Jatkuvuuden varmistaminen ICT:n näkökulmasta on keskeinen osa laajempaa liiketoiminnan jatkuvuudenhallinnan kokonaisuutta.
– Tutkimusten mukaan ICT-alueella suurimmiksi uhiksi koetaan kyberhyökkäykset ja ennakoimattomat käyttökatkot, riippumatta siitä johtuivatko ne tietojärjestelmien vai tietoliikenteen ongelmista. Näiden ohella merkittäväksi riskiksi ovat nousseet myös data breachit eli järjestelmiin murtautuminen ja yrityksille tärkeän tiedon vieminen, kertoo Telian data center -asiantuntija Eero Lindqvist.
– Jos katsotaan trendejä, niin viime aikoina on uutisoitu erityisesti haitta- ja kiristysohjelmista, jotka lukitsevat käyttäjien koneita kiristäen heitä maksamaan lunnaat. Osassa tapauksista on kyse suoranaisesta kiusanteosta ilman aikomustakaan poistaa lukitusta, kertoo Lindqvist, jolla on työhistoriaa Telian konesalipalveluiden parissa lähes 20 vuoden ajalta.
Yllättävän moni organisaatio Euroopassa on kärsinyt viimeaikaisista kiristysohjelmista.
– Tänä päivänä perinteisiin tietoturva-uhkiin varautuminen on keskimäärin hyvällä mallilla. Organisaatioissa otetaan riittävästi varmuuskopioita, on varajärjestelmiä ja tietoliikenneyhteyksiä on varmistettu.
Haasteeksi nouseekin Lindqvistin mukaan it-infraa abstraktimpi puoli eli sovelluskerros ja ohjelmistot.
”Haasteeksi nousee it-infraa abstraktimpi puoli eli sovelluskerros”
– Esimerkiksi WannaCry-kiristyshaittaohjelman tapauksessa vahinkoa ei olisi aiheutunut, jos suositellut tietoturvapäivitykset olisivat olleet asennettuina työasemille ja palvelimille.
Jatkuvuudenhallinnan kannalta suunta on selkeä: riskit tulevat kasvamaan organisaatioiden viedessä asioita yhä enemmän pilvipalveluihin. Julkisessa pilvessä tietoturvan puutteet ja ohjelmistojen aukot paljastuvat armottomasti. Pilvipalvelut eivät kuitenkaan ole turvattomampia kuin yritysten perinteiset suljetut ympäristöt, ne ovat vain “paremmin” esillä.
– Maailman verkottuminen tuo mukanaan tämän tyyppisiä riskejä. Valitettavasti ollaan tilanteessa, jossa vanhoja järjestelmiä käytetään ymmärtämättä niihin sisältyviä riskejä. Hyvänä esimerkkinä voi mainita Microsoft XP-työasemat, joita on edelleen käytössä miljoonia, vaikka käyttöjärjestelmän tuki loppui vuonna 2014. Vastaavasti palvelinpuolella saatetaan jättää käyttöön vanha protokolla, jota ei enää tarvita, mutta joka samalla mahdollistaa hyökkäyksen.
”Microsoft XP-työasemia on miljoonia käytössä, vaikka käyttöjärjestelmän tuki on loppunut”
Sovelluspalveluiden ja ohjelmistojen osalta riskeihin varautuminen on monimutkaisempaa kuin infrapuolella, jossa vaikkapa serverin rinnalle voidaan hankkia toinen, jos laite sattuisi rikkoutumaan.
– Ohjelmiston rinnalle ei voi tuoda niin helposti korvaavaa softaa. Siksi jatkuvuudenhallinta on ennen kaikkea johtamishaaste. Se pakottaa johdon pohtimaan, millä tasolla yrityksen tietoturva on ja onko tietoturvapolitiikka kunnossa. Jos politiikka sallii vanhojen ohjelmistojen ja järjestelmien käyttämisen, pitäisi myös tiedostaa riskit ja varautua suojautumalla riittävästi.
Tyypillisesti päätöksiin vaikuttavat resurssihaasteet. Riittääkö it-osaston budjetti oikeiden asioiden tekemiseen vai tingitäänkö niistä asioista, jotka eivät ole ihan pakollisia.
– Jos on olemassa selkeä politiikka esimerkiksi siitä, että työasemissa pitää olla tuettu käyttöjärjestelmä, se pakottaa myös resursoimaan ja budjetoimaan käytännön mukaisesti.
– Voisi sanoa, että mitä enemmän toiminta pyörii tietojärjestelmien varassa, sitä enemmän vahinkoa koituu, kun järjestelmän käyttö vaarantuu tai katkeaa. Silloin kassavirtakin voi monesti loppua. Esimerkiksi verkkokaupoilla tappiot ovat aika selkeästi osoitettavissa.
”Mitä enemmän toiminta pyörii tietojärjestelmien varassa, sitä enemmän vahinkoa koituu.”
Usein katkokset eivät kuitenkaan näy suoraan liiketoiminnan mittareissa.
– Jos työntekijät eivät voi tehdä työtään puoleen päivään, mikä sen vaikutus on? Kun tietojärjestelmät eivät toimi, asiat jäävät hoitamatta eikä asiakkaita kyetä palvelemaan.
Jatkuvuuden varmistamisen kannalta katkoksen aikajänne onkin kriittinen.
– Jos ongelma vaatii laitteiden vaihtamista tai ohjelmistopäivityksiä, se ei tapahdu nappia painamalla. Monesti käyttäjiltäkin unohtuu se, että vaikka kaikki on “pilvessä”, niin se pilvikin muodostuu fyysisistä komponenteista, jotka sijaitsevat datakeskuksissa. Jos näihin komponentteihin tulee vikaa, koko pilvi lakkaa toimimasta.
Käyttökatkosten aiheuttamien ongelmien mittakaava onkin kasvanut pilvipalveluiden myötä. Aikaisemmin yrityksen serverien pimeneminen vaikutti yhteen yritykseen. Tänä päivänä sama pilvi voi palvella tuhansia yrityksiä ja käyttäjiä, jolloin myös vikojen vaikutukset ovat huomattavasti laajempia.
Miten tietohallinnon tulisi varautua jatkuvuudenhallinnan kasvavaan haasteeseen?
– Kaikki lähtee hyvästä johtamisesta ja suunnittelusta. Karttuvan kokemuksen ja suunnitteluprosessin kautta syntyy vaatimuksia, joiden pitää toteutua, että liiketoiminnan jatkuvuus voidaan varmistaa. Palvelutaso voi laskea hetkellisesti, mutta se pidetään riittävänä, ettei liiketoiminta katkea täysin hetkeksikään.
Kriisitilanteita pitää myös ylläpitää ja harjoitella, koska uhat, ympäristö ja vaatimukset muuttuvat.
– Tarkastusprosessin pitää olla säännöllinen. Usein toimintamallit on laadittu, mutta niiden toteuttamista ei harjoitella. Jos viime vuonna tietty järjestelmä sai olla vuorokauden poissa toiminnasta, niin ensi vuonna se voi olla niin kriittinen, että vuorokauden paussi ei ole hyväksyttävä.
”Ainoa toimiala, jossa säännöllisesti harjoitellaan kriisitilanteita, on pankkimaailma”
– Ainoa tietämäni toimiala, jossa säännöllisesti koeponnistetaan ja harjoitellaan kriisitilanteita, on pankkimaailma. Vuosittain tietty porukka ei ajakaan konttorille töihin, vaan väistötiloihin, joissa toimintaa ylläpidettäisiin poikkeusoloissa. Siellä testataan toimivatko järjestelyt käytännössä, jos jotain tapahtuisi. Kun itsensä altistaa haastavalle tilanteelle, löytää aina petrