tietoturvatyo

Tietoturvatyön tulevaisuus on edistyksellisissä prosesseissa ja inhimillisten toimintatapojen kehittämisessä

Suomessakin ovat viime vuosina yleistyneet sekä huijaukset että tietomurrot. Mitenkään sattumaa tämä ei tietysti ole vaan osa maailmanlaajuista kehitystä, jolle ei ihan heti loppua näy. Koska kehitys ei näytä hiipuvan, pitää yritysten mukautua niihin realiteetteihin mitkä muodostavat toimintaympäristön nykytilan ja tulevaisuuden. Nykyiset uhat vaativat valvontaa ja toimintatapojen muutosta, jotta niiden aiheuttamat vahingot pysyvät minimissään. Valvonnalla voidaan estää hyökkääjän pesiytyminen firman järjestelmiin määräämättömäksi ajaksi, jonka aikana pahimmillaan liiketoiminnan kannalta kriittinen data on hyökkääjän vapaasti manipuloitavissa tai yrityksen laitteita voidaan käyttää osana muita hyökkäyksiä.

Niin inhimillisten virheiden kuin koko ajan monimutkaistuvien huijaustenkin torjunnassa auttaa, kun yrityksellä on valmiiksi mietitty tietoturvaprosessi ja toiminta on kussakin tilanteessa ennalta suunniteltua. Tarkoitus ei ole valmentaa koko yrityksen henkilöstöstä tietoturvan ammattilaisia, vaan varmistaa, että kukin ymmärtää oman osansa merkittävyyden yrityksen informaation ja järjestelmien turvaamisessa.

 

Aktiivinen tietoturvan arviointi osana prosessikartoitusta

Hyökkäykset ja huijaukset nojaavat yhä useammin käyttäjämanipulaatioon (eng. social engineering), jonka torjuminen teknisin keinon on joko hankalaa ja kallista tai mahdotonta ja kallista. Sen sijaan asianmukaisella prosessilla on mahdollista torjua käyttäjämanipulaatioon nojaavia hyökkäyksiä. Prosessien tulee olla suunniteltu siten, että niiden toteuttaminen yrityksessä ei mahdollista rikollisten puuttumista sen kulkuun.

Valvonnan osalta erityiseen rooliin nousee verkossa olevien laitteiden aktiviteetin seuranta ja sen analysointi. Havainnoimalla tavanomaisesta poikkeavaa liikennettä verkossa sekä poikkeavia tapahtumia yrityksen laitteissa on mahdollista tunnistaa ja paikallistaa tapahtuneita murtoja, jolloin voidaan lyhentää oleellisesti hyökkäyksen ajallista pituutta. Mitä kauemmin hyökkääjä pääsee oleskelemaan yrityksen järjestelmissä, sitä enemmän informaatiota voidaan kerätä ja sitä suuremmat ovat hyökkääjän mahdollisuudet ladata uusia haittaohjelmia firman järjestelmiin.

 

Millaiseen tietoturvan tasoon kannattaa investoida?

Perinteikäs tapa lähestyä tietoturva-asioita pienissä ja keskisuurissa yrityksissä on joko hankkia rautaa rajalle tai tunkea pää pensaaseen. Ensimmäisessä vaihtoehdossa toteutetaan varsin hienoja – välillä suhteellisen kalliitakin teknisiä ratkaisuja. Jälkimmäisessä vaihtoehdossa ajattelumalli on: ”liian kallista puuhaa, sitä paitsi uhat eivät koske meitä”.

Mitä ensimmäiseen toimintamalliin tulee, on tietysti tärkeää suojata yrityksen toimintaa teknisesti, jotta ovet eivät aukenisi jokaiselle ohisurffaajalle. Valitettavasti kuitenkin tähän se useimmiten myös jää. Hämäräheebojen hyökkäykset eivät kuitenkaan välttämättä tähtää teknisen suojauksen murtamiseen, vaan sen kiertäminen riittää. Oli firman turvana millainen kyberkiinanmuuri tahansa, jos joku avaa kyberkaanille portin niin intrassa istuukin yllättäen aivan uusi keisari.

Kun yrityksessä ajatellaan, että uhka ei koske juuri heitä, otetaan samalla valtava riski. Ensinnäkin, yritys saattaa muodostua niin helpoksi kohteeksi, ettei sitä tarvitse mitenkään erikseen valikoida hyökkäyksen kohteeksi, vaan se menee samalla vaivalla tuhansien muiden huijausten kohteena.

Mitä suojautumisen hintaan tulee, niin parempi kysymys on, että millaiseen suojaustasoon kannattaa investoida. Jos on taskussa pähkinöitä, niin lienee turha lähteä kyhäämään Konstantinopolin tasoisia linnoitteita niiden suojaksi. Toisaalta se ei tarkoita, että pähkinät kannattaisi jättää pihalle, mikäli ne halutaan vielä tulevaisuudessa popsia.

Yrityksen tietoturvaan tulee siis panostaa, mutta sitä ei pidä rajoittaa pelkkiin teknisiin ratkaisuihin, koska tehokkaassa tietoturvatyössä on kyse muustakin kuin kilpavarustelusta.

 

  • Tunnista potentiaalisia riskejä ja tee suunnitelmat niiden torjumiseksi ja minimoinniksi. Tämä vaatii suunnitelmallisuutta ja säännöllistä ympäristön havainnointia.
  • Luo prosessit valvontaan ja havaittujen uhkien, heikkouksien ja tapahtumien raportoimiseksi. Vain havaittuihin ongelmiin voidaan puuttua ja niistä saatava oppi on hyväksi muutenkin kuin vain sen kyseisen aukon paikkaamiseksi.
  • Ota tietoturva osaksi yrityksen normaalia toimintaa. Integroi tietoturva-asiat osaksi yrityksen tuote- ja palvelusuunnittelua sekä varmista, että ne vastaavat sekä lakiteknisiä että käytettyjen standardien vaatimuksia.

One comment

  • Heljä Linnansaari

    Ajankohtainen asia ytimekkäästi esitettynä. Laittaa valppaaksi. Tärkeitä näkökohtia ja hyvä loppukysymys pointteineen.

Kirjoita kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *