Kyberturvallisuus on muuttunut ja EU NIS2-direktiivi asettaa tiukempia vaatimuksia kriittisen infrastruktuurin ja tärkeiden alojen yrityksille. Yksi keskeinen osa direktiiviä koskee DNS-nimipalvelua ja toimialueiden (yritys.fi, brändi.com jne) hallinnointia. Se on saanut directiivissä huimat 26 mainintaa noussen tärkeimmäksi kyberturvallisuutta parantavaksi kohteeksi. Tämä blogi tarkastelee DNS:n merkitystä sekä alueen kehitysuuntia. DNS ja NIS2-direktiivi nousee yritysjohdon prioriteettilistalle.

Kun yrityksen DNS-vyöhyketiedot ovat vanhentuneita tai epätarkkoja, liikenne ohjautuu väärään kohteeseen, aiheuttaen merkittäviä turvallisuusriskejä palvelun käyttäjille. Heikot rekisteröintikäytännöt tekevät DNS-väärinkäytöksistä entistä helpompia, mikä näkyy lukuisissa tapauksissa, joissa verkkotunnuksia on käytetty botnet-komento- ja hyökkäyskeskuksina. Suomalaisten organisaatioiden osalta noin 50 % vyöhyketiedoista ovat puutteellisia ja siten huonosti hallinnoituja. Brändiriski on valtava, ja directiivin astuttua voimaan on välttämätöntä puuttua asiaan.

Digitaalisen palvelun löytämiseen tarvitaan nimipalvelua. Nykyisessä DNS-ratkaisussa nimipalvelun tarjoaja voi vapaasti manipuloida vastausta ohjaten käyttäjät haluamaansa kohteeseen. Tämän vuoksi kolme kehityssuuntaa ovat nousseet esiin:

  1. Yksityisyyden suojan vahvistaminen: Käyttämällä DNS over TLS- tai DNS over HTTPS -protokollia sekä DNSsec voidaan parantaa yksityisyydensuojaa ja estää DNS-palveluntarjoajaa manipuloimasta ja näkemästä kyselyjä. Ilman näitä yrityksen toimintaa voidaan lukea kuin avointa kirjaa.
  2. Suuret toimijat: Kohdan yksi johdosta yritykset kuten Apple, Microsoft ja Google ohittavat tulevaisuudessa käyttöjärjestelmätason nimipalvelut ja antavat sovellusten käyttää kehittäjien määrittelemää nimipalvelua. Esimerkiksi Apple IOS toimii jo näin.
  3. EU:n rooli: EU pyrkii luomaan oman nimipalveluinfrastruktuurin (DNS4EU) julkishallinnon organisaatioille kuten Kanadassa (CIRA). Tämä on oljenkorsi yhä kasvavaan tarpeeseen kyberturvallisuudessa.

DNS4EU ja kilpailu amerikkalaisten kanssa

NIS2-direktiivin valmisteluvaihe on herättänyt huolta siitä, että avoimen internetin nopea kehitys saattaa lipsua eurooppalaisten käsistä, mikäli directiivi ja sitä seuraava laki rajaa DNS palveluiden toimintavapauden liian tiukasti sisämarkkinaan.  Suomalaiset yritykset tarvitsevat maailman parhaita teknologioita pysyäkseen kilpailukykyisinä maailmanlaajuisesti. On kornia, että EU lähetti tarjouspyynnön maailman suurimmille DNS-nimipalveluja tarjoaville yhtiöille. Eräs johtava DNS-palveluntarjoaja kommentoi, ”Miksi antaisimme teknologiamme lähes ilmaiseksi, kun kaupallinen palvelumme on saatavilla 90 palvelukeskuksesta ympäri maailman paljon edullisemmin?” Tarjouspyyntöön ei vastattu, ja tämä herättää kysymyksiä siitä, mihin suuntaan tilanne kehittyy Europassa? DNS4EU näyttää esitysten perusteella perustellulta kaikkine teknisine yksityiskohtineen, mutta onko lopulta se on vain kallis ja ylimääräinen hallinnollinen kerros?

Kenen tekoälyyn EU voi luottaa kyberpuolustuksessa?

Kun kyberpuolustus siirtyy tekoälyn käyttöön NIS2 directiivin ohjaamana, EU:n on mietittävä, mihin teknologiaan se voi nojata. On rehellistä sanoa, että suurin osa eurooppalaisista yrityksistä tai julkishallinnoista ei kykene luomaan riittävän vahvaa tekoälyä kyberpuolustukseen ilman amerikkalaista teknologiaa. Erillisratkaisuna se ei tule onnistumaan ja suurin osa käytössä olevasta verkko-ja ohjelmistoteknologiasta tulee EU ulkopuolelta. Monet yritykset ovat siirtymässä globaaleihin pilvialustoihin ja perustelevat asiaa mm tekoälyn mahdollistamisella. Tämä trendi tulee näkymään myös NIS2-direktiivin voimaantulon myötä DNS-infrastruktuurissa. Se on nopeampaa, edullisempaa, turvallisempaa ja paljon helpommin määräykset täyttävä ratkaisu kun vanhentuneen paikallisen infrastruktuurin uudistaminen.

Suomen DNS-tilanne ja tulevaisuuden askeleet

Suomessa tilanne DNS-vyöhykkeiden hallinnassa ei ole täydellinen. Olemme auditoineet lukuisia suuryrityksiä ja huomanneet, että useimmat niistä ovat puutteellisia noin 50 % tietueistaan ja palvelut eivät tue kriittiseen toimintaan vaadittuja standardeja. Suomessa ei myöskään ole yhtään tunnettua ICT-alan toimijaa tai teleoperaattoria, joka olisi ICANN-valtuuttama toimialueiden rekisteröijä. Sen sijaan täällä on paljon jälleenmyyjiä ja DNS-palveluntarjoajia, jotka eivät aina ole panostaneet riittävästi turvallisuuteen.

NIS2-direktiivin voimaantuloa ei kannata odottaa, vaan aloittaa kartoitus jo nyt. Tiedon kerääminen on avainasemassa, ja sen jälkeen voimme harkita parhaita askelia kohti turvallisempaa ja kilpailukykyisempää DNS-infrastruktuuria. DNS ja NIS2-direktiivi nousee syystäkin yritysjohdon prioriteettilistalle

Lopuksi, DNS-nimipalvelu on olennainen osa digitaalista maailmaa, ja sen turvallisuus on ratkaisevassa asemassa nykypäivän verkkojen suojaamisessa. On tärkeää, että organisaatiot ymmärtävät sen roolin ja ryhtyvät tarvittaviin toimiin suojatakseen itseään, käyttäjiään ja brändiään.

Hannu Rokka, Senior Advisor

5Feet Networks Oy