Sanotaan, että finanssisektori on kriittinen osa-alue eurooppalaisen talouden kannalta. Tämän takia siinä on useita kyberturvallisuushaasteita, jotka kohdistuvat niin operatiiviseen järjestelmään kuin järjestelmää käsitteleviin henkilöihin.
Tietojenkalastelu, nettipohjaiset hyökkäykset ja ransomware-ohjelmat kohdistuvat sekä työtekijöihin että asiakkaisiin. Ne ovat erittäin tavallisia ja niistä on erilaisia vaihtoehtoja, joita kutsutaan englanninkielisellä termillä 'social engineering'. Tämä on erittäin yleistä rahoitussektorilla, jossa inhimillisiä piirteitä käytetään hyväksi arkojen tietojen saamiseksi.
Yhdessä näiden uhkien kanssa on myös uhka systemaattisella tasolla, kuten esim. DDoS-hyökkäykset, jotka uhkaavat häiritä korkea-arvoisia transaktioita ja taloudellista tietoa. Tarkoituksena on riskeerata taloudellista järjestelmää, dataa ja taloudellisia tietoja jopa hyökkäyksissä, jotka on tähdätty toimitusketjun heikkouksiin.
Rahoitusalan yhtiöiden tulee katsoa tarkemmin nykyisiä toimenpiteitä kyberturvallisuutta varten ja implementoida tarvittavat muutokset, jotta he voivat täyttää NIS2-vaatimuksen, mukaan lukien jatkuvuuden varmistamisen yhteisössä, kolmannen osapuolen riskien varmistamisen ja taloudellisen datan huolehtimisen. Kun nämä muutokset on tehty, NIS2-direktiivien odotetaan tuovan merkittävää etua koko finanssimarkkinalle.
Kyberturvallisuuskoulutus – yksi 10 tärkeimmästä kyberhygieniatekijästä
NIS2-direktiivi edellyttää, että rahoitussektori ja muut 'kriittiset ja tärkeät toimielimet' implementoivat 10 perustavanlaatuista turvallisuustekijää, jotta ne hoitavat asianmukaisesti erilaiset kyberuhat.
- Tietojärjestelmien riskienarvioinnin ja turvallisuuskäytännöt.
- Käytännöt ja menettelyt turvallisuustoimien tehokkuuden arvioimiseksi.
- Käytännöt ja menettelyt salaustekniikan käyttämiseksi.
- Suunnitelma turvallisuudessa tapahtuvien vaaratilanteiden käsittelemiseksi.
- Turvallisuus järjestelmän hankinnan ja kehityksen sekä järjestelmien toimintaan liittyen.
- Turvallisuustoimenpiteet työntekijöille, joilla on pääsy arkaluontoisiin tai tärkeisiin tietoihin.
- Suunnitelma liiketoiminnan yksikön toimimiseen turvallisuusvaaratilanteen aikana ja sen jälkeen.
- Monivaiheisen tunnistamisen käyttö.
- Toimitusketjujen välinen turvallisuus ja suhteet yrityksen ja suorien toimittajien välillä.
- Kyberturvallisuuskoulutus ja käytäntö ovat keskeisiä IT-hygienian käyttöä varten.
Kyberturvallisuuskoulutus ei ole vain “listalla”. On tunnettu fakta, että tietoisuuskoulutus on tärkeässä osassa organisaation turvallisuuskoulutuksen luomisessa. Sitä tarvitaan, jotta organisaatiot voivat seurata monia muita turvallisuustoimia, joita NIS2 omaa vaatimuksissaan. Ilman ympäri vuoden kestävää tietoisuuskoulutusta monet operatiiviset toiminnot epäonnistuvat pikku hiljaa, mikä johtuu inhimillisistä virheistä.
Meillä on uusi ja päivitetty versiomme tietoturvatietoisuuden koulutuksista. Se on tarkoitettu kaikille työntekijöille, esimiehille, johdolle ja hallituksille NIS2-direktiivin soveltuvuuden mukaisesti.
Me tarjoamme myös NIS2-direktiivin johdannon kaikille asiakkaillemme.