NCSC sanoo: "On aika toimia", mutta miten?

Kirjoittanut Phil Muncaster • 6 marraskuu 2025

On epätavallista nähdä avoin kirje yritysjohtajalta hallituksen kyberturvallisuusraportin alussa. Varsinkin henkilöltä, jonka yritys on juuri kärsinyt nöyryyttävästä tietomurrosta. Mutta nämä ovat epätavallisia aikoja. Ja viesti on kriittisen tärkeä. Siksi GCHQ:n kansallinen kyberturvallisuuskeskus (NCSC) teki tilaa Co-op Groupin toimitusjohtajalle Shirine Khoury-Haqille raportin alussa. Vuosikatsaus 2025.

Hänen viestinsä, jota toistettiin ja vahvistettiin läpi dokumentin, oli yksinkertainen: valmistautuminen on kaikki kaikessa. Mutta miten yritysten johtajat varmistavat, että he rakentavat organisaatioonsa riittävän kybersuojan tänään, jotta liiketoiminta jatkuu normaalisti huomisen tietomurron sattuessa?

Kansallisesti merkittävien tapahtumien lisääntyminen

Kuluneen vuoden luvut kertovat oman tarinansa. NCSC väittää, että lähes puolet (48 %) sen tapausten hallintatiimin kuluneen vuoden aikana käsittelemistä tapauksista olivat "kansallisesti merkittäviä". Tämä tekee 204 erillistä tapausta eli neljä viikossa. Noin 4 % (18) luokitellaan "erittäin merkittäviksi" – 50 %:n vuosittainen kasvu. Nämä ovat yhden asteen alempana kuin vakavuuden enimmäistaso, joka tarkoittaa tapauksia, joilla voi olla vakavia taloudellisia/sosiaalisia seurauksia tai ihmishenkien menetyksiä. Ne merkitsevät kuitenkin silti kyberhyökkäyksiä ja -murtoja, joilla voi olla vakava vaikutus keskushallintoon, välttämättömiin palveluihin ja suureen osaan Yhdistyneen kuningaskunnan väestöstä tai taloudesta.

Mielenkiintoista kyllä, NCSC:n kyseisenä aikana hallinnoimista 29 tapauksesta johtui vain kolmesta haavoittuvuudesta: CVE-2025-53770 (Microsoft SharePoint Server), CVE-2025-0282 (Ivanti Connect Secure, Policy Secure & ZTA Gateways) ja CVE-2024-47575 (Fortinet FortiManager). Tämä tuo heti esiin joitakin helposti roikkuvia asioita organisaatioille, jotka valitsevat riskiperusteisten korjauspäivitysten hallintaohjelmien käyttöönoton.

Tätä helposti saatavilla olevaa hedelmää on kaikkialla, jos yritysjohtajat vain olisivat tarpeeksi motivoituneita tai tietoisia sen löytämisen tarpeesta, sanoo NCSC:n toimitusjohtaja Richard Horne. Esipuheessaan hän kuvailee brittiläisten organisaatioiden kohtaamien haasteiden kasvavan "suuruusluokkaa". Horne päättelee: "Kyberturvallisuus on nyt ratkaisevan tärkeää yritysten pitkäikäisyydelle ja menestykselle. On aika toimia."

Kirje FTSE 350:lle

Tätä toiminnan painottamista tukevat viimeaikaiset katastrofaaliset kyberongelmiin liittyvät käyttökatkokset, jotka vaikuttivat Jaguar Land Roveriin (JLR), M&S:ään ja Co-op-konserniin, vain kolme mainitakseni. Joidenkin arvioiden mukaan näiden yritysten ja niiden toimittajien kärsimät kokonaistappiot ovat lähes miljardi puntaa. Tämä on yksi syy siihen, miksi raportissa kehotetaan suoraan yritysjohtajia lopettamaan kyberongelmien pitäminen IT-osaston asiana ja alkamaan ymmärtää niiden kriittisen merkityksen liiketoiminnan kasvulle ja Ison-Britannian taloudelle.

