[Teema] Vieraskynä: Finanssialalla kyberriskeihin varaudutaan tarkasti

Toimiva sähköinen tietoyhteiskunta on elinehto myös kotimaisille pankeille. Tällä hetkellä kyberturvallisuuteen liittyviin riskeihin varautuminen on yksi finanssialan keskeisistä prioriteeteista. Näin kirjoittaa Vieraskynässä Nordean Elias Alanko, jolla on vuosien kokemus finanssialalta, erityisesti kyberrikosten torjuntaan liittyvistä tehtävistä.

Kirjoittaja on Elias Alanko Nordean Tarkastustoiminnosta. Hänen erityisosaamisensa liittyy kyberrikostorjuntaan finanssialan IT-toiminnoissa.

Riskien ja vaatimustenmukaisuuden hallinta on keskeinen osa Nordean toimintaa. Kyberturvallisuus on keskeinen makrotrendi, johon vaikuttaa niin digitalisaatio kuin regulaatio. Ilman kyberturvallisuutta ei ole kestävää toimintaympäristöä, sillä finanssiala on hyvin riippuvainen sähköisen tietoyhteiskunnan toimivuudesta. Kyberriskeihin varautuminen on ollut ja on tällä hetkellä yksi keskeisistä prioriteeteista finanssialalla.

GDPR, PSD2, eIDAS ja NIS laittavat raameja finanssialan kyberkäytäntöihin

Kyberriskeistä raportoiminen on yksi keskeinen osa varautumista. Läpinäkyvällä public-private-yhteistyöllä parannetaan uhkatilannekuvaa, jonka avulla resurssejaan puolustavien toiminnasta tulee tehokkaampaa.

Toukokuussa voimaanastuva tietosuoja-asetus (GDPR) on sääntelystä kenties parhaiten tunnettu. Asetus edellyttää, että rekisterinpitäjän on ilmoitettava 72 tunnin kuluessa tietoturvaloukkauksen havainnosta valvovalle viranomaiselle.

Myös tammikuussa voimaan astunut maksupalveludirektiivi (PSD2) liittyy vahvasti kyberturvallisuuteen, erityisesti paljon julkisuudessa esillä olleiden maksamisen rajapintojen kautta. Vähemmälle huomiolle on jäänyt, että direktiivi ja siihen liittyvä säätely pyrkii nimenomaisesti torjumaan kyberrikollisuutta, oli sitten kyse maksuvälinepetoksista tai tietoliikenteen häirinnästä. Muun muassa poikkeamaraportointiohjeistuksen mukaan maksupalveluntarjoajien on raportoitava neljän tunnin kuluessa valvovalle viranomaiselle, jos palveluun on kohdistunut merkittävä tietoturvaloukkaus tai muu häiriö. Neljän tunnin aikaraja on erittäin haastava, mikä ei käytännössä toteudu, jos palveluita ei valvota kellon ympäri.

Lisäksi vuodesta 2017 Euroopan keskuspankki on edellyttänyt kaikilta suurilta valvomiltaan pankeilta ripeää kyberpoikkeamien raportointia. Muita kyberturvallisuuteen liittyviä raportointivelvoitteita ja vaatimuksia tulee muun muassa eIDAS-asetuksesta tunnistuspalveluihin liittyen, NIS-direktiivistä yleisen tietoturvallisuuden kontekstissa sekä paikallisten valvojien operatiivisten riskien hallintaohjeista.

Yhteistyöllä ja varautumisharjoituksilla riskit haltuun

Jotta pankit voisivat vastata muun muassa kyberriskien raportoimisvaatimuksiin, työtä on tehtävä paljon.

Vaikka kyberturvallisuus lähtee organisaation omasta sisäisestä kyvykkyydestä, yksin ei kukaan kuitenkaan pärjää. Pankit työskentelevät aktiivisesti yhdessä kuin myös muiden toimijoiden kanssa. Hyviä kotimaisia esimerkkejä ovat muun muassa Viestintäviraston palvelut ja Nordic Financial CERT, josta kollegani Antti Kiuru kertoo tarkemmin seuraavassa Vieraskynässä.

Lisäksi harjoittelemme varautumista ja testaamme tietojärjestemiämme säännöllisesti. Esimerkiksi Nordea järjesti maaliskuun ensimmäisenä viikonloppuna laajan poikkeustilanneharjoituksen, jossa mukana olivat maksamiseen-, tunnistamiseen- ja verkkopankkiin littyvät palvelut. Testaaminen ja harjoittelu poikkeustilanteiden varalta on välttämätöntä sekä pankin että koko yhteiskunnan tietoteknisen toimintavarmuuden varmistamiseksi ja kehittämiseksi.

Tällä tavoin kannamme oman kortemme kekoon kyberturvallisen yhteiskunnan eteen.

Kirjoittaja on Elias Alanko, Internal Audit Manager, joka työskentelee Nordean Tarkastustoiminnossa. Hän on toiminut finanssialan IT-toiminnoissa, erityisesti kyberrikostorjuntaan liittyen, yli kymmenen vuoden ajan.


Vuoden 2018 teemoissa kerrotaan Viestintäviraston Kyberturvallisuuskeskuksen yhteistyöverkostoista ja palveluista. Maaliskuussa vuorossa on finanssi- eli pankkiala. Vuorovaikutteinen yhteistyö ja verkostot ovat Kyberturvallisuuskeskuksen toimintaedellytys.

Lisätietoja

Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , Riskienhallinta , Vaatimustenmukaisuus , Verkosto , Teema , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248