Tässä on Digiturvamallin toukokuun uutiset ja tuotekatsaus sekä yhteenveto viimeisimmästä pääkäyttäjäwebinaarista. Seuraava pääkäyttäjien webinaarimme, järjestetään syksyllä 2025. Voit ilmoittautua webinaariin webinaarisivullamme lähempänä ajankohtaa.
Artikkeli: pinsentmasons.com
EU:n NIS2-direktiivi etenee hitaasti kansallisissa lainsäädännöissä – 19 jäsenmaata 27:stä ei ehtinyt siirtää direktiiviä kansalliseen lainsäädäntöön 14.5. mennessä. Tämä viivästys vaikuttaa kansallisten sääntöjen yksityiskohtiin, mutta ei velvoitteisiin, joita yritysten odotetaan noudattavan. Direktiivi määrittää vähimmäisvaatimukset, ja vaikka paikalliset lait voivat lisätä alkuperäisen säädöksen päälle vaatimuksia, ydinkriteerit säilyvät samoina. Euroopan komissio on jo antanut virallisen varoituksen (ns. reasoned opinion), ja antanut maille kaksi kuukautta vastata tai kohdata mahdolliset sakot. Direktiivin täysi voimaantulo tapahtuu todennäköisesti aikaisintaan loppuvuodesta – mutta tämä ei ole syy jäädä odottamaan.
"Odota ja katso" -asenne voi tuntua turvalliselta, mutta se on riski sekä vaatimustenmukaisuuden että kyberturvallisuuden kannalta. Vaikka yksityiskohdat vielä voivat muuttua, suunta on selvä ja velvoitteet ovat olemassa. Toimimattomuus nyt voi johtaa siihen, että organisaatiot joutuvat kiirehtimään myöhemmin. Yritysten tulisi sen sijaan aloittaa valmistautuminen: kartoittaa riskinsä, kouluttaa sisäisiä tiimejä ja luoda joustavat suunnitelmat vaatimustenmukaisuuteen. NIS2 ei ole pelkkä pakollinen taakka, vaan tilaisuus parantaa omaa tietoturvaa. Nykyisessä uhkaympäristössä se on viisas ratkaisu, aikataulusta riippumatta.
Artikkeli: bleedingcomputer.com
Äskettäinen kyberhyökkäys Kettering Health -terveysverkostoa vastaan Ohiossa aiheutti merkittävää häiriötä 14 sairaalan ja yli 120 avohoitoyksikön toimintaan. Potilastietojärjestelmät ja puhelinkeskukset kaatuivat, mikä johti toimenpiteiden perumisiin ja viivästyksiin. Päivystys säilyi kuitenkin toiminnassa. Tilannetta pahensi huijauspuhelut, joissa esiintyttiin Ketteringin työntekijöinä ja yritettiin kalastella maksutietoja. Organisaatio keskeytti toistaiseksi kaikki laskutukseen liittyvät puhelut ja kehotti potilaita raportoimaan epäilyttävät yhteydenotot.
Palautuminen on edelleen kesken ja etenee hitaasti – IT-tiimit työskentelevät tiiviissä yhteistyössä tietoturva-asiantuntijoiden ja viranomaisten kanssa. Hyökkäyksen taustalla epäillään olevan Nefarious Mantis -ryhmä, joka kuuluu isompaan kiristysohjelmaryhmään. Ryhmä on aiemmin hyökännyt terveydenhuollon ja biotekniikan toimijoihin käyttäen Interlock RAT -haittaohjelmaa ja kiristysohjelmaa.
Tapaus korostaa sitä, kuinka vakavan uhan kiristysohjelmat muodostavat kriittiselle infrastruktuurille, erityisesti terveydenhuollossa, jossa järjestelmien käyttökatkot voivat vaarantaa potilasturvallisuuden.
Artikkeli: darkreading.com
Uusi, Microsoft 365 -käyttäjiin kohdistunut phishing-hyökkäys käytti ennen näkemättömän monimutkaista tekniikkayhdistelmää: AES-salattua .htm-liitettä, yhteyttä tunnettuun sisällönjakeluverkkoon (kuten Cloudflare) ja haitallista npm-pakettia. Haittakoodi ohjasi käyttäjän useiden uudelleenohjausten kautta väärennetylle M365-kirjautumissivulle, jossa kirjautumistiedot kalasteltiin.
Hyökkäys oli erityisen vaarallinen, koska se ohitti perinteiset suojausjärjestelmät ilman ilmeistä obfuskointia. Hyökkääjät luottivat salaukseen, tunnettuun CDN:ään ja saastutettuun avoimen lähdekoodin ohjelmistoon sulautuakseen tavalliseen verkkoliikenteeseen. Tapaus osoittaa, että puolustajien on päivitettävä strategioitaan ja kiinnitettävä huomiota epätavallisiin liitteisiin ja pienivolyymisiin hyökkäyksiin. Samalla se korostaa omistetun ISMS-tiimin ja rakenteisten tietoturvakäytäntöjen merkitystä – tuki näihin on pian saatavilla myös Cyberdayn kautta.
Artikkeli: zdnet.com
Asiakastyytyväisyys älypuhelimiin on laskenut alimmilleen kymmeneen vuoteen – American Customer Satisfaction Indexin mukaan tyytyväisyys laski 82 prosentista 78:aan. Syynä ovat mm. hitaasti kehittyvä innovaatio, nousevat hinnat ja vähäinen kiinnostus päivittää uusiin malleihin. Vaikka uudet ominaisuudet lisääntyvät, käyttäjiä turhauttaa perustoimintojen, kuten akunkeston, puheluiden laadun ja helppokäyttöisyyden puutteet.
Tutkimus osoitti myös, että tekoälyominaisuudet eivät ole onnistuneet vakuuttamaan käyttäjiä: vain 8 % olisi valmis maksamaan niistä. Apple ja Samsung kokivat pientä laskua, Google enemmän. Älykelloissa Samsung johtaa, mutta tärkeimmät tekijät käyttäjille ovat edelleen kestävyys ja näyttölaatu. Viesti on selvä: innovaation on palveltava perusteita.
Tämä osoittaa, että älypuhelininnovaatioiden ja käyttäjien odotusten välillä on yhä suurempi epäsuhta, ja asiakastyytyväisyys on alhaisimmillaan vuosikymmeneen. Tekoälyn kaltaisista näyttävistä uusista ominaisuuksista huolimatta käyttäjät asettavat etusijalle ydintoiminnot, kuten akunkeston, luotettavuuden ja helppokäyttöisyyden, jotka jäävät edelleen jälkeen.
Artikkeli: tivi.fi
40 % IT-projekteista ylittää budjettinsa – 20 % yli 50 %:lla ja osa jopa yli 200 %:lla. Syyt löytyvät kokemattomuudesta, sertifioimattomasta projektijohdosta ja siitä, että IT-projektit ovat usein vaikeasti hahmotettavia. Verrattuna esimerkiksi sillanrakennukseen – jossa suunnitelmiin perehdytään tarkasti ennen työn alkua – IT- ja vaatimustenmukaisuusprojekteihin sukelletaan usein epämääräisin lähtökohdin.
Ratkaisuna suositellaan enemmän aikaa suunnitteluvaiheeseen erityisesti compliance- ja tekoälyprojekteissa, joissa kirkkaat tavoitteet ja rakenne puuttuvat. Gartnerin mukaan maailmassa käytetään tänä vuonna 5,6 biljoonaa dollaria IT:hen. Jos AI-projektisi vetäjät eivät täysin ymmärrä aihetta tai tarvittavaa ajankäyttöä, riski epäonnistumiselle kasvaa.
Artikkeli: bleedingcomputer.com
Venäjä on esittänyt uutta lakia, joka edellyttää kaikkien Moskovan alueella oleskelevien ulkomaalaisten (pois lukien diplomaatit ja valkovenäläiset) asentavan valtiollisen seurantasovelluksen puhelimiinsa. Sovellus kerää tietoja kuten sormenjäljet, kasvokuvan, osoitetiedot ja reaaliaikaisen sijainnin. Muutoksista tulee ilmoittaa kolmen päivän kuluessa viranomaisille – laiminlyönnistä seuraa karkotus.
Tavoitteena on virallisesti rikosten vähentäminen, mutta kriitikot nostavat esiin yksityisyyden loukkaukset ja mahdolliset kielteiset vaikutukset työperäiseen maahanmuuttoon. Hanke on vasta kehitysvaiheessa ja tekniset yksityiskohdat ovat auki. Kokeilu kestää syyskuuhun 2029 asti, ja mahdollisesti laajenee koko maahan.
Mitä ajatuksia sinulla on siitä, kuinka kansallinen turvallisuus ja yksityisyys pitäisi tasapainottaa tällaisissa laeissa?
Cyberday Trust Centerin ensimmäinen versio on laajentunut – nyt voit:
Voit nyt ottaa käyttöön automaattisen kuukausiviennin tärkeimmistä ISMS-dokumenteista. Tämä auttaa esimerkiksi varmuuskopioinnissa ja jatkuvuuden hallinnassa. Valitse haluamasi listat ja raportit asetuksista – saat sähköpostiisi latauslinkin joka kuukauden alussa.
Muita kehitysteemoja: toimittaja-arviointien päivitykset, uudistetut viitekehys-sivut ja kehykseen liittyvät parannusehdotukset.
Laajennamme jatkuvasti tukeamme keskeisille kyberturva- ja vaatimustenmukaisuusviitekehyksille. Kevään aikana lisäsimme tuen Cyber Resilience Actille (CRA) ja NIS2:n kansallisille lainsäädännöille. Tulossa ovat mm. HIPAA, ISA/IEC 62443-2-1 ja monet muut. Tarkista käytettävissä ja tulossa olevat viitekehykset Cyberday-sovelluksesta tai verkkosivuiltamme.
Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.
.png)
.svg)
.svg)