Siksi raportissa mainitaan Co-op Groupin Khoury-Haq. Ja siksi Horne huudahtaa: ”Kaikkien yritysjohtajien on otettava vastuu organisaationsa kyberturvallisuudesta.” Siksi raportissa myös edistetään useita NCSC:n aloitteita, kuten:

Kyberhallinnon käytännesäännöt: suunniteltu auttamaan hallituksia ja johtajia hallitsemaan digitaalisia riskejä paremmin
Kyberturvallisuuden hallinnan koulutusohjelma, joka on linjassa koodin viiden ydinperiaatteen kanssa: riskienhallinta, strategia, henkilöstö, häiriösuunnittelu, reagointi ja toipuminen sekä varmuus ja valvonta
NCSC:n ohjeistus "Engaging with Boards to improve management of cyberg security risk", joka auttaa tietoturvajohtajia kommunikoimaan tehokkaammin hallituksensa kanssa
Kyberturvallisuuskulttuurin periaatteet, jotka kuvaavat, miltä hyvä turvallisuuskulttuuri näyttää ja miten käyttäytymistä voidaan muuttaa
Cyber Action Toolkit lisää kybertietoisuutta pienyritysten johtajien keskuudessa

Tästä syystä hallitus on myös kirjoittanut FTSE 350 -indeksin toimitusjohtajille näennäisesti koordinoidusti ja pyytänyt heitä tunnustamaan uhkan laajuuden.

”Liian kauan kyberturvallisuus on ollut keskijohdon huolenaihe, ja se on eskaloitu ylemmälle johdolle vain kriisitilanteissa. Kyse ei ole siitä, joudutko kyberhyökkäyksen uhriksi, vaan siitä, että olet valmistautunut siihen, kun se tapahtuu.” sanoi turvallisuusministeri Dan Jarvis katsauksen julkistustilaisuudessa. Hän pyrki kuvaavasti korostamaan kilpailuetua, jonka parhaat kyberturvallisuuskäytännöt voivat tarjota yrityksille.

Resilienssin rakentaminen

Hyvä uutinen on, että vaikka uhka voimistuu, NCSC väittää, että suurin osa sen havaitsemasta toiminnasta ei ole radikaalisti uutta, olipa kyseessä sitten valtion rahoittama tai Scattered Spiderin kaltaisten ryhmien tekemä toiminta. Tämän pitäisi helpottaa kyberresilienssin saavuttamista hieman. Mutta mitä raportissa oikeastaan on? NCSC:n aloitteiden, kuten Active Cyber Defence ja Cyber Essentials, luettelun lisäksi 100-sivuinen asiakirja korostaa "resilienssin suunnittelun" käsitettä.

Vaikka konseptilla on perintönsä turvallisuustekniikassa, se voitaisiin NCSC:n mukaan siirtää tehokkaasti kybermaailmaan esimerkiksi seuraavien aloitteiden kautta:

Infrastruktuuri koodina: Mahdollistaa organisaatioille järjestelmien luotettavan replikoinnin nopeaa palautumista varten ja luotettavan, muuttumattoman infrastruktuurin käyttöönoton.

Muuttumattomat varmuuskopiot: Mahdollistaa tehokkaan palautumisen, kun ympäristö on kokonaan menetetty (mukaan lukien identiteetti, pilvimääritykset, hypervisorit jne.).

segmentointi: Eristämiseen ja suojaamiseen tapahtuman vaikutusten minimoimiseksi tai "jatkuvasti luottamusrajojen luomiseksi".

Vähiten etuoikeuksia: Kaikissa palveluissa vahinkojen rajoittamiseksi ja nollaluottamuslähestymistapojen tukemiseksi.

Havaittavuus ja seuranta: Poikkeamien havaitsemiseksi ja onnettomuuksien jälkeisen oppimisen parantamiseksi.

