestelmiä
- Työasemien sekä palvelinten kovalevysalausta
Monesti salauksessa luotetaan ns. TLS-salaukseen. Tämä tarkoittaa sitä, että esimerkiksi selainliikenne on ns. https-tyyppistä, jolloin se on salattua. Salauksilla on kuitenkin eroja ja oleellista on tunnistaa, mitä salausta kussakin tilanteessa tulisi käyttää. Lisäksi käynnissä on ns. kryptomodernisaatio eli kvanttitietokoneiden laskentatehon muodostaman uhkan huomioon ottaminen salausratkaisuissa. Nykyisin kaikki käytössä olevat valtavirran salaukset perustuvat salausalgoritmeihin, joita kvanttitietokoneet pystyvät tulevaisuudessa murtamaan. Tämän vuoksi edistykselliset organisaatiot myös tutkivat mahdollisuuksia ottaa käyttöön Post Quantum Cryptography (PQC) pohjaisia salausratkaisuja, jotka ovat immuuneja kvanttilaskennalle.
Haavoittuvuuksien hallinta ja ohjelmistojen päivittäminen
Organisaatioiden on varmistettava, että niiden järjestelmät ja ohjelmistot pysyvät ajan tasalla. Tämä tarkoittaa säännöllisiä tietoturvapäivityksiä, haavoittuvuuksien skannausta sekä kyberturvatestauksia, kuten penetraatiotestausta. Näiden valvontamekanismien avulla kyetään havainnoimaan ja poistamaan mahdolliset haavoittuvuusongelmat ennen niiden syntymistä. Tämä on merkittävä osa riskienhallintaa, jonka täytyy NIS2-vaatimuksien mukaan olla systemaattista.
Pääsynhallinta ja vähimmän oikeuden periaate
Pääsynhallinta on keskeinen osa tietoturvaa. NIS2 edellyttää, että organisaatiot soveltavat vähimmän oikeuden periaatetta (Least Privilege), jolloin käyttäjillä on vain ne käyttöoikeudet, jotka ovat välttämättömiä heidän tehtäviensä suorittamiseksi.
Role-based access control (RBAC) on menetelmä, jolla käyttäjien oikeuksia voidaan rajoittaa kattamaan vain heidän työtehtäviinsä tarvittavat minimikäyttöoikeudet eri sovelluksissa. Liittämällä käyttäjätunnuksien hallintaan esimerkiksi kertakirjautumisen (Single-Sign-On – SSO) voidaan luoda käyttäjärooleja, määritellä roolin oikeudet kussakin sovelluksessa sekä hallita niiden elinkaarta esimerkiksi asettamalla niille määräaikainen voimassaolo. Tämä, yhdistettynä kalastelun kestävään tunnistautumiseen, vähentää merkittävästi koko organisaation altistumista hyökkäyksille.
Lokiauditointi ja tietoturvavalvonta
Organisaatioiden on pystyttävä tarkastelemaan ja analysoimaan tietoturvalokien tapahtumia. Tämä edellyttää tehokkaita lokinhallintajärjestelmiä (SIEM) sekä jatkuvaa valvontaa ja poikkeamien havaitsemista esimerkiksi EDR- (Endpoint Detection and Response) tai XDR- (Extended Detection and Response) järjestelmien avulla.
Netum auttaa organisaatioita täyttämään NIS2-direktiivin asettamat vaatimukset tarjoamalla arviointipalveluita, teknistä konsultointia sekä tietoturvan johtamisen mallin ja työkalut, jotka täyttävät NIS2 vaatimukset.
Jos haluat varmistaa, että organisaatiosi täyttää NIS2-vaatimukset ja suojautuu kyberuhkilta tehokkaasti. Ota yhteyttä niin aloitetaan tietoturvan kehittäminen yhdessä!
Arimo Koivisto
Vanhempi kyberturvallisuuskonsultti, Netum Oy
arimo.koivisto@netum.fi
