Lokakuu on täällä ja se tarkoittaa, että Kyberturvallisuuskuukausi on taas käynnissä. Ohjeita, webinaareja ja loputtomasti muistutuksia salasanahygieniasta. Hyviä juttuja kaikki, mutta joka vuosi kysyn itseltäni saman kysymyksen: saadaanko me oikeasti mitään kuntoon, vai keskitytäänkö enemmän puhumiseen?
Vuosien aikana olen tehnyt töitä erilaisten organisaatioiden kanssa tietoturvan kehittämisessä. Ja sama kaava toistuu: tietyt perusasiat ovat edelleen rempallaan. Ne eivät nouse otsikoihin, mutta ne olisi pitänyt hoitaa jo kauan sitten.
Tämän lokakuun toive on yksinkertainen: ei pelkkää tietoisuuden lisäämistä ja keskustelua, vaan oikeita tekoja. Tässä kolme asiaa, joiden kuntoon saattamisen aika on nyt.
Monivaiheinen tunnistautuminen: miksi tästä vielä keskustellaan vuonna 2025?
Tämä on yksi niistä asioista, jotka turhauttavat eniten. On vuosi 2025 ja kriittisiin järjestelmiin pääsee yhä pelkällä salasanalla. MFA on kyllä olemassa, mutta ei pakollinen. Historiasta jääneet poikkeukset kummittelevat edelleen, eikä kukaan enää muista miksi ne alun perin sallittiin. Ja tietenkin juuri ne järjestelmät, joihin poikkeukset on jätetty, ovat bisneksen kannalta kriittisimpiä.
Mitä pitäisi tehdä? Käy läpi jokainen järjestelmä. Kyllä, ihan jokainen. Pakota MFA kaikkialle. Ei “hoidetaan myöhemmin” -ratkaisuja, ei admin-tilejä jotka ohittavat säännön siksi että “se nyt vaan on helpompi näin”, ei johtoryhmän jäseniä jotka kokevat olevansa niin tietoturvatietoisia, etteivät tarvitse sitä.
Ja kun sanon pakota, tarkoitan juuri sitä. Kirjautumisen ei pidä onnistua ilman toista vahvaa tekijää.
Joo, ihmiset valittavat. Joo, kirjautuminen hidastuu joidenkin mielestä sekunnilla tai kahdella. Mutta mitä maksaa se, että joku pääsee sisään varastetulla salasanalla ja seuraavat kuukaudet menevät sotkuja siivotessa?
Vanhat VPN-ratkaisut: lopeta vitkuttelu
Perinteinen VPN on monessa organisaatiossa ollut käytössä ikuisuuden. Se toimii, ihmiset osaavat käyttää sitä, ja sen vaihtaminen tuntuu ylivoimaiselta projektilta johon ei ole aikaa tai budjettia. Siksi se siirtyy vuodesta toiseen eteenpäin.
Todellisuus on usein karu. VPN on saattanut olla paikkaamatta kuukausia tai vuosia. Sen haavoittuvuuksiin löytyy hyökkäyskoodit suoraan Googlesta, mutta ainoa syy miksi mitään ei ole tapahtunut, on se että kukaan ei ole vielä vaivautunut hyökkäämään.
Eikä edes säännöllinen päivittäminen aina auta. Joidenkin ratkaisujen arkkitehtuuri on lähtökohtaisesti heikko, koska ne on rakennettu aikakaudella jolloin uskottiin että verkon sisällä kaikki on luotettavaa. Mutta maailma on muuttunut. Työtä tehdään kaikkialta ja millä tahansa verkolla.
Zero Trust ei ole muotisana vaan välttämättömyys. Vanha malli “rakennetaan korkeat muurit ja uskotaan että sisällä kaikki on kunnossa” ei enää toimi.
En väitä, että kaiken pitäisi olla uusiksi rakennettu huomenna. Mutta jos VPN:n korvaaminen on ollut vuosia roadmapilla ja siirtynyt aina eteenpäin, nyt on aika aloittaa. Tee suunnitelma, käy keskustelut ja selvitä mikä riski nykyisessä ratkaisussa oikeasti piilee.
