Yhdysvaltain hallinnon viimeaikaiset toimet tekevät monenvälisen kyberturvallisuuden koordinoinnin kyseisen hallituksen ja muiden tahojen välillä epävarmemmaksi tulevaisuudessa. Mitä tämä tarkoittaa hallituksille, jotka kamppailevat kyberturvallisuus- ja vaatimustenmukaisuusriskien kanssa?
Tammikuussa Trumpin hallinto Yhdysvallat erosi 66 kansainvälisestä järjestöstä. Näihin kuului kolme, joilla oli selkeät kyberturvallisuusmandaatit: Global Forum on Cyber Expertise, Freedom Online Coalition ja European Centre of Excellence for Countering Hybrid Threats.
Nämä ryhmät auttavat koordinoimaan kyberpolitiikkaa, jakavat asiantuntemusta ja tukevat rajat ylittäviin tietoturvaloukkauksiin reagointia. Kahden niistä perustamisessa Yhdysvallat oli mukana. Niistä eroaminen viestii sisäänpäin suuntautuneemmasta kyberturvallisuusasetelmasta ja herättää kysymyksiä siitä, kuinka paljon kansainvälinen yhteistyö tulee jatkossakin tukemaan kyberturvallisuuden hallintaa.
Tämä ei ole hallinnon ensimmäinen kyberyhteistyöhön vaikuttava toimenpide. Aiemmat päätökset näki henkilöstövähennyksiä CISAssa ja muutoksia joissakin sen operatiivisissa prioriteeteissa, jotka väistämättä vaikuttavat sen kykyyn kansainväliseen toimintaan.
Yhdysvalloissa, Isossa-Britanniassa ja Euroopassa toimiville yrityksille kyse ei niinkään ole yksittäisistä päätöksistä, vaan pikemminkin siitä, mitä ne viestivät: asteittaisesta siirtymisestä kohti pirstaloituneempaa ja alueellisesti ohjattua kyberturvallisuusympäristöä.
Koordinoidun tapahtumavasteen haaste
Monenväliset puitteet tarjoavat yhdyssiteen tiedustelutietojen jakamiselle kansallisten kyberturvallisuusviranomaisten välillä. Tästä infrastruktuurista tulee erityisen tärkeä laajamittaisten, rajat ylittävien häiriöiden aikana.
Kriisien iskiessä kansalliset CERT-ryhmät ja kyberturvallisuusvirastot vastaavat kotimaisista toimista. Monimutkaiset kyberongelmat kuitenkin vaikuttavat usein useisiin lainkäyttöalueisiin samanaikaisesti, mikä edellyttää koordinointia alueellisella tai kansainvälisellä tasolla.
Sopimukset, kuten ENISAn ja CISAn yhteistyösopimus allekirjoitettiin vuoden 2023 lopulla oli suunniteltu vahvistamaan transatlanttista koordinaatiota vakavien välikohtausten aikana. Geopoliittisen ympäristön muuttuessa näiden järjestelyjen kestävyys on epävarmempaa.
Suuret kyberongelmat rasittavat jo yksittäisten valtioiden reagointikykyä. Rajat ylittävät tapahtumat edellyttävät kansallisten viranomaisten ja alueellisten instituutioiden välistä yhteistyötä.
Yhdistyneen kuningaskunnan ja EU:n organisaatiot ottavat todennäköisesti suuremman osan tästä koordinointiroolista. Viime kesäkuussa hyväksytty EU:n kyberturvallisuussuunnitelma parantaa kriisikoordinointia sekä poliittisella että teknisellä tasolla. ENISAlla on jo valtuudet tukea ja koordinoida merkittäviin rajat ylittäviin tapahtumiin reagointia.
Isossa-Britanniassa NCSC hallinnoi hallinnon rajat ylittävää koordinointia merkittävien kyberturvallisuuspoikkeamien varalta ja voi tehdä suoraan yhteistyötä asianomaisten organisaatioiden kanssa reagoinnissa ja viestinnässä.
Kansainvälisen yhteistyön infrastruktuuri on edelleen olemassa. Kysymys kuuluu, skaalautuuko se tehokkaasti alueellisesti pirstaloituneemmassa ympäristössä, erityisesti jos Yhdysvaltojen osallistuminen monenväliseen koordinointiin muuttuu vähemmän keskeiseksi.
Odota sääntelyn eroavaisuuksia
Tämä pirstaloituminen pätee myös sääntelyyn. Yhdysvaltojen, Ison-Britannian ja EU:n kyberturvallisuussääntely ei ole koskaan ollut täysin yhdenmukaista. Mutta geopoliittisten prioriteettien erottua toisistaan, myös sääntelyodotukset voivat erottua.
Monenväliset foorumit ovat aiemmin auttaneet tasoittamaan näitä eroja luomalla tilaa koordinoinnille. Ilman tätä yhdenmukaistamista sääntelykehykset todennäköisesti ajautuvat yhä kauemmas toisistaan, erityisesti tietoturvaloukkausten julkistamisaikataulujen, tietomurtojen ilmoituskynnysten ja "merkittävyyden" määrittelyn osalta.
EU on edennyt pisimmälle kohti määräilevää, monialaista pakollista sääntelyä. NIS 2 kattaa 18 kriittistä sektoria ja edellyttää 24 tunnin ennakkovaroitusta ja 72 tunnin häiriöilmoitusta, joista voidaan määrätä sakkoja jopa 10 miljoonaa euroa tai 2 % maailmanlaajuisesta liikevaihdosta.
Yhdysvaltain sääntely-ympäristö kehittyy eri suuntaan. Trumpin hallinnon lähestymistapa on pitkälti sääntelyn purkaminen. SEC:n kyberturvallisuusraportointisäännöt kohtaavat poliittista vastustusta, vuoden 2022 kybertapahtumien raportointia kriittisille infrastruktuureille koskeva laki (CIRCIA) on viivästynyt, eikä liittovaltion yksityisyyden suojaa koskevaa lakia ole.
Monikansallisille organisaatioille tuloksena on monimutkaisempi vaatimustenmukaisuusympäristö.
Yritysten on ehkä rakennettava rinnakkaisia vaatimustenmukaisuusohjelmia useiden lainkäyttöalueiden kattamiseksi tai hyväksyttävä suurempi altistuminen paikalliselle täytäntöönpanoriskille. Yhdysvalloissa, Isossa-Britanniassa ja EU:ssa toimivien organisaatioiden on navigoitava yhä erilaistuvien sääntelyodotusten kanssa.
Toimitusketju ja kolmannen osapuolen riski
Kolmannen osapuolen riskienhallinta oli jo jatkuva haaste, mutta mitä vähemmän kansallisvaltiot tekevät yhteistyötä parhaiden käytäntöjen ja suojausten suhteen, sitä monimutkaisemmaksi se muuttuu.
EU:n kyberturvallisuuslaki edellyttää ohjelmistojen osaluetteloiden (SBOM) laatimista kaikille EU:hun myytäville digitaalisia elementtejä sisältäville tuotteille. Digitaalista toimintahäiriöiden sietokykyä koskeva laki (DORA) lisää tähän vielä yhden tason antamalla EU:n sääntelyviranomaisille suoran valvonnan kriittisiin ICT-palveluntarjoajiin, mukaan lukien EU:n rahoituslaitoksia palvelevat yhdysvaltalaiset pilviyritykset.
Ehdotettu EU:n kyberturvallisuusasetus menee pidemmälle ja ottaa käyttöön toimitusketjun turvallisuuskehykset, jotka kohdistuvat erityisesti kolmansien maiden toimittajiin kohdistuvaan riskiin.
Yhdysvaltojen lähestymistapa on puolestaan suppeampi ja soveltaa SBOM-määräyksiä ensisijaisesti liittovaltion hankintoihin EO 14028:n nojalla. Yhdistyneellä kuningaskunnalla ei ole lainsäädännöllistä vastinetta.
Tuloksena on kolme suurta markkina-aluetta, jotka toimivat yhä erilaisempien tuoteturvallisuusodotusten alla.
Yhdysvaltalainen yritys, joka myy ohjelmistoja Eurooppaan, kohtaa tuotetason vaatimustenmukaisuusvelvoitteita, joihin sen kotimainen sääntely-ympäristö ei ole valmistanut sitä. Ilman vahvoja kansainvälisiä koordinointimekanismeja yritysten on itse hallittava tätä monimutkaisuutta.
Miksi tämä tekee ISO 27001 -standardista arvokkaamman
Kaikki tämä tarkoittaa, että yritysten toimintatapoja on päivitettävä. Viisaat sijoittajat panostavat lainkäyttöalueesta riippumattomiin viitekehyksiin. ISO 27001 näyttää yhtäkkiä kaukonäköiseltä, koska se toimii yli rajojen. Vuoden 2022 versiossa viisi valvontatoimenpidettä käsittelevät erityisesti kolmannen osapuolen tietoturvaa, mikä heijastaa toimittajan varmuuden kasvavaa merkitystä.
Ehkä tärkeämpää on se, että sääntelyviranomaiset Singaporesta Tukholmaan tunnustavat sen. Vaikka se ei korvaa lainkäyttöaluekohtaisia vaatimustenmukaisuusvaatimuksia, se tarjoaa yhtenäisen perustan, jota organisaatiot voivat käyttää tietoturvan hallintaan useissa sääntely-ympäristöissä.
Pirstaloituneessa hallintoympäristössä tuosta johdonmukaisuudesta tulee strategisesti hyödyllistä.
Hallitustason riski, ei vain diplomaattinen
Hallitusten kannalta vetäytyminen kansainvälisistä kyberturvallisuusyhteistyökehyksistä ei välttämättä ole välitön operatiivinen uhka. Mutta se viittaa rakenteelliseen muutokseen siinä, miten globaali kyberturvallisuuden hallinta kehittyy.
Hallitusten välinen kyberyhteistyö on pitkään auttanut vähentämään sääntelyeroja, parantamaan kriisikoordinointia ja luomaan yhteisiä odotuksia turvallisuuskäytännöistä.
Näiden mekanismien heikkenemisen tai kehittymisen myötä yrityksillä on suurempi vastuu ylläpitää omaa resilienssiä, yhteentoimivuutta ja toimitusketjun varmuutta.
Globaali kyberturvallisuus ei romahda, kun yksi merkittävä toimija vetäytyy monenvälisestä yhteistyöstä. Mutta siitä tulee monimutkaisempi.
Ja Yhdysvalloissa, Isossa-Britanniassa ja Euroopassa toimiville organisaatioille monimutkaisuus on riski, jota on yhä enemmän hallittava yrityksen sisällä sen sijaan, että oletetaan sen vakautuvan kansainvälisen koordinoinnin avulla.
