Oletko tietoinen, missä kunnossa yrityksesi tietoverkot ovat? Millainen torjuntakyky organisaatiossa on erilaisia uhkia vastaan? Milloin viimeksi henkilökuntasi on saanut tietoturvallisuuskoulutusta?

Valtioneuvoston kanslian valmiusyksikön neuvotteleva virkamies Petri Puhakaisen mukaan yritysten tietoturvallisuuden merkittävimmät uhat liittyvät tietoverkkoihin.

Vuosia on hoettu, että ihminen on tietoturvallisuuden heikoin lenkki, mutta jos tarkastelemme perinteistä tietoverkkoa ja katsomme, missä tilassa se on ja kuinka organisaation tietoturvallisuuden hallinta on toteutettu, niin kyllähän se on varsin surkeassa tilassa tällä hetkellä.

Riskejä syntyy, kun perusasioista ei huolehdita. Suurimpina riskeinä Puhakainen pitää päivittämättömiä ja heikkolaatuisia ohjelmistoja. Verkkoarkkitehtuurissa on tärkeää huomioida, että pienikin uhka voi realisoitua. Ja se uhka voi tulla ulkoa tai sisältä.

Jos yrityksen tietoverkko ei ole tietoturvallisesti rakennettu, se tarjoaa tietojenkäsittelykapasiteettia ulkopuolisille. Sitä voi käyttää roskapostittamiseen tai hajautettuun palvelunestohyökkäykseen. Toisaalta vaikka verkon rajan olisi laitettu hyvin tukkoon, niin sähköpostilla pääsee aina ohi.

Puhakaisen mukaan juuri sähköpostin kautta tulevat haittaohjelmat ovat yleisin reitti, koska siinä yhdistyvät usein huonolaatuinen ohjelmisto ja helposti hämättävä ihminen.

Oma kauhuni on sähköpostiin tullut aggressiivinen haittaohjelma, joka ui koko verkkoon ja sen myötä pitäisi asentaa koko iso tietoverkko uudestaan.

Vakavimmat riskit yrityksen tietoturvallisuudelle tulevat useimmiten edelleen sisältä käsin.

Ihmiset eivät aina ole töissä hyvässä tarkoituksessa. Työntekijöillä on isot käyttöoikeudet ja pääsy tietojärjestelmiin. Suurimmat petokset on helpompi tehdä sisältä kuin ulkoa käsin.

Uudet innovaatiot ja palvelut lisäävät uhkia

Valtionhallinnon ja puolustusteollisuuden lisäksi tietoturvallisuuden uhkia on eniten tuotekehitysintensiivisillä aloilla.

On paljon maita, joissa omaa teollisuutta laitetaan pystyyn varastamalla ideoita muualta. Toki minkä tahansa kiinnostavan yrityksen on ymmärrettävä ja varauduttava siihen, että joku aina pääsee tietoverkkoihin käsiksi. On myös yrityksiä, organisaatioita ja tahoja, joiden tiedot eivät kiinnosta, mutta tietojenkäsittelykapasiteetti voi kiinnostaa. Tällöin otetaan yrityksen palvelimet käyttöön ja hyökätään niiden avulla jonnekin muualle tai lähetetään roskapostia.

Puhakaisen mukaan tietoturvaongelmasta tulee kyberturvallisuusongelma, kun se vaikuttaa fyysiseen maailmaan. Esimerkiksi jos junanohjausjärjestelmässä on tietoturvaongelma, ja jos se vaikuttaa junaliikenteen pysähtymiseen, siitä tulee kyberturvallisuusongelma.

Kyberturvallisuuden kannalta on iso riski, kun kaikki mahdolliset asiat halutaan kytkeä verkkoon: itse ajavat autot, älykkäät kaupunginosat, rakennusautomaatiojärjestelmä ja erilaiset kodin toiminnot. Uudet palvelut ja innovaatiot ovat tervetulleita, mutta tietoturvallisuutta ei saa unohtaa. Suojausmekanismien täytyy olla kunnossa, sillä varsinkin langattomassa verkossa toimintoja on äärettömän helppo lamaannuttaa. Ja nuori innovatiivinen ihminen pääsee tunkeutumaan ihan mihin vain, Puhakainen muistuttaa.

 

Motivoiva koulutus ratkaisee

Yrityksen tietoturvallisuus on aina ylimmän johdon vastuulla, silloinkin, jos yrityksessä on nimetty tietoturvallisuusvastaava.

Asiantuntijan on pystyttävä kertomaan, missä riskit ovat, kuinka niitä saataisiin pienennettyä ja minkä verran se maksaa aikaa ja rahaa? Ylin johto sitten päättää torjutaanko moderneja kyberuhkia vai ei.

Tietoturvakoulutuksen vaikuttavuudesta väitellyt Puhakainen uskoo henkilökunnan motivoivaan koulutukseen.