Haavoittuvuuksien hallinta: yhteinen ongelma, ei kenenkään työ
Jos yksi asia valvottaa, se on tämä. Ei siksi että aihe olisi uusi tai yllättävä, vaan siksi että se on edelleen monella pahasti pielessä. Ja kun se on pielessä, se ei näy ennen kuin kolahtaa kunnolla.
Monesta organisaatiosta puuttuu prosessi ja omistaja haavoittuvuuksien hallinnalle. Usein ajatellaan, että joku kyllä katsoo niitä joskus. Se tarkoittaa käytännössä sitä, että ongelmat jäävät kytemään kuukausiksi, jopa vuosiksi, kunnes tuuri loppuu.
Haavoittuvuuksien hallinta vaatii oikean prosessin: tunnistetaan haavoittuvuudet, arvioidaan riskit, päätetään mitä korjataan ja missä järjestyksessä, ja seurataan etenemistä. Excel-taulukko tai satunnainen katselmus ei riitä. Tarvitaan ihminen, jolla on vastuu kokonaisuudesta.
Monelle organisaatiolle paras ratkaisu on kumppani. Olipa se sitten Netox tai joku muu, tärkeintä on että osaamista hyödynnetään ja asia on jonkun vastuulla. Tämä ei ole tehtävä, jota voi hoitaa puolivillaisesti tai “sitten kun ehditään”.
Kaikkia haavoittuvuuksia ei tarvitse korjata heti. Osa on kriittisiä, osa vähemmän. Mutta päätös siitä mikä korjataan ja mikä voidaan hyväksyä riskinä pitää tehdä, ja sen pitää perustua todelliseen riskiarvioon, ei siihen mikä on helpointa.
Miksi vain kolme?
Voisin listata kymmenenkin asiaa, mutta tietoturva on kuin palapeli: ensin pitää saada reunapalat kohdalleen. Nämä kolme asiaa kuuluvat siihen joukkoon.
Jos perusteet on jätetty tekemättä, kaikki muu on arvailua ja hyvän onnen varassa. Paperilla voi olla maailman paras incident response -suunnitelma, mutta se ei auta jos hyökkääjä pääsee sisään pelkällä salasanalla. Henkilöstöä voi kouluttaa tunnistamaan kalasteluviestejä, mutta jos ympäristö pyörii vanhan, tunnetuilla haavoittuvuuksilla varustetun VPN:n varassa, koulutus on enemmän teoriaa kuin todellista suojaa.
Tietoturvassa kokonaiskuva merkitsee. Ei voi poimia vain joitain asioita ja luottaa tuuriin muiden kohdalla. Riskien tunnistaminen ja hallinta sitovat kokonaisuuden yhteen. Joskus riski voidaan hyväksyä, mutta vain jos se on tietoinen päätös.
Jokaisen kuukauden pitäisi olla kyberturvallisuuskuukausi
Yksi kuukausi vuodessa ei riitä. Se on vähän kuin kävisi salilla tammikuussa ja ihmettelisi joulukuussa miksei ole kunnossa. Tietoturva ei ole kampanja vaan tapa toimia.
Lokakuu voi silti toimia kipinänä. Hetkenä, jolloin otetaan vihdoin työn alle ne asiat jotka ovat roikkuneet listalla liian pitkään. Mutta niiden pitää jatkua myös marraskuussa, joulukuussa ja joka päivä sen jälkeen.
MFA-konfiguraatiot muuttuvat, uusia järjestelmiä tulee käyttöön, VPN:n korvaaminen vie aikaa ja haavoittuvuuksia ilmestyy jatkuvasti. Haavoittuvuuksien hallinta ei ole projekti, vaan jatkuva prosessi.
Tietoturva ei voi olla sivuprojekti, jota tehdään kun muut kiireet on hoidettu. Se vaatii jatkuvaa keskittymistä ja kykyä reagoida muuttuvaan maailmaan vuoden jokaisena päivänä ja yönä. Siksi kumppanuudet ja ulkopuolinen apu ovat arvokkaita.
Käytä lokakuuta tekosyynä aloittaa. Hanki tarvittavat hyväksynnät, laita budjetti kohdilleen ja näytä johdolle miksi tätä ei voi enää lykätä seuraavaan vuoteen. Tee jokaisesta kuukaudesta sellainen, jossa tietoturva ei vain pysy puheena vaan muuttuu teoiksi.
