Yhä uusien IT-ratkaisujen kehittäminen ja toimintojen siirtyminen verkkoalustoille luovat aina myös uusia tietoturvariskejä ja avaavat mahdollisuuksia rikollisille. Kyberturvallisuuden asiantuntijan näkökulmasta tietomurtojen vastaisessa taistelussa korostuvat tietoisuus ja ennakointi.
– PK-yrityksissä ei aina tulla edes ajatelleeksi, että omassa liiketoiminnassa voisi olla mitään rikollisia kiinnostavaa, Netoxin Senior Systems Architect Heikki Virkkunen huomauttaa.
– Jos ei tiedetä, mitä ei tiedetä, saatetaan helposti keskittyä toteuttamaan tietoturvaa pelkillä antivirusohjelmilla tai palomuureilla, mutta unohtaa kokonaan esimerkiksi käyttäjien tietoturvakoulutus.
Riskit ja niiden realisoituminen tulevat toisinaan täysinä yllätyksinä.
– Todellisuudessa PK-yritykset ovat rikollisille houkuttelevia kohteita nimenomaan siksi, että kyberturvallisuuden taso on niissä harvoin kattava.
Tietomurroille on Virkkusen mukaan kaksi tyypillistä syytä.
– Kyberrikollisten motiivina on lähes poikkeuksetta raha, tai tieto joka on helposti muunnettavissa rahaksi. Poikkeuksen tähän tekevät ns. state actorit, eli eri maiden tiedustelupalvelut joiden tehtävä on kerätä tietoa hyväksikäytettäväksi, tunkeutua verkkoihin kybersodankäyntiä varten tai vaikuttaa muulla tavoin.
Hyökkäys voi Virkkusen mukaan tapahtua myös epäsuorasti. Siksi yrityksen on hyvä ottaa huomioon asemansa toimitusketjussa.
– Verrattain monessa tapauksessa oikea kohde onkin toimitusketjussa ylempänä, mutta murtautuminen kohteen alihankkijan järjestelmiin on merkittävästi helpompaa.
Suurin haaste
Yritysten tietoturvapalveluiden tarjoamisessa Virkkunen on kokenut haastavimmaksi saada läpi ajatuksen kokonaisratkaisujen tarpeellisuudesta.
– Tietoturvaratkaisuja on usein vaikea saada budjettiin, koska ei ymmärretä, mitä tietoturva on ja miten se toimii. Se nähdään helposti siten, että se ainoastaan maksaa, mutta ei tuo mitään lisää myyntiin.
Virkkusen mukaan tässä on suuri rooli kokemuksen puuttumisella.
– Jos yritys ei ole joutunut taistelemaan tietoturvaongelmien kanssa, ratkaisujen tarvetta on sitä hankalampi hahmottaa. Dataa ja sen merkitystä liiketoiminnalle ei ole vielä täysin ymmärretty. Rahaliikenne menee sen kautta ja jos vaikkapa yhtäkkiä verkot korruptoituvat, niin yksikään tuote ei lähde maailmalle.
Kehitystä on asiantuntijan näkökulmasta kuitenkin tapahtunut.
– Aiemmin törmättiin usein siihen ongelmaan, että tietoturvariskien olemassaolosta oltiin kyllä tietoisia, mutta omaa riskikenttää ja tietoturvatarpeita ei tunnettu. Nyt ymmärretään, että jotain pitäisi tehdä, ja ollaan myös ratkaisuista kiinnostuneita.
Vaikka ne tapahtuessaan ovatkin valitettavia, suurilla median noteeraamilla tietomurroilla on Virkkusen mukaan myös positiivisia vaikutuksia.
– Ne konkretisoivat yrityksille isossa mittakaavassa sitä, mitä on tietoturva ja minkä asioiden on oltava kunnossa. Moni yritys – vaikka ei sitä itse ymmärtäisikään – toimii luottamuksen kautta. Sen menettäessään yritys menettää usein myös nopeasti merkittävän osan varallisuudestaan.
Virkkunen vertaakin yleistä tietoturvaa osuvasti vakuutukseen.
– Tottahan jokaisella on kotivakuutuskin, vaikka mitään ei olisi ikinä tapahtunut. Näin tietoturvakin kannattaisi ajatella.
Ennaltaehkäisy
Virkkunen siis peräänkuuluttaa kokonaisten tietoturvaohjelmien toteuttamista yksittäisten teknisten ratkaisujen sijaan, mutta painottaa, että oikeaoppinen ennaltaehkäisy lähtee ylätasolta.
– Yrityksen IT-päällikkö tai CIO ymmärtää usein kattavampien ratkaisujen tarpeen ja saattaa jopa olla palveluntarjoajaan yhteydessä, mutta ei saa ratkaisuja läpi omassa yrityksessään. Silloin hänen on myös jokseenkin turha aloittaa minkään ohjelman toteuttamista.
Toinen ongelma liittyy käsitykseen tietoturvapalveluiden muodosta.
– Yrityksissä saattaa olla käsitys tietoturvaohjelmasta projektina, jolla on alku ja loppu, ja jonka aikana puutteet korjataan. Toki riskit tunnistetaan ja näkyvät puutteet korjataan, mutta tietoteknisessä maailmassa tilanne elää jatkuvasti, ja saattaa jopa puolen vuoden päästä olla täysin toinen. Onnistunut tietoturvaohjelma vaatii johdon tuen, jotta vaadittavat resurssit ovat jatkuvasti käytettävissä.
Virkkusen mukaan tärkeintä on se, että mikään osa-alue ei jää täysin huomiotta.
– Toimiva tietoturvaohjelma takaa sen, että tietoturvan hallintamekanismit ja käytännön toteutus ovat kattavia, eli liiketoiminnan kaikki osa-alueet ja järjestelmät kuuluvat tietoturvariskien hallinnan piiriin.
Asiassa korostuu koulutuksen merkitys.
– Itse murtautuminen tapahtuu yleensä kahdella tavalla. Joko hyökkääjä hyväksikäyttää olemassa olevaa haavoittuvuutta tai houkuttelee jonkun yrityksen verkossa toimivan klikkaamaan linkkiä, joka johtaa henkilön koneen saastuttavaan ohjelmaan. Niin loppukäyttäjien kuin johtoryhmän jatkuva kouluttaminen uusista ja nousevista uhkakuvista on verrattain edullinen keino parantaa yrityksen tietoturvaa.
Asiantuntija auttaa
Koska monessa organisaatiossa on ongelmia hahmottaa kyberturvaa kokonaisuutena, Virkkusen mukaan myöskään asiantuntijapalveluita ei silloin helposti nähdä relevantteina.
– Tämä voi kuitenkin olla vaarantava virhe. Sivistyneessä maailmassa ei todennäköisesti ole enää yhtään yritystä, jonka liiketoiminta ei olisi jossain määrin tietotekniikan varassa. Kyberturvaohjelma suojaa näitä liiketoiminalle kriittisiä komponentteja, jotta liiketoiminta olisi ylipäätään mahdollista.
Vaikka riskit ja ratkaisutarpeet hahmotettaisiin, omien resurssien panostaminen niihin ydinliiketoiminnan kustannuksella voi olla epämieluisaa. Tietoturvaratkaisujen ulkoistaminen onkin monelle yritykselle järkevää.
– Asiantuntijan tehtävä on huolehtia siitä, että kyberturvaohjelma on riittävän kattava ja suojaa olennaisia järjestelmiä ja prosesseja. Pienemmissä yrityksissä ei välttämättä ole tarve täyspäiväiselle resurssille, jolloin kannattaakin hankkia tietoturvan hallinta palveluna.
Asiantuntijasta on verraton apu myös resurssien ohjaamisessa.
– Tietomurtojen ennaltaehkäisyssä täytyy olla realisti. Käytettävissä on yleensä rajallinen määrä resursseja, ja jotta niitä osattaisiin ohjata oikea määrä oikeisiin kohteisiin, täytyy riskienhallinnan olla kunnossa. Toimivalla riskienhallinnalla mahdollistetaan yritykselle selkeä kuva riskikartasta, johon kuvaamalla riskien vaikuttavuus voidaan luoda prioriteettilista siitä, mihin resursseja voidaan alkaa kohdentaa.
Virkkunen nostaa esiin tärkeän seikan palveluntarjoajien toimintaperiaatteista.
– Yritysten tietoturvaa lähestytään tyypillisesti kysymysten kautta, jolloin vastaukset eivät välttämättä edustakaan todellista tilannetta. Asiat saattavat olla paperilla kunnossa, mutta kukaan ei ole varmistanut, onko prosessia testattu.
Eron tekee konkreettinen prosessien tarkistaminen.
Netoxin toimintatapa on tyyliltään enemmän hands-on, mikä tuo yritykselle läpinäkyväksi sen, mitkä järjestelmistä ja prosesseista ovat kriittisiä ja näin ollen vaativat kattavampaa suojausta, Virkkunen kiteyttää.
Kyberturvallisuus ja etätyö
Erityisesti kuluvan vuoden tapahtumien valossa tietoturva-asiantuntija näkee tärkeänä huomioida myös etätyön erityispiirteet.
– Etätyöskentelyssä on tärkeää muistaa että sekä yleiset tietoturvaperiaatteet että yrityksen tietoturvapolitiikat pätevät myös kotona. Internet ja eri tietotekniset järjestelmät ovat globaaleja eivätkä mitenkään sidottuja paikkaan, jossa tekee töitä.
Etätyöhön liityy omat tunnusomaiset riskinsä.
– Riskitasoa nostavat oman kotiverkon turvallisuus ja kotiverkkoon liitetyt muut laitteet. Yllättävän moni moderni kodinkone tai viihdekeskus haluaa kytkeytyä internetiin erilaisten palveluiden tai päivitysten vuoksi. Varsinkin IoT-laitteiden kautta on verrattain helppo päästä kotiverkkoon. Harva toisaalta osaa tai viitsii segmentoida kotiverkkonsa.
Virkkunen tiedostaa, että yrityksen kannettavat tai muu omaisuus on yleensä suojattu toisin kuin kotona olevat muut tietokoneet, mutta muistuttaa tietoteknisessä ympäristössä vallitsevasta asetelmasta.
– Täytyy ottaa huomioon, että eri tyyppiset haittaohjelmat ovat toistaiseksi aina jossain vaiheessa onnistuneet murtamaan kaikki ihmisen kehittämät suojaukset ja kyseessä onkin jatkuva kissa ja hiiri -leikki tietoturva-alan ammattilaisten ja kyberrikollisten välillä.
Asiantuntijan näkökulmasta pitkälle päästään jo tietoisuuden lisäämisellä.
– Perustavanlaatuinen tietoturvan hallinta ja siihen liittyvät teknologiat ja mekanismit tulisivat olla yleissivistykseen kuuluva asia myös kotona. Monet meistä säilyttävät tärkeitä asioita kuten dokumentteja ja valokuvia pelkästään digitaalisessa muodossa, joten jo niiden turvaamiseen kannattaa käyttää vähän aikaa ja energiaa.
Työnantajan vastuuta työntekijöidensä ns. kyberhyvinvoinnista huolehtimiseksi ei Virkkusen mukaan myöskään tule unohtaa.
– Etätöiden turvaaminen kuuluu myös osaltaan kyberturvallisuusohjelman kokonaiskattavuuteen, ja työntekijöitä kannattaa rohkaista käyttämään myös kotonaan asioita joita he työpaikan tietoturvakoulutuksissa oppivat.
Lopuksi Virkkusen vinkit erääseen erittäin yksinkertaiseen ja tehokkaaseen tietomurtojen ennaltaehkäisykeinoon, salasanaan.
1. Käytä joka paikassa eri salasanaa
2. Käytä salasananhallintaohjelmistoja eri salasanojen hallitsemiseksi
3. Käytä MFA:ta vähintään palveluissa, joiden murroista voi koitua taloudellista tai henkistä haittaa
4. Suosi salalauseita salasanojen sijaan, sillä ne ovat helpompia muistaa, ja ovat luonnostaan pidempiä
5. Salasanan täytyy olla riittävän pitkä, mielellään 13 merkkiä tai pidempi
Onko salasanasi tarpeeksi turvallinen?
Testaa salanasi turvallisuus: https://www.security.org/how-secure-is-my-password
Lue lisää Netox Kyberturvapalveluista