Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja
Akatemian etusivu
Blogit
AI Act, kyberriskej√§ ja tietoturvaloukkauksia: Digiturvamallin tuote- ja uutiskooste 1/2024 ūüõ°ÔłŹ

Tämä on tammikuun uutis- ja tuotekatsaus Digiturvamallilta. Ilmoittautuaksesi seuraavaan pääkäyttäjäwebinaariimme (jossa käymme nämä asiat läpi livenä) käy Webinaarit-sivullamme.

Tärkeimmät digiturvauutiset 1/2024

EU reaches deal on world's first comprehensive AI regulation

Artikkeli osoitteessa iapp.org

Euroopan unioni on kehittänyt maailman ensimmäisen kattavan tekoälysäännöksen. Vaatimusten tarkoituksena on tasapainoisesti turvata ihmisoikeudet ja samalla kannustaa innovaatioita. AI Act tulee sovellettavaksi kaksi vuotta sen lopullisen tekstin julkistamisen jälkeen, mikä on odotettavissa pian.

AI Act määrittelee eritasoisia vaatimuksia eri riskitasojen AI-järjestelmille:

  • Teko√§ly, johon sis√§ltyy ‚ÄĚhyv√§ksym√§t√∂n riski‚ÄĚ (esim. Vapaan tahdon manipulointi) kiellet√§√§n.
  • "Korkean riskin" teko√§lyyn sovelletaan tiukkoja turvallisuusvaatimuksia.
  • "Generatiiviseen" teko√§lyyn, kuten ChatGPT:hen, sovelletaan etenkin kattavia l√§pin√§kyvyysvaatimuksia.
  • "Yleisk√§ytt√∂iseen suurten vaikutusten" teko√§lyyn (esim. yleiset GPT-mallit) sovelletaan tiettyj√§ turvallisuusvaatimuksia.
  • "Rajoitetun riskin" teko√§lyn on t√§ytett√§v√§ v√§himm√§isl√§pin√§kyvyysvaatimukset.

Tietynlainen tekoäly määritellään siis erityisesti kielletyksi (esim. reaaliaikainen kasvojentunnistus, käytöksen manipulointi), jolla pyritään suojaamaan ihmisiä väärinkäytöiltä. Erityisesti biometrinen etätunnistus julkisessa paikassa kielletään, mutta lainvalvontatehtäviin liittyy erityisiä poikkeuksia.

Korkean riskin tekoälyjärjestelmiä tarkastetaan / arvioidaan ennen kuin ne tuodaan markkinoille ja koko niiden elinkaaren ajan. Korkean riskin tekoälyjärjestelmien tarjoajien on mm. suoritettava ihmisoikeusvaikutusten arvioinnit ennen tuotteensa julkaisua. Läpinäkyvyys on myös ratkaiseva tekijä, sillä tietyt tekoälyjärjestelmät edellyttävät, että käyttäjille ilmoitetaan, jos he ovat vuorovaikutuksessa koneen kanssa.

Seuraamukset laiminlyönneistä vaihtelevat: kielletyn tekoälyn kehittäminen voi johtaa valtaviin sakkoihin, jopa 7 % maailmanlaajuisesta vuosiliikevaihdosta tai 35 miljoonaa euroa sen mukaan, kumpi on suurempi. Korkean riskin järjestelmät voivat saada jopa 3 prosentin tai 15 miljoonan euron sakon sekä 1,5 prosentin sakon virheellisten tietojen paljastamisesta.

Tekoälylain tavoitteena on puuttua tekoälysovellusten aiheuttamiin riskeihin, määritellä tekoälyn käyttäjien velvollisuudet, valvoa noudattamista ja ehdottaa hallintorakennetta Euroopan ja kansallisella tasolla.

35.5 million customers had their data breached after ransomware attack

Artikkeli osoitteessa bitdefender.com

VF Corp (tuttujen tuotemerkkien, kuten Timberlandin ja The North Facen emoyhtiö) joutui vakavan kiristysohjelmahyökkäyksen kohteeksi. Vuotaneiden tietojen luonteen ympärillä on ollut epäselvyyttä, mikä johtuu suurelta osin yrityksen pidättyväisyydestä tiedotuksessa. Alan asiantuntijat kuitenkin ennustavat, että varastetut tiedot todennäköisesti sisältävät merkityksellisiä henkilötietoja, kuten asiakkaiden tilaushistoriaa, yhteystietoja sekä toimitusosoitteita.

13.12.2023 tapahtuneen tietomurron jälkeen hyökkääjät salasivat yrityksen IT-järjestelmät. Kyberhyökkäys häiritsi yhtiön toimintaa, muun muassa verkkotilausten käsittelyä ja täyttämistä tärkeän lomakauden aikana. Turbulenssista huolimatta yhtiö totesi, että asiakkaiden salasanojen varastamista ei ole todistettu, mutta tällaisissa lausunnoissa kannattaa aina olla hyvin varovainen.

Tapahtuman jälkimainingeissa VF Corp mainitsi pyrkivänsä korvaamaan tappioitaan kybervakuutuksen kautta. Kybervakuutukset yleensä korvaavat loukkauksen tutkintaa ja välittömiä palautumistoimia. Tämän lisäksi korvausten kattavuus vaihtelee (korvataanko rekisterinpitäjille aiheutuneita vahinkoja, korvataanko toiminnan keskeytymisiä, korvataanko palveluvelvoitteiden puutteellista täyttämistä / liittyviä valituksia, korvataanko menetettyä IP:tä).

2024 brings new risks, with cyber incidents in the spotlight

Artikkeli osoitteessa helpnetsecurity.com

Allianz Risk Barometer on noin 3000 riskienhallinnan ammattilaiselle suunnattu vuosittainen tutkimus. Vuoden 2024 tuloksissa kyberhäiriöt, liiketoiminnan keskeytymiset ja luonnonkatastrofit nousivat johtaviksi globaaleiksi liiketoimintariskeiksi. Ensimmäistä kertaa kyberhäiriöt (engl. cyber incidents) oli listan kärjessä selkeällä marginaalilla (5 %) ennen seuraavia.

Kasvavat kyberhuolet keskittyvät tietomurroihin, infrastruktuuriin kohdistuviin hyökkäyksiin ja kiristysohjelmahyökkäyksiin. Organisaatiot, koostaan riippumatta, tuntevat huolta näistä samoista uhkista. Resilienssikuilu, kyky toipua nopeasti vaikeuksista, on kuitenkin merkittävästi kasvanut, koska pienemmillä yrityksillä ei ole aikaa ja resursseja riskienhallintaan. Isot taas ovat panostaneet teemaan lisää mm. COVID-19 -pandemian jälkeen. Ammattitaitoisen tietoturvatyövoiman puute pahentaa näitä huolenaiheita vaikuttaessaan suorasti kyberpuolustustoimenpiteisiin.

Muita uhkia ovat mm. poliittinen epävarmuus ja taloudellinen epävakaus. Riskit heijastelevat yritysten keskeisiä yleishaasteita, kuten digitalisaatiota, ilmastonmuutoksia ja epävarmaa geopoliittista ympäristöä. Nämä voivat mahdollisesti horjuttaa toimitusketjujen ja liiketoimintamallien perustaa ja vaatia vankkaa kestävyysjärjestelmää.

Using Google Search to Find Software Can Be Risky

Artikkeli osoitteessa krebsonsecurity.com

Verkkorikolliset käyttävät haitallisia mainoksia ohjatakseen käyttäjiä suosittujen sovellussivustojen pahantahtoisiin versioihin; FreeCAD (kuvissa) on tässä tyypillinen esimerkki. Ongelma jatkuu huolimatta Googlen pyrkimyksistä torjua sitä. Tämä vaatii käyttäjiltä varovaisuutta ladatessaan sovelluksia. Turvallisuuden takaamiseksi suositellaan työntekijöille tiukkoja ja selkeitä ohjeita. Lisäksi on tärkeää tarkistaa hakukoneiden tulokset ja varmistaa aina verkkosivuston aitous ennen ohjelmistolatauksen aloittamista. Henkilöstön tietoisuuden kehittäminen ei rajoitu pelkkiin ohjeisiin, vaan se ulottuu myös käyttäjien tietoisuuteen mahdollisista haitoista / huijauskeinoista, joita nämä vilpilliset mainokset voivat hyödyntää.

Kyberrikolliset ovat onnistuneet huijaamaan ihmisiä lataamaan vaarantuneita versioita laajalti käytetyistä ilmaisista ohjelmistoista. Nämä haitalliset mainokset näkyvät yleensä orgaanisten hakutulosten yläpuolella, koska niiden sijainti on ostettu mainosrahalla. Huolimatta Googlen laajasta väärinkäytösten vastaisesta työvoimasta, kyberrikolliset kehittävät jatkuvasti älykkäitä tapoja välttää kiinni jäänti, joten vilpilliset mainokset ovat edelleen melko yleisiä.

Major US, UK Water Companies Hit by Ransomware

Full article at securityweek.com

Sekä Veolia North America - maailman suurin yksityinen vesialan toimija - että Southern Water ovat viime aikoina joutuneet kiristysohjelmien uhreiksi. Black Basta -ransomwarejengi on ottanut vastuun iskuista. Hyökkäykset ovat mm. häirinneet taustajärjestelmiä, vaikuttaneet Veolian Municipal Water -divisioonan verkkolaskujen maksupalveluihin ja vaarantaneet henkilötietoja.

Nämä tapaukset jatkavat viimeaikaista kyberhyökkäysten trendiä vesialan toimijoihin. Irlannissa tapahtui äskettäin kyberisku, jonka seurauksena vesipalvelut katkesivat kahdeksi päiväksi. Veolia ja Southern Water tekevät parhaillaan työtä omien iskujensa vaikutusten hallitsemiseksi.

The near-term impact of AI on the cyber threat

Artikkeli osoitteessa ncsc.gov.uk

Ison-Britannian kansallisen kyberturvallisuuskeskuksen (NCSC) tuoreessa raportissa on käsitelty tekoälytekniikan mahdollisisia vaikutuksisia kyberturvallisuuden maailmaan. Raportissa korostetaan, että tekoäly tarjoaa sekä mahdollisuuksia että uhkia digitaaliselle ympäristöllemme.

Tekoäly on tietoturvan näkökulmasta kaksikäyttöinen. Se voi vahvistaa turvatoimiamme ja samalla avata kyberrikollisille tietä hyödyntää olemassa olevia haavoittuvuuksia. Yksi huolestuttava tekijä on, että tekoäly voi laajentaa kyberhyökkäysten laajuutta ja vaikutuksia. Hälyttävästi kaikentasoiset uhkatoimijat ovat jo alkaneet hyödyntää tekoälyä toiminnoissaan. Tekoälyllä on myös tärkeä rooli tiedustelun, kybertiedonkeruuprosessin ja sosiaalisten manipulointihyökkäysten tehokkuuden lisäämisessä.

Tekoälyn edistysaskeleet merkitsevät nopeampaa ja tehokkaampaa uhkatoimijoiden suorittamaa data-analyysiä, jota voidaan käyttää tekoälymallien kouluttamiseen. Seurauksena kyberhyökkäysten vaikutukset voivat kasvaa. Tekoälytyökalujen lisääntyvä saatavuus pienentää myös aloittelevien kyberrikollisten kynnyksiä päästä liikkeelle.

Tekoälyratkaisujen yleistyminen sekä rikollisilla että kaupallisilla markkinoilla todennäköisesti parantaa kyberrikollisten sekä valtiollisten toimijoiden varustusta. Elämme aikakautta, jolloin parempia työkaluja tietoverkkorikoksiin on yhä helpommin saatavilla.

Tärkeimmät teemat Digiturvamallin kehityksestä

Uudistettu Raportointi-sivu

Uudistimme Raportoinnin pääsivun Digiturvamallissa.

Tavoitteena oli ryhmitellä erityyppiset raportit entistä selkeämmin, sillä olemme lisänneet ja tulemme lisäämään monenlaisia raportteja Digiturvamalliin. Näytämme myös kansikuvat, jotka antavat jo käsitystä raportin sisällöstä.

Aiomme tehd√§ lis√§√§ raportointiin liittyv√§√§ kehityst√§ l√§hitulevaisuudessa. ūüĎć

Päivitetty Digiturvamallin Akatemia

Uudistimme Digiturvamallin Akatemiaa ja tuotamme jatkossa sinne lisää sisältöä säännöllisesti. Entistä enemmän videoita, blogeja ja ohjeita, jotta saat kaiken irti Digiturvamallista!

Raporttikokoelmat - uusi raporttien jakamistapa

Voit nyt luoda raporttikokoelman uudistetulta Raportointi-sivulta.

Kun luot raporttikokoelman, nämä raportit näytetään erillisellä välilehdellä (verkkokäyttöliittymässä). Teamsissa tapa tehdä sama asia on lisätä Digiturvamalli-sovellus haluttuun tiimiin.

Raporttikokoelmia voidaan käyttää mm. keräämään yhteen tärkeitä raportteja jaettavaksi auditoijalle tai ylimmälle johdolle, myöntämättä heille kuitenkaan laajempia oikeuksia ISMS:ään.

Parannuksia vaatimustenmukaisuuden raportteihin

Teimme muutamia parannuksia vaatimustenmukaisuusraportteihin, mm.:

  • Lis√§luokka vaatimuksille, joissa kaikki muut teht√§v√§t on toteutettu lukuun ottamatta "Matalin" prioriteetin teht√§vi√§
  • Kuvaustekstit vaatimusten eri luokille sek√§ selke√§mm√§t eri v√§rit
  • Uusi kehikon compliance-arvo p√§√§mittarina t√§m√§n vaatimuskehikon vaatimustenmukaisuudelle

Upotettavien raporttien tulostaminen ja saavutettavuus

Upotusraportit tukevat nyt navigointia näppäimistöllä sopivaan kohtaan raporttia. Pyrimme jatkossa priorisoimaan ja tutkimaan myös muita saavutettavuusparannuksia.

Näistä raporteista saa nyt myös tulosteen esim. arkistointia varten, joka näyttää kaikki yksityiskohdat yhdellä sivulla - ilman navigointia.

Sisältö

Jaa artikkeli