Lähijohtaminen ratkaisee, kuinka työntekijät ottavat tietoturva-asiat käyttöön omassa työssään. Oikeaan käyttäytymismallin ohjaaminen on tärkeää käytännön toimissa. Ihminen oppii aivoja käyttämällä eikä aivoja käytetä, jos ei ole motivaatiota. Jotta koulutus olisi innostavaa, se pitää kytkeytyä omaan työhön ja tekemiseen.

Robotisaation kehittyminen voi tuoda mahdollisuuksia myös kyberturvallisuusuhkien torjuntaan.

Mielelläni laittaisin tekoälyn analysoimaan verkkoa ja ilmoittamaan, jos siellä on jotain omituista ja tekemään nopeita ratkaisuista. Uskon, että automaattinen analysointi tulee yleistymään, mutta yhtä lailla hyökkääjät voivat käyttää samaa älykkyyttä hyväkseen. Valitettavasti tilanne on kuin urheilussa, dopingin käyttäjät ovat aina testaajia edellä.

 

Viisi askelta modernien kyberuhkien varautumiseen

  1. Torjuntakyky eli perusasiat kuntoon.
  • Tietoverkkoarkkitehtuuri
  • Ohjelmistojen päivitykset ja kehityskäytännöt
  • Muutoksen ja haavoittuvuuksien hallinta
  • Tietoturvaohjelmistot

Yrityksellä on oltava sellainen verkkoarkkitehtuuri, joka ei romahduta koko verkkoa, vaikka tekniikka pettäisi ja jokin ongelma pääsisi verkkoon sisään.

  1. Havainnointikyky

Mahdollisen uhkan havainnointi ja analysointi on tärkeää tehdä mahdollisimman varhaisessa vaiheessa. Tässä auttavat muun muassa:

  • Tietoturvalogien tallentaminen ja analysointi
  • Tietoliikenteen ja päätelaitteiden reaaliaikainen valvonta
  1. Reagointikyky

Kun ongelma on havaittu, pitää pystyä analysoimaan, mistä on kyse ja reagoimaan siihen hoitamalla ongelma kuntoon joko omin tai vierain voimin. Tavoitteena on aina rajoittaa vahinko mahdollisimman pieneksi ja palauttaa tilanne nopeasti normaaliksi.

  1. Toipumis- ja jatkuvuussuunnittelu

Toipumissuunnittelun avulla järjestelmä ja liiketoiminta luotsataan jälleen normaalitilaan. Pitää olla etukäteissuunnitelma, mitä tehdään, kun järjestelmät eivät ole käytössä. Tässä kohtaa ei voida liikaa korostaa liiketoiminnan vastuuta.

  1. Riippuvuuksien tunnistaminen

Yrityksen pitää tunnistaa sisäiset ja ulkoiset riippuvuudet. Mitkä ovat yrityksen tärkeät tiedot; tietojärjestelmät, toimitilat, tuotantotilat, ihmiset ja alihankkijat? Miten yrityksessä on varauduttu siihen, jos tärkeät tiedot eivät ole joskus käytössä?

Teksti: Kaisa Mikkonen
Kuva: Juri Puhakka

 

Tutustu Amiedun koulutuksiin ja varmista tietoturvallisuusosaaminen yrityksessäsi

Diploma in Cyber Security Management

Koulutus kehittää turvallisuuskulttuuria, päätöksentekokykyä ja kyvykkyyttä nostaa organisaation kyberresilienssia sekä ohjaa kyberturvalliseen toimintamalliin. Valmennus antaa käytännön valmiudet toimia yrityksen tai yhteisön tietoturvallisuusvastaavana.

  • Koulutus alkaa: 21.3.2018
  • Haku päättyy: 21.2.2018

Tutustu tarkemmin: https://www.amiedu.fi/Koulutushaku/Koulutustuote/id/15907

GDPR – (TS100) Tietosuojakortti hallinnolle

Kattava johdanto EU:n tietosuojalainsäädäntöön sekä tietosuojan ja yksityisyyden suojan perusasioihin

  • Ajankohta: 28.2.2018
  • llmoittaudu 20.2.2018 mennessä

Tutustu tarkemmin: https://www.amiedu.fi/Koulutushaku?q=TS100

GDPR – käytännönläheinen koulutus tekniselle kohderyhmälle

Koulutuksessa käydään läpi EU:n tietosuoja-asetuksen asettamia vaatimuksia teknisten asiantuntijoiden kannalta.

  • Ajankohta: 6.3.2018
  • llmoittaudu 20.2.2018 mennessä

Tutustu tarkemmin: https://www.amiedu.fi/Koulutushaku?q=GDPR

CISSP – sertifiointiin valmistava koulutus

Kattava, tiivis ja tehokas koulutus tietoturvallisuuden tärkeimmistä osa-alueista. Valmentaa arvostettuun CISSP-sertifiointitestiin. Soveltuu tietohallinnon johto- ja päällikkötehtävissä tai IT-asiantuntijana työskenteleville.

  • Ajankohta: 21.5.2018
  • Ilmoittaudu 7.5.2018 mennessä

Tutustu tarkemmin: https://www.amiedu.fi/Default.aspx?tabid=587&id=17899