Elisa Trust Center

Lukijalle

Elisa on tietoliikennepalveluiden markkinajohtaja Suomessa (lähde: Traficom), siten Elisan kautta kulkee valtaosa Suomen verkkoliikenteestä. Määrä kasvaa vuosi vuodelta ja kuvaa osaltaan, miten kriittisessä roolissa digitaalinen tieto on nykypäivänä.  

Tavoitteenamme on turvata ja varmistaa yhteiskunnan kannalta tärkeitä toimintoja, yhteyksiä ja tietoa.  Samalla haluamme proaktiivisesti estää erilaisia rikollisia toimia, huijausyrityksiä ja kehittää uudenlaisia keinoja vastata entistä moninaisimpiin uhkiin. Toiminnan nopea mukautuvuus poikkeaviin tilanteisiin on tärkeää kaikissa olosuhteissa.  

Työskentelemme tiiviissä yhteistyössä eri viranomaisten ja sidosryhmien kanssa, jotta voimme tarjota asiakkaillemme turvalliset, toimintavarmat yhteydet ja palvelut. Olemme löytäneet yhdessä ratkaisuja mm. haittaviesteihin ja erilaisiin huijauspuhelukampanjoihin. Harjoittelemme tiiviisti asiakkaidemme kanssa varautumista ja poikkeustilanteista palautumista. 

Olemme koonneet tälle Trust Center -sivustolle toimintamme kannalta olennaisimpia osa-alueita kuvaamaan, miten Elisalla rakennetaan ja kehitetään kyberturvallisuutta. Tavoitteenamme on toimia läpinäkyvästi ja rakentaa positiivisen kyberturvallisuuden kulttuuria koko yhteiskunnassa.  

Kiitämme asiakkaitamme ja sidosryhmiämme yhteistyöstä. Haluamme olla jatkossakin luottamuksenne arvoisia! 

Teemu Mäkelä, tietoturvajohtaja, Elisa Oyj 

Digitalisaatiolla kestävä tulevaisuus

Elisan strategisena tavoitteena on digitaalisen toimintaympäristön turvaaminen yhteiskunnassa. Elisan rooli on merkittävä huoltovarmuuskriittisenä toimijana sekä viestintäverkkojen ja -palveluiden toimittajana.  Mission ”Digitalisaatiolla kestävä tulevaisuus” ohjaamana rakennamme yhteistä turvallista toimintaympäristöä ja luomme mahdollisuuksia koko yhteiskunnan kehittymiseen.  

Elisan liiketoiminta perustuu asiakkaiden luottamukseen, palveluiden toimivuuteen ja tietojen turvallisuuteen. Verkostomme yhdistävät miljoonia ihmisiä, koteja, organisaatioita ja sovelluksia. Asiakkaiden, verkkojen ja järjestelmien turvallisuus on tärkeää ja olennainen osa toimintaa. 

Lue lisää Elisan digitaalisesta vastuusta

Kyberturvallisuus Elisalla

Elisan kyberturvallisuuteen kohdistuu vaatimuksia lainsäädännöstä, toimialaan liittyvästä sääntelystä, asiakkaiden sekä kumppaneiden sopimusperusteista ja Elisan itse asettamista tavoitteista. Tärkeimmät tavoitteet ovat tiedon luottamuksellisuus sekä liiketoiminnan jatkuvuuden varmistaminen. Tietoturva on olennainen osa kaikkea toimintaa.  

Tietoturvaa toteutetaan sekä hallinnollisilla että teknisillä toimenpiteillä. Hyödynnämme alalla yleisesti tunnustettua ja hyödynnettyä NIST:n (National Institute of Standards and Technology) Cyber Security framework -toimintamallia.  Viitekehyksen ydin koostuu viidestä jatkuvasta toiminteesta: Identify (Tunnista), Protect (Suojaa), Detect (Havaitse), Respond (Reagoi) ja Recover (Palaudu). Yhdessä tarkasteltuna nämä toiminnot tarjoavat strategisen kuvan kyberturvallisuusriskien hallintaan sekä auttavat kehittämään toimintaa.  


Toiminnassa hyödynnetään kansainvälistä MITRE ATT&CK-tietokantaa todellisista hyökkäystekniikoista ja -taktiikoista.  ATT&CK toimii perustana, kun kehitetään uhkamalleihin ja -menetelmiin liittyvää puolustusta.  

Oman kyberturvallisuustoiminnan arvioinnissa ja kehittämisessä käytetään Traficomin Kyberturvallisuuskeskuksen Kybermittaria.  Kyberturvallisuuden kypsyysmittausta tehdään säännöllisesti kaikille tulosyksiköille ja havaintojen perusteella tehdään yksikkökohtaiset kehityssuunnitelmat lyhyelle ja pidemmälle aikavälille. Kypsyysmittauksella saadaan arvokasta vertailutietoa alan muihin toimijoihin verrattuna niin kansallisesti kuin kansainvälisestikin.  

Kehitys ja organisoituminen

Elisan turvallisuuden johtoryhmä vastaa Elisassa turvallisuustoiminnan strategisesta ohjauksesta ja päätöksenteosta. Kyberturvallisuus on osa normaalia liiketoimintavastuuta ja sen toteuttamisesta vastaa linjaorganisaatio. Kyberturvallisuus on sisällytetty liiketoiminnan, prosessien ja palveluiden kehittämiseen. 

Elisalla tietoturvajohtaja vastaa kyberturvallisuuden johtamisesta ja kehittämisestä.  

Kyberturvallisuuden kehittämistä ohjataan strategiasta käytännön toimenpiteisiin. Elisan yhtiökohtainen strategia päivitetään vuosittain ja tehdään seuraavaksi kolmeksi vuodeksi. Kyberturvallisuuden osalta noudatetaan strategiasta erikseen johdettuja strategisia tavoitteita.  

Kyberturvallisuuteen liittyvistä tavoitteista johdetaan yksikkökohtaiset suunnitelmat. Suunnittelussa on huomioitu tiedostetut ja tunnistetut liiketoimintaan kohdistuvat riskit sekä näiden mahdolliset vaikutukset seuraavan kolmen vuoden ajalle.  

Päivittäistyön ohjaamisessa käytetään strategiasta, strategisista tavoitteista ja yksikkökohtaisista suunnitelmista johdettuja toimenpidesuunnitelmia.  

Toimenpiteiden toteutumista seurataan ja johdetaan Elisan turvallisuuden johtoryhmässä. Elisan johtoryhmä seuraa strategian toteuttamista yhtiötasolla. Tavoitteena on nopea ja joustava reagointi tilanteiden vaatimiin toimenpiteisiin.  

Operatiivisten tietoturvatapahtumien seurannasta ja palautumisen ohjauksesta ongelmatilanteissa vastaa Elisan Cyber Security & Service Operations Center (cSOC). Elisa cSOC:n asiantuntijat seuraavat tietoturvallisuuden tilannekuvaa eri lähteistä saamansa tiedon perusteella. Asiantuntijoilla on valmius reagoida nopeasti muuttuviin tilanteisiin. 

Ajantasaista ja ajankohtaista tilannekuvatietoa (Cyber Outlook ja Cyber Threat Intelligence) jaetaan säännöllisesti tärkeimmille sidosryhmille. Tilannekuvan sisältö on koostettu sekä ulkoisista että sisäisistä lähteistä ja käsittelee organisaatiolle kriittisimpiä asioita ja havaintoja. Tietoa hyödynnetään toiminnan eri tasoilla ja eri organisaatio-osissa sekä jaetaan soveltuvilta osin myös asiakkaille.   

Elisa tarjoaa yritysasiakkailleen Elisan Kyberturvakeskuksen palveluja 24/7-periaatteella. Kyberturvapalvelun kautta asiakkaat saavat laajat asiantuntijapalvelut kyberturvallisuuden eri osa-alueilta. Elisan palvelut mahdollistavat erilaisten liiketoimintaympäristöjen kokonaisvaltaisen valvonnan sekä jatkuvasti kehittyvät, turvalliset palvelut tietoturvan pitkäjänteiseen kehittämiseen ja vahvistamiseen. Asiakasorganisaatiot hyödyntävät monipuolisia IT- ja verkonhallintapalveluita sekä näitä täydentäviä asiantuntija- ja koulutuspalveluita. Sertifioidut asiantuntijamme ovat Suomen viranomaisten turvallisuusselvittämiä ja Suomen kansalaisia.  

Kontrollit

Kyberpuolustus

Kyberpuolustus (Cyber Defence) tarkoittaa tietojärjestelmien ja tietojärjestelmissä sijaitsevan digitaalisen tiedon suojaamista ja puolustamista näihin kohdistuvia uhkia vastaan. Kyberpuolustuksen tärkeys on korostunut entisestään tietojärjestelmien käytön laajentuessa. Raja fyysisen ja digitaalisen omaisuuden sekä järjestelmien välillä on hämärtynyt. 

Elisan kyberpuolustus perustuu kerrokselliseen puolustukseen (Defence in depth). Kerroksellisen puolustuksen tavoitteena on koota erilaisia puolustustekniikoita -ja rakenteita kerroksittain, että yhden kerroksen pettäessä seuraava on vastassa. Tavoite on, että hyökkäys saadaan havaittua ja pysäytettyä vahingot minimoiden sekä haetaan suojaa kokonaisvaltaisilta kyberuhkilta. Erityisen tärkeää on kerroksellisessa puolustuksessa nopea havainnointikyky ja palautuminen. Käytettävät suojausmenetelmät määräytyvät riskiperusteisesti, soveltuvuuden ja vaatimusten perusteella.  

Toteuttamalla eri puolustuskerrokset, mukaan lukien uhkatiedustelu ja hyökkäyspinnan hallinta, luomme vahvaa kyberturvallisuuskehystä. Jokainen kerros kytkeytyy toisiinsa digitaalisen omaisuuden ja asiakkaiden suojaamiseksi. Lähestymistapa auttaa puolustusta kyberuhkia vastaan ja varmistaa tietojen sekä verkkojen toimivuuden ja turvallisuuden. 

Uhkienhallinta

Kyberturvallisuuden yhteydessä uhkienhallinnalla (Cyber Threat Management) tarkoitetaan tyypillisesti toimintoa, jolla suojaudutaan, havaitaan ja reagoidaan organisaatioon kohdistuviin kyberuhkiin. Sen tavoitteena on pienentää kyberhyökkäyksistä aiheutuvaa vaikutusta organisaation eri toiminnoille ja mahdollistaa liiketoiminnan jatkuvuus ennalta määritetyllä tasolla.  

Elisalla uhkienhallinnassa hyödynnetään riski- ja liiketoimintalähtöistä lähestymistapaa ja laajennetaan näkökulmaa ennakoivaksi. Organisaatiota suojaavia kyvykkyyksiä valikoidaan liiketoiminnan tarpeet ja riskit huomioiden, jotta ne kattavat niin on-premise- kuin pilvipalvelutkin.  

Uhkienhallinnassa käytetään työkaluja ja analyysejä mahdollisten kyberuhkien seuraamiseen ja ymmärtämiseen. Kyberuhkatiedon hallinnalla (Cyber Threat Intelligence) kerätään havaintoja kyberuhista ja niihin liittyvistä ilmiöistä Havainnoista jalostetaan tietoa päätöksenteon tueksi organisaation eri tasoille.  

Hyökkäyspinta-alan hallinta

Hyökkäyspinta-alalla (Attack Surface) tarkoitetaan kaikkia palveluita, tunnettuja ja ei-tunnettuja järjestelmiä ja näissä olevia haavoittuvuuksia sekä palveluntoimittajia, joita hyväksikäyttämällä pahantahtoinen hyökkääjä voi päästä käsiksi kohdeorganisaation järjestelmiin, verkkoihin tai tietoon. 

Hyökkäyspinta-alan hallinta (Attack Surface Management) on jatkuva prosessi, jossa tunnistetaan ja hallinnoidaan organisaation potentiaalisia heikkouksia ja haavoittuvuuksia. Tietoturvakontrollien ja tarkastusten automatisoinnin tarkoituksena on kokonaisvaltaisen näkyvyyden lisääminen olemassa olevaan hyökkäyspinta-alaan sekä organisaatiolle aiheutuvan riskin hallitseminen. 

Turvallinen kehittäminen

Kansallisen kriittisen infrastruktuurin tuottajana palvelut suunnitellaan, kehitetään ja viedään tuotantoon turvallisuusnäkökohdat huomioiden. Elisalla noudatetaan palvelu- ja tuotekehityksessä Security by Design -periaatetta, jossa palvelun jokaisessa kehitysvaiheessa huomioidaan tiedon ja palvelun turvallisuus sekä turvallinen käyttö. Kehittäjät ja palvelun omistajat varmistavat sisäänrakennettuna turvallisuuden, tiedon eheyden ja tietosuojan

Oman toiminnan turvaaminen

Tietoturvapoikkeamat 

Tietoturvauhkien ja -poikkeamien johtamisvastuu on Elisan cSOC:lla (Cyber Security and Service Operations Center). cSOC valvoo Elisan palveluiden toimivuutta, johtaa häiriöiden korjaustoimenpiteitä sekä huolehtii sisäisestä ja ulkoisesta häiriöviestinnästä.  

Elisalla on vakiintuneet periaatteet ja prosessit tietoturvapoikkeamatilanteiden hallintaan.  

Laki velvoittaa verkkopalveluiden tarjoajia puuttumaan haittaliikenteeseen ja tietoturvaloukkauksiin, jotka esiintyvät palveluntarjoajan verkossa. Elisan Abuse-tiimi tutkii ilmoitukset ja on suoraan liittymän tai laitteen omistajaan yhteydessä, jos asiakkaan käytössä oleva laite tai verkkosivu uhkaa tietoturvaa. Erilaisista tietojenkalastelu- ja huijausyritystilanteista löytyy lisätietoja asiakaspalvelusivuiltamme:
Huijausyritykset ja tietojenkalastelu
Apua tietoturvaongelmien ratkaisemiseksi 

cSOCin ja Elisan Yritysasiakkaiden Kyberturvakeskuksen tilat on auditoitu viranomaisten STIV-turvatasolle.​ Asiantuntijat ovat Suomen viranomaisten turvatarkastamia ja Suomen kansalaisia. 

Henkilöstö

Liiketoiminnan kriittisyydestä johtuen elisalaisen tulee tietää ja tunnistaa oma vastuunsa ja osata toimia tilanteen vaatiessa. Tietoisuuden kasvattamista, toimintamallien jalkautuksia ja erilaisia koulutuksia on tehty jo pitkään ja näitä toimenpiteitä jatketaan myös tulevina vuosina. Tiedot ja taidot ovat kriittisessä roolissa koko konsernin tietoturvan kehittämisessä ja parantamisessa. Henkilöstön koulutus on yksi tehokkaimmista ja tärkeimmistä keinoista kyberuhkien vastaisessa toiminnassa. Pakollisten peruskoulutusten lisäksi tehdään räätälöityjä syventäviä koulutuksia eri kohderyhmille.  

Jokainen elisalainen suorittaa joka vuosi tietosuojan ja tietoturvan peruskoulutuksen. Päämääränä on henkilöstön perusosaamisvaatimus ja tietoisuus kyberuhkista. Jatkuvalla koulutuksella varmistetaan, että elisalaiset tunnistavat oman roolinsa ja vastuunsa koko organisation tietoturvan ylläpitämisessä sekä osaavat toimia oikein kohdatessaan mahdollisen poikkeamatilanteen.   

Elisalla käynnistettiin tietojenkalastelun torjuntaharjoitusohjelma jo vuonna 2017. Elisalaisille lähetetään säännöllisesti simuloituja tietojenkalasteluviestejä. Tavoitteena on auttaa tunnistamaan reaalimaailmassakin käytettyjä tapoja kalastella tietoja ja käyttäjätunnuksia.  Lue lisää

Henkilöstön perustietojen ja -koulutusten lisäksi tavoitteena on kyberturvaosaajien ja -asiantuntijoiden sekä muiden kyberturvasta kiinnostuneiden Elisa Cyber Community -toiminnan kehittäminen ja vertaisryhmän aktivointitoimenpiteet. Osaamista ylläpidetään mm. (ISC)²:n, ISACA:n, SANS Instituten ja teknologiakumppaneiden järjestämillä koulutuksilla ja sertifioinneilla. Elisan henkilöstöllä on mm. CISSP- ja CISA-sertifiointeja sekä teknologiatoimittajien omia pätevyyksiä.  

Turvallisuuden kulttuurin rakentaminen ja kehittäminen on yksi tärkeimmistä vuosittaisista tavoitteista. Henkilöstölle jaetaan läpinäkyvästi ja avoimesti tietoa ajankohtaisista aiheista. Tietoa pyritään välittämään selkeästi ja helposti ymmärrettävästi kohderyhmä huomioiden. Tavoitteena on tukea toimintaa sekä poistaa mahdollista pelon ja epävarmuuden ilmapiiriä. 

Kehitys- ja yhteistyö

Jaamme aktiivisesti tietoa kyberturvasta myös oman organisaation ulkopuolisille sidosryhmille ja olemme mukana erilaisten yhteisöjen ja organisaatioiden toiminnassa. 

Elisa on tiiviisti yhteydessä Traficomin Kyberturvallisuuskeskuksen kanssa. Jaamme osaamista ja havaintoja aktiivisesti eri viranomaisten ja muiden tärkeiden sidosryhmien kanssa.   

Elisa on mukana myös Traficomin Kyberturvallisuuskeskuksen ja muiden internet-palveluntarjoajien yhteisessä tiedonvaihtoryhmässä ISP-ISAC:ssa (ISP Internet Service Provider, ISAC Information Sharing and Analysis Center), jossa jaetaan viranomaisten ja alan toimijoiden välillä ajankohtaistietoa sekä parhaita käytäntöjä.   

Yhteistyö alan eri asiantuntijaryhmien ja muiden yhteisöjen kanssa lisääntyy koko ajan. Elisa tukee mm. nuoria valkohattuhakkereita Next Gen Hack -kilpailussa, jossa nuoret tekevät erilaisia haastetehtäviä, joita ovat kehittäneet alalla jo pidempään vaikuttaneet asiantuntijat. Elisa toimii pääkaupunkiseudun kyberturvayhteisön, HelSec Ry:n tukijana. Vuonna 2021 perustetussa Women4Cyber-yhteisössä Elisalla on tärkeä tukijan ja mentorin rooli. Bug Bounty-ohjelmayhteistyö helpottaa vakavien ohjelmistohaavoittuvuuksien löytämistä. Elisan BugBounty-ohjelmassa on mukana reilu 3476 rekisteröitynyttä henkilöä ja ohjelman kautta löydettiin 115 potentiaalista haavoittuvuutta vuonna 2022.   

Harjoittelu 

Elisa osallistuu eri sidosryhmien harjoituksiin. Elisa harjoittelee myös yritysasiakkaiden kanssa erilaisia tilanteita pöytäharjoituksina (tabletop) ja läsnäharjoitteina omissa tai asiakkaan tiloissa. Elisa osallistuu mm. kansallisiin TIETO- ja TAISTO-harjoituksiin, joissa testataan huoltovarmuuskriittisten toimijoiden kanssa jatkuvuudenhallintaa, varautumista ja palautumista erilaisista kyberturvallisuusuhkatilanteista.  

Purple team 

Elisa kehittää kyberturvan osalta toimintavarmuutta jatkuvalla testauksella (purple team exercise). Tällöin Elisan oma puolustava ”sininen” tiimi tekee yhteistyötä hyökkäävän ”punaisen” tiimin kanssa, jolloin pistemäisten yksittäisten kyberhyökkäystestausten sijaan jaetaan molemmin puolin näkemyksiä ja testataan ennalta sovittuja hyökkäysvaihtoehtoja. Simulaatiotestauksen tavoitteena on kehittää toimintaa ja osaamista sekä rakentaa valmiutta ratkaista ennakoivasti reaalimaailman uhkatilanteita. 

Lue lisää Elisan purple team -harjoittelusta