Kaaostekniikka: Havaitsemis- ja palautusprosessien validoinnin/testauksen tahallinen laiminlyönti.

Joustavat toiminnot: Sisältää kriisinhallintaohjelmien saatavuuden varmistamisen digitaalisesti tai fyysisesti erillisillä alustoilla tai tulosteina.

Katso standardeja

Peter Connolly, toimitusjohtaja Toro-ratkaisut, väittää, että parhaiden käytäntöjen standardit, kuten ISO 27001, voivat auttaa organisaatioita parantamaan kyberturvallisuuttaan.

”Se tarjoaa strukturoidun viitekehyksen riskienhallintaan, joka ulottuu IT:n ulkopuolelle ja kattaa ihmiset, fyysisen turvallisuuden ja liiketoiminnan jatkuvuuden”, hän kertoo ISMS.online-sivustolle. ”Tämän integroidun lähestymistavan avulla organisaatiot voivat minimoida tapahtumien vaikutukset, ylläpitää kriittisiä toimintoja ja osoittaa asiakkaille, sijoittajille ja kumppaneille, että turvallisuus on vakava prioriteetti.”

Connolly lisää, että organisaatioiden tulisi käyttää ISO 27001 -standardin mukaisuutta turvallisuuden sisällyttämiseksi jokapäiväiseen liiketoimintakulttuuriin.

”Tämä tarkoittaa turvallisuusperiaatteiden tekemistä osaksi rutiinitoimintaa sen sijaan, että niitä käsiteltäisiin erillisenä tehtävänä”, hän päättelee. ”Aloita käsittelemällä ensin kriittisimpiä riskejä ja varmista, että kyber-, fyysinen ja ihmisiin liittyvä turvallisuus otetaan huomioon yhdessä. Tämä lähestymistapa rakentaa aitoa resilienssiä ja tarjoaa samalla kansainvälisesti tunnustettua uskottavuutta.”

Sana ”resilienssi” mainitaan NCSC:n raportissa 139 kertaa. On aika UK PLC:n kiinnittää tähän huomiota.

Phil Muncaster

Phil Muncaster on ollut IT-toimittaja 20 vuotta. Hän aloitti IT-viikon toimittajana vuonna 2005 ja eteni uutistoimittajaksi ennen kuin hän lähti jatkamaan freelance-uraa. Siitä lähtien Phil on kirjoittanut nimikkeisiin, mukaan lukien The Register, jossa hän työskenteli Aasian kirjeenvaihtajana työskennellessään Hongkongissa yli kaksi vuotta, MIT Technology Review, SC Magazine, Infosecurity Magazine ja muut.

Lue lisää Phil Muncasterilta

tietoverkkoturvallisuus 3 joulukuu 2025

Mitä kyberturvallisuus- ja sietokykylaki tarkoittaa kriittiselle infrastruktuurille

Sitä on odotettu kauan. Kyberturvallisuus- ja sietokykylakiesitys (CSRB) on saanut lopullisen hyväksyntänsä jo kuninkaan puheesta vuonna 2024 lähtien...

Phil Muncaster

tietoverkkoturvallisuus 18 marraskuu 2025

OT:n osalta näkyvyys on tehokkaan tietoturvabannerin perusta.

OT-alalla näkyvyys on tehokkaan tietoturvan perusta

IT on usein otsikoissa, varsinkin nyt kun olemme siirtymässä uuteen tekoälyn hyödyntämään aikakauteen. Mutta operatiivinen teknologia (OT) on edelleen...

Phil Muncaster

tietoverkkoturvallisuus 11 marraskuu 2025

Mitä Deloitten Australian saaga kertoo tekoälybannerin hallinnan riskeistä

Mitä Deloitten Australian saaga sanoo tekoälyn hallinnan riskeistä

Generatiivinen tekoäly (GenAI) on kiivennyt alan hypetyksen huipulle tultuaan markkinoille vuoden 2022 lopulla. Nyt se on astumassa Gartnerin ennustamaan...

Phil Muncaster