Yrityksen tietoturva on tänä päivänä mutkikas kokonaisuus, jossa eilisen totuudet eivät enää päde. Alati muotoaan muuttavat haittaohjelmat ja kehittyvät hyökkäykset pitävät kentän jatkuvassa liikkeessä, sillä tietomurroista on tullut kannattavaa liiketoimintaa.

Kysyimme IBM BusinessConnect -sarjan haastattelussa kyberturvayritys Nixun Pietari Sarjakiveltä mihin tietoturvan rakentamisessa kannattaa panostaa?

Sarjakivi painottaa, että suojaustarpeet lähtevät liiketoiminnasta. Kaikkea ei voida suojella, vaan yritysten on tunnistettava itse tärkeimmät kohteet. Hän kehottaa miettimään mistä liiketoiminta syntyy, millaista aineetonta pääomaa (IPR) yrityksellä on ja missä henkilötietoja säilytetään?

Esimerkiksi Nixulla pyritään aina huomioimaan asiakkaan toimialan erikoistarpeet ja ennakoimaan kyberturvallisuuteen liittyvät riskit:

-Me suojelemme bisnestä, emme it-infraa, hän tiivistää.

-Resurssien rajallisuus on fakta, joka täytyy hyväksyä, sillä hyökkääjällä on aina etulyöntiasema. Yrityksen kannattaa valita tarkoin mitä puolustaa, sillä vastapelurin tarvitsee löytää vain yksi virhe.

Tämän valinnan tekeminen on perinteisesti ollut todella haastavaa.

-Kaikkea emme voi koskaan estää, vaikka tekisimme mitä. Tehdään siis kaikki mitä voimme järkevin kustannuksin toteuttaa. Lukemattomien mahdollisten uhkien joukosta kannattaa estää ennalta helposti torjuttavat hyökkäykset sekä toisaalta ne, jotka muodostavat yritykselle suurimmat riskit ja tappiot.

 

Pietari Sarjakivi auttaa asiakkaita rakentamaan kokonaisvaltaista tietoturvan tilannekuvaa.


Sarjakivi mainitsee esimerkkinä satoja miljoonia dollareita maksaneen Natanzin uraanirikastamon Iranissa. Rikastamon ulkoiseen suojeluun oli panostettu ilmatorjuntatykkejä myöten, mutta silti tietoverkkoon ujutettu Stuxnet-mato ehti sotkea rikastamiseen käytettyjen sentrifugien toimintaa peräti vuoden ajan.

Natanzin tapaus alleviivaa havainnoinnin tärkeyttä. Hyvä kyberturvallisuus on yhdistelmä osaavia tekijöitä, oikeaa teknologiaa ja huolella suunniteltuja toteutuksia. Teknologian avulla uhat voidaan havaita nopeasti, mutta koulutetut ammattilaiset osaavat arvioida mikä on paras tapa reagoida kuhunkin tilanteeseen.

-Pelkkä kallis teknologia ei riitä, toistaiseksi ihminen osaa koneita paremmin “outside the box” -ajattelun, Sarjakivi painottaa.

Juuri näin kävi Target-kauppaketjulle. Järjestelmien puolesta kaikki oli kunnossa, mutta hyökkääjät onnistuivat viemään miljoonien amerikkalaisten luottokorttitiedot yksinkertaisen haittaohjelman avulla, sillä tietoturvasta vastaavat avainhenkilöt eivät jostain syystä reagoineet annettuun hälytykseen. Yrityksen liiketoiminta ei lopulta kärsinyt, mutta sekä tietohallintojohtaja että toimitusjohtaja joutuivat jättämään tehtävänsä tapauksen seurauksena.

Sarjakivi muistuttaa, että reagoinnilla on suuri merkitys. Väärä reaktio saattaa johtaa hyökkääjän piiloutumiseen, mutta jokaisesta havainnosta ja reaktiosta myös opitaan jotain.

-Tietoturvayrityksenä me analysoimme jokaisen tilanteen ja käännämme kaiken opitun asiakkaiden eduksi. Vastaan tulevien tapausten suuri volyymi auttaa, sillä operoimme jatkuvasti useassa eri ympäristössä ja saamme kerättyä valtavasti tietoa.

 

Jokaisesta murtotapauksesta voidaan oppia jotain ja kehittää sitä kautta omaa puolustusvalmiutta.


Järjestelmien kutsumattomat vieraat

Pietari Sarjakiven mukaan tietoturvan kentällä vallitsee vielä vanhakantainen usko siihen, että investoimalla laitteisiin voidaan suojautua kaikelta.

-Useat yritykset ajattelevat olevansa turvassa, koska jossain on systeemi, joka suodattaa kaiken pahan pois. Todellisuudessa laitteet happanevat eikä niitä välttämättä edes käytetä.

-Kaikkialla on hiljaisia estolaitteita, mutta havainnointi on unohdettu. Vasta kun lähes kaikki isot yritykset on murrettu, aletaan ymmärtää, Sarjakivi huokaa.

”Ajattele jos teillä olisi kotona murtovaras liki vuoden tyhjäämässä jääkaappia ilman, että huomaisit sitä.”

Tilastojen mukaan hyökkääjä ehtii usein olla 200 päivää ympäristössä ennen kuin se huomataan. Epäusko onkin usein ensimmäinen reaktio, kun tilanne selviää.

-Ajattele jos teillä olisi kotona murtovaras liki vuoden tyhjäämässä jääkaappia ilman, että huomaisit sitä. Toteaisit vain, että lukkohan on ehjä – ei tässä hätää, tietoturvakonsultti havainnollistaa.

Analogia tuntuu hullunkuriselta, mutta virtuaalisessa maailmassa murto jää usein huomaamatta. Havainto järjestelmiin tunkeutumisesta tulee yleensä ulkopuolelta.

-Jopa 85 % havainnoista tulee siltä ikkunasta kurkkaavalta naapurilta, joka huikkaa, että sohvallasi on muuten joku. Eli lukko ja kilpi -malli ei toimi.

 

Tietomurroissa reaktioajalla on suuri merkitys, Pietari Sarjakivi painottaa.


Sarjakivi ehdottaa totuttujen mallien kääntämistä päälaelleen:

-Painopiste on siirtymässä ennakointiin. Siinä missä aikaisemmin lukkoihin laitettiin 80 % ja havainnointiin 20 % rahoista, voisi jatkossa havainnointiin pistää 70 % ja estotoimenpiteisiin 30 %.

-Ei kannata edes kuvitella voivansa estää kaikkea, mutta oikealla reagoinnilla murtovaras voidaan saada kiikkiin vaikka jo 20 minuutin kuluttua 200 päivän sijaan. Näin bisnes saadaan palautettua nopeammin.

Reaktioaika on elintärkeä, sillä nykyisten tilastojen valossa murtautujat ehtivät juurtua tukevasti ennen kiinni jäämistään – hyökkääjästä eroon pääsemiseen menee keskimäärin 70 päivää.

-Jos murtotapauksesta toipumiseen menee kaikkiaan 270 päivää, se tarkoittaa, että järjestelmässänne on joku ylimääräinen taho suurimman osan vuotta. Olettaen, että murtoja tapahtuu yksi vuodessa.

-En pysty näyttämään toteen, mutta väitän, että todellisuudessa murtoja tapahtuu enemmän, Sarjakivi toteaa painokkaasti.

 

Pelikenttä muuttuu – yritysten opeteltava investoimaan oikein

Sarjakivi näkee, että kentällä on paljon turhaa pelkoa, jonka takana on riittämätön tietoturvan tekemisen malli. Muurien rakentamisen sijaan pitäisi organisoida puolustus uusiksi nimenomaan liiketoiminnan näkökulmasta.

-Ensin tulevat ihmiset, sitten prosessit ja vasta viimeisenä teknologia. Avainasemassa ovat motivoituneet ihmiset, jotka osaavat asennoitua ja toimia tilanteen edellyttämällä tavalla, Sarjakivi selittää.

Hän suositteleekin ostamaan teknologian sijaan osaamista:

-Teknologia tulee aina lopulta elinkaarensa päähän ja investointi nollautuu. Yrityksen kannalta ratkaisevia eivät ole käytetyt laitteistot vaan kyky puolustautua uhkia vastaan.

Kun tietoturva ostetaan palveluna, taso on aina riittävän korkealla, sillä palveluntarjoajalla on käytössään kaikista asiakastapauksista karttuva tietotaito.

Harva pystyy palkkaamaan montaa täysipäiväistä ihmistä tietoturvaa hoitamaan, yksistään uhkakentän seuranta vaatii paljon aikaa.

 

 

Nixun ite wiki -profiili

Nixun kotisivut  

 

IBM Business Connect-tapahtuma järjestetään 19.10.2016 Helsingin messukeskuksessa teemanaan The new era of thinking. Tule mukaan verkostoitumaan digitaalisen liiketoiminnan ammattilaisten kanssa!

IBM Business Connect-tapahtuman sivut