Siirry pääsisältöön

Digitaalinen itsemääräämisoikeus EU:ssa: kuinka vastakkainasettelutestaus varmistaa tietoturvatoimenpiteiden toimivuuden

5.5.2026
Andrew Heller
Mark Arnold – neuvontapalveluiden johtaja, Lares
Michael Crouch – vastakkainasettelun yhteistyöinsinööri
Andrew Heller – markkinointipäällikkö

Digitaalinen itsemääräämisoikeus EU:ssa ei enää koske pelkästään tietojen tallennuspaikkaa. Kyse on siitä, pystyykö organisaatio säilyttämään merkittävän määräysvallan kriittisissä järjestelmissä, viestinnässä, toimittajien suhteissa ja tietovirroissa tilanteissa, joissa olosuhteet ovat koetuksella.

Damovon hyökkäyssuuntautuneen kyberturvallisuuden neuvontatiimissä, Laresissa, tämä muutos on nähtävissä päivittäin. NIS2:n ja DORA:n kaltaiset säädökset pakottavat organisaatiot siirtymään pelkkien tarkistuslistojen noudattamisesta kohti korkeampaa vaatimustasoa: niiden on osoitettava, että turvallisuustoimenpiteet todella toimivat realistisia uhkia vastaan.

Tämä todiste tuotetaan vastakkainasettelutestauksen avulla. Lares auttaa organisaatioita paljastamaan heikkoudet, varmistamaan tietoturvatoimenpiteiden toimivuuden ja muuttamaan digitaalisen itsemääräämisoikeuden tavoitteesta todellisuudeksi, jota voidaan testata, todentaa ja parantaa ajan myötä.

Lares toimii yhteistyössä Damovon kyberturvallisuus-, yritysverkko-, yhtenäisen viestinnän, asiakaspalvelukeskuksen ja hallinnoitujen palveluiden tiimien kanssa ja keskittyy varmistamaan tietoturvan siellä, missä sillä on suurin merkitys: järjestelmissä, jotka pitävät liiketoiminnan käynnissä ja asiakassuhteet elinvoimaisina.

Mitä digitaalinen suvereniteetti tarkoittaa EU:ssa?

Digitaalinen itsemääräämisoikeus tarkoittaa kykyä hallita kriittisiä digitaalisia resursseja, palveluita ja tietoja liiketoiminnallisten, oikeudellisten ja operatiivisten vaatimusten mukaisesti. Käytännössä tähän sisältyy hallinta siitä, missä arkaluonteiset tiedot sijaitsevat, kuka niihin pääsee käsiksi, mitkä lainkäyttöalueet voivat olla sovellettavissa, kuinka riippuvaisia keskeiset työkuormat ovat ulkoisista palveluntarjoajista sekä pysyvätkö olennaiset palvelut toimintavarmina häiriötilanteessa.

Tämän vuoksi digitaalista suvereniteettia ei pidä sekoittaa pelkkään tietojen sijaintiin. Tiedot voivat sijaita Euroopassa, mutta niihin liittyvät palvelut, kuten tunnistautuminen, telemetria, varmuuskopiointi, tekoälykäsittely tai etuoikeutettu tukipalvelu, voivat silti altistaa tiedot riskeille, jotka ulottuvat odotettujen oikeudellisten ja toiminnallisten rajojen ulkopuolelle.

Monille organisaatioille todellinen haaste ei ole täydellinen riippumattomuus globaaleista teknologiaekosysteemeistä. Kyse on kyvystä tehdä tietoinen valinta siitä, missä hallinnan on oltava vahvinta, ja osoittaa sitten, että nämä valinnat toimivat käytännössä.

Miksi digitaalinen itsemääräämisoikeus on nyt entistä tärkeämpää

Kaikkialla Euroopassa digitaalisen itsemääräämisoikeuden merkitys korostuu entisestään, sillä riskit eivät enää rajoitu pelkästään perinteisiin kyberhyökkäyksiin. Organisaatioiden on otettava huomioon myös keskittyneet toimittajariskit, geopoliittinen epävarmuus sekä monimutkaisten pilvi- ja SaaS-riippuvuuksien vaikutukset toimintaan.

Laresilla tätä pidetään yhä useammin sekä kyberturvallisuusongelmana että arkkitehtuuriongelmana. Damovo on jo tuonut esiin, kuinka NIS2-direktiivi kiristää vaatimuksia hallinnon, poikkeustilanteiden hallinnan, riskien hallinnan, verkkoturvallisuuden ja arkaluonteisten tietojen suojan osalta. DORA-asetus tuo rahoituspalvelualalle entistä selkeämmän testausajattelun digitaalisen toimintavarmuuden vaatimusten ja uhkakeskeisten tunkeutumistestien kautta. Myös EU:n tekoälylaki lisää painetta varmistaa tekoälypohjaisten palveluiden ja työnkulkujen kestävyys ja turvallisuus.

Yhdessä nämä suuntaukset muuttavat käsitystä siitä, mitä ”hyvä” tarkoittaa. Pelkkä väite valvontamenetelmien olemassaolosta ei enää riitä. Organisaatiot tarvitsevat yhä enemmän näyttöä siitä, että ne pystyvät havaitsemaan ja torjumaan kriittisiä palveluita tai arkaluonteisia tietoja uhkaavat hyökkäykset sekä palauttamaan järjestelmän toimintakuntoon niiden jälkeen.

Missä suvereniteetti murtuu käytännössä

Useimmat hallinnon epäonnistumiset eivät johdu yhdestä dramaattisesta virheestä. Laresin näkemyksen mukaan ne syntyvät yleensä pienistä puutteista järjestelmärakenteessa, prosesseissa ja toimittajasuhteissa.

Tavallisia esimerkkejä ovat:

  • Pilvipalvelu sijaitsee EU:ssa, mutta lokitiedostot tai varmuuskopiot tallennetaan muualle.
  • Yhteistyö- tai asiakaspalvelukeskusalusta on määritetty alueittain, mutta etuoikeutetun tuen käyttöoikeudet ovat edelleen liian laajat.
  • Liiketoiminnalle kriittinen sovellus tallentaa tietoja paikallisesti, mutta ulkoiset sovellusrajapinnat, analytiikkatyökalut tai tekoälyliittymät avaavat uusia reittejä odotetun hallintarajan ulkopuolelle.
  • Verkko on teoriassa suunniteltu turvalliseksi, mutta segmentointi ja tunnistautumisen hallinta eivät toimi todellisissa hyökkäystilanteissa.

Tämä on tärkeää, koska nykyaikaiset yritysympäristöt ovat tiiviisti toisiinsa kytköksissä. Yhtenäiset viestintäratkaisut, yritysverkot, pilvipalvelualustat, asiakaspalvelukeskuksen työkalut ja hallinnoidut palvelut toimivat nykyään yhtenä liiketoimintajärjestelmänä, eivät erillisinä saarekkeina. Kun jossakin kerroksessa ilmenee heikkous, se voi nopeasti heikentää toisen kerroksen vikasietoisuutta, asiakkaiden luottamusta ja säännösten noudattamista.

Miksi vastakkainasettelutestaus on tärkeää

Adversarial testing on yksi käytännöllisimmistä tavoista siirtyä oletuksista todellisiin todisteisiin. Sen sijaan, että kysyttäisiin, onko suojaus olemassa, siinä kysytään, toimiiko suojaus, kun hyökkääjä kohdistaa siihen paineita.

Tässä Laresilla on keskeinen rooli Damovon laajemmassa palvelutarjonnassa. Tarjoamalla ennakoivia kyberturvapalveluita Lares noudattaa määrätietoista mutta hallittua lähestymistapaa haavoittuvuuksien tunnistamisessa ja korjaamisessa ennen kuin pahantahtoiset toimijat ehtivät hyödyntää niitä. Purple Teaming avulla Lares auttaa organisaatioita parantamaan havaitsemiskykyä, reagointivalmiutta ja tilannetietoisuutta testaamalla hyökkäyksiä tavalla, joka johtaa mitattaviin parannuksiin puolustuksessa.

Laresin toteuttama tehokas vastakkainasetteluohjelma voi auttaa vastaamaan esimerkiksi seuraaviin kysymyksiin:

  • Voiko hyökkääjä päästä kolmannen osapuolen integraation kautta kriittiseen viestintäalustaan?
  • Voidaanko EU:n arkaluonteisia tietoja siirtää rajojen yli ilman, että se laukaisee hälytyksiä?
  • Voivatko tiimit säilyttää toimintansa jatkuvuuden, jos identiteetinhallinta, pilvipalveluiden hallinta tai verkon hallinta häiriintyy?
  • Pystyvätkö järjestelmän ylläpitäjät havaitsemaan ja torjumaan väärinkäytökset riittävän nopeasti, jotta toiminta ja luottamus voidaan turvata?

Kyse on yhtä lailla digitaalisen itsemääräämisoikeuden kysymyksistä kuin kyberturvallisuuden kysymyksistä. Niiden avulla testataan, onko organisaatio todella tilanteen herra silloin, kun sillä on eniten merkitystä.

Varaa aika digitaalisen itsemääräämisoikeuden testauskurssille

Red Teaming Purple Teaming -menetelmien merkitys

Perinteisillä tunkeutumistesteillä on edelleen arvoa, mutta ne keskittyvät usein yksittäisiin teknisiin heikkouksiin tietyn aikataulun puitteissa. Turvallisuuteen liittyvät haasteet sijoittuvat yleensä ylemmälle tasolle. Niihin liittyvät ihmiset, prosessit, kolmannet osapuolet, toimintaprosessit sekä monimutkaisiin ympäristöihin sisäänrakennetut luottamusoletukset.

Siksi Red Teaming ja Purple Teaming ovat erityisen merkityksellisiä.

Red Teaming
Laresilla Red Teaming realistisia hyökkääjiä koko hyökkäysketjun varrella. Näiden testien tarkoituksena on selvittää, voidaanko kriittisiä palveluita, etuoikeutettua pääsyä ja alustojen välisiä riippuvuussuhteita hyödyntää tavoilla, joita liiketoiminnan johtajat ja tietoturvavastaavat eivät välttämättä osaa odottaa.
Purple Teaming
Laresilla Purple Teaming palautesilmukan hyökkääjien ja puolustajien välille, minkä ansiosta organisaatiot voivat tarkistaa ja parantaa hallintatoimia nopeammin. Tästä on erityistä hyötyä silloin, kun tavoitteena ei ole pelkästään heikkouksien löytäminen, vaan myös havaitsemisen puutteiden korjaaminen, tapahtumien hallinnan parantaminen sekä edistymisen osoittaminen ajan mittaan. Yhdessä nämä palvelut tukevat kypsempää lähestymistapaa tietoturvaan. Ne auttavat organisaatioita testaamaan järjestelmän kestävyyttä, vahvistamaan arkkitehtuuripäätöksiä sekä mittaamaan, parantuuko vai heikkeneekö hallinta.
Arvioi digitaalisen itsemääräämisoikeutesi tilanne

Käytännönläheinen viitekehys digitaalisen itsemääräämisoikeuden osoittamiseksi

Hyödyllinen ohjelma ei ala työkaluista. Laresin näkökulmasta se alkaa siitä, että on selvillä, mitä on tärkeintä suojella

  1. Määritä, missä suvereniteetti on tärkeintä

    Lares auttaa yleensä aluksi organisaatioita selvittämään, mitkä palvelut, tietotyypit ja toimintaprosessit vaativat tiukinta valvontaa. Tähän kuuluvat usein säännellyt asiakastiedot, kriittinen viestintä, ydininfrastruktuuri sekä palvelujen toimittamiseen välttämättömät järjestelmät. 

  2. Kartoittaa riippuvuudet koko järjestelmäarkkitehtuurissa

    Seuraavaksi Lares pyrkii selvittämään, mitkä verkot, pilvipalvelut, viestintäalustat, sovellusrajapinnat, tekoälytyökalut ja tukijärjestelyt muodostavat näiden palvelujen perustan. Juuri tässä vaiheessa paljastuu usein piileviä riippuvuussuhteita ja yllättäviä lainkäyttöalueisiin liittyviä seikkoja.

  3. Laadi uhkakeskeisiä testausskenaarioita

    Seuraavaksi Lares suunnittelee vastakkainasetteluun perustuvia harjoituksia, joissa käsitellään realistisia suvereniteettiriskejä, kuten etuoikeutetun pääsyn väärinkäyttöä, tietojen vuotamista pilvipalveluiden kautta, avaintoimittajan tietoturvaloukkausta tai viestinnän häiriöitä tietoturvaloukkauksen aikana.

  4. Muunna havainnot päätöksiksi

    Testaus tuottaa arvoa vain, jos sen tulokset johtavat konkreettisiin toimiin. Tulosten tulisi ohjata arkkitehtuurivalintoja, korjaustoimenpiteiden priorisointia, toimittajien hallinnointia sekä tiettyihin työkuormiin tarvittavan valvonnan tasoa.

  5. Toista ja hio

    Digitaalinen itsemääräämisoikeus ei ole kertaluonteinen tila. Pilvipalvelut kehittyvät, palveluntarjoajat vaihtuvat, tekoälyn mahdollisuudet laajenevat ja hyökkäysreittien luonne muuttuu ajan myötä. Säännölliset Red Teaming ja Purple Teaming Red Teaming, pilvi- ja sovellustarkastukset sekä hallinnoitu kyberturvallisuustuki auttavat pitämään hallinnan ajan tasalla todellisuuden kanssa.

Ratkaisu

Digitaalinen itsemääräämisoikeus kiteytyy viime kädessä käytännön kysymykseksi: kestävätkö kriittiset järjestelmät, viestintä, toimittajat ja tietovirrat realistisia paineita ja täyttävätkö ne samalla EU:n odotukset? Politiikat, kaaviot ja palvelinratkaisut ovat tärkeitä, mutta ne eivät yksinään riitä todistamaan, että turvallisuustoimenpiteet kestävät todellisten hyökkäysreittien koettelemana.

Juuri tässä Damovon hyökkäyssuuntautunut kyberturvallisuusneuvontatiimi Lares tuo lisäarvoa. Hyökkäystestauksen, Red Teaming- ja Purple Teaming sekä hyökkäyssuuntautuneen neuvonnan avulla autamme organisaatioita paljastamaan heikkoudet, varmistamaan tietoturvatoimenpiteiden toimivuuden ja keräämään näyttöä siitä, että järjestelmien kestävyys paranee ajan myötä. Yhteistyössä Damovon laajempien kyberturvallisuus- ja infrastruktuuritiimien kanssa Lares auttaa muuttamaan digitaalisen itsemääräämisoikeuden strategisesta tavoitteesta operatiiviseksi toimintatavaksi, jota voidaan testata, mitata ja vahvistaa jatkuvasti.

Suunnittele vastakkainasettelutesti

Usein kysyttyjä kysymyksiä

Onko digitaalinen suvereniteetti sama asia kuin suvereeni pilvipalvelu?

Ei. Sovereign Cloud voi tukea digitaalista itsemääräämisoikeutta, mutta itsemääräämisoikeuden käsite on laajempi. Siihen kuuluvat myös operatiivinen hallinta, riippuvuus toimittajista, etuoikeutetut käyttöoikeudet, järjestelmän kestävyys sekä kyky ylläpitää palvelua hyökkäyksen sattuessa.

Miten NIS2 liittyy digitaaliseen suvereniteettiin?

NIS2 asettaa korkeammat vaatimukset hallintoon, riskienhallintaan, verkkoturvallisuuteen, tietoturvaloukkausten käsittelyyn sekä toimitusketjun varmistamiseen elintärkeiden ja tärkeiden organisaatioiden osalta. Se ei määrää tiettyjä testityyppejä, mutta se edellyttää säännöllistä tietoturva-arviointia ja todistettavaa riskien vähentämistä, ja juuri tässä Laresin vastakkainasettelutestaus voi tarjota konkreettista näyttöä.

Miten DORA liittyy vastakkainasettelutestaukseen?

DORA painottaa voimakkaasti digitaalista toimintavarmuutta ja edellyttää tietyiltä rahoitusalan toimijoilta uhkakeskeisiä tunkeutumistestejä. Käytännössä tämä viittaa TIBER-EU-tyyppisiin harjoituksiin, joissa Purple Teaming Purple Teaming Purple Teaming pakollista, mikä edistää epäsuorasti Purple Teaming käyttöä kriittisten ICT-palveluiden kestävyyden Purple Teaming realistisissa hyökkäystilanteissa.

Milloin organisaatioiden tulisi käyttää Red Teaming Purple Teaming-menetelmän Red Teaming ?

Red Teaming parhaiten tilanteisiin, joissa tavoitteena on simuloida realistisia hyökkäysreittejä ja testata järjestelmän kestävyyttä alusta loppuun. Purple Teaming parhaiten tilanteisiin, joissa tavoitteena on parantaa puolustuksen näkyvyyttä ja reagointikykyä hyökkäys- ja puolustusryhmien tiiviin yhteistyön avulla.

Mitä ensimmäisen digitaalisen suvereniteetin arvioinnin tulisi kattaa?

Hyvä lähtökohta kattaa kriittiset palvelut, tietovirrat, pilvipalvelu- ja SaaS-riippuvuudet, etuoikeutetun pääsyn, lainkäyttöalueisiin liittyvät riskit sekä liiketoimintaan kohdistuvia vaikutuksia koskevat uhkakuvaukset.

Ota yhteyttä Damovon hyökkäyssuuntautuneen kyberturvallisuuden neuvontatiimiin
Liity yli 10 000 muun käyttäjän joukkoon Damovon sähköpostilistalle ja saat uusimmat tiedot ja eksklusiivista sisältöä.
Tilaa nyt