Tietoturvayhtiö Fortinet järjesti eilen teknologiapäivän Helsingin messukeskuksessa. Keynote-puheessaan yhtiön tietoturvajohtaja Ricardo Ferreira kertoi EU:n uudesta NIS2-tietoturvadirektiivistä. Se tuo yrityksille lisää vastuita samalla, kun rikollisten käytössä on yhä edistyneempiä työkaluja ChatGPT:stä lähtien.
Tekoälyn myötä tilanne alkaa olla tietoturvan osalta hälyttävä. Ferreira muistutti tutkimuksesta, jossa oli tarkasteltu ChatGPT:llä luotua haitakoodia. Jopa 62 prosenttia botin luomasta haittakoodista sisälsi aitoja API-haavoittuvuuksia hyödyntäviä hyökkäyksiä.
Käytännössä tämä tarkoittaa, että kynnys rakentaa aidosti vaarallisia haittaohjelmia alenee koko ajan. Ferreira kuvasi, millaisia riskejä on olemassa jo nyt. – Koko Costa Rican kriittinen infrastruktuuri kaapattiin ransomware-ohjelmistolla. Maata siis pidettiin pankkivankina.
ChatGPTllä on jo luotu polymorfisia eli itseään muokkaavia haittaohjelmia. – Voiko suuriin kielimalleihin luottaa, jos niissä voi olla piilotettuja riskejä, Ferreira kysyi. Vastauksia näihin kysymyksiin ei taida vielä olla.
Riskien ja uhkien monipuolistuessa myös regulaatio lisääntyy. EU:ssa tulee 17.102024 voimaan uusi kyberturvadirektiivi NIS2. Ferreira muistutti, että NIS2 on direktiivi jäsenmaille, ei organisaatioille. - Maiden pitää siis rakentaa kriisinhallintajärjestelmä ja raportointijärjestelmä. NIS2 esimerkiksi vaatii, että tietoturmurrosta pitää raportoida 245 tunnin kuluessa.
Lisäksi jäsenmaiden pitää jakaa tietoa uhkista ja hyökkäyksistä. Kuten Ferreira muistutti, esimerkiksi pankkitoimintaan liittyy systeeminen riski: yhden järjestelmän kaatuminen voi aiheuttaa dominoefektin. Finanssipuolella NIS2:sta vastaa DORA-direktiivi (Digital Operational Resilience Act).
NIS2 on alkuperäistä NIS-sääntelyä tiukempi. Ns. olennaisiksi toimijoiksi (essential entities) on nimetty paljon laajemmin toimijoita eri sektoreilta. Lisäksi nämä olennaiset toimijat joutuvat diektiivin määräyksiä laiminlyödessään maksamaan suurempia sakkoja kuin tärkeät toimijat (important entities).
- NIS2 koskee 80-90 prosenttia yrityksistä. Myös monia pieniä yrityksiä, jos niillä on rooli taloudellisessa järjestelmässä. Direktiivi kattaa käytännössä kaikki toimialat kriittisistä toiminnoista kuten vedenjakelusta lähtien.
Moni toimija on kysymys, kenelle vastuu lopulta kuuluu NIS2-direktiviin aikana. Ferreiran mukaan vastuuta ei voi ulkoistaa. - Tietoturvajärjestelmän ostaja on se, joka tekee riskien arvioinnin.
Intel on ollut viime aikoina uudenlaisissa huhuissa, kun yhtiötä on välillä pilkottu, välillä myyty. Kolmannen neljänneksen tulokseen kirjattiin massiiviset 16,6 miljardin dollarin tappiot, mutta pääjohtaja Pat Gelsinger sanoo silti, että Inteliä tai sen osia ei olla myymässä minnekään.
Elektroniikka- ja kodinkonekaupan yhdistys ETKOn lukujen mukaan Suomessa myytiin heinä-syyskuussa reilut 636 tuhatta puhelinta, mikä on 4,4 prosenttia enemmän kuin vuotta aikaisemmin. Rahassa mitattuna myynnin arvo sen sijaan laski 1,6 prosenttia.
Tulevaisuuden autot nojaavat yhä tiukemmin nopeaan datansiirtoon. Tämän dataväylän pitää perustua standardiin. Sellainen on PCIe-väylä, kertoo Microchip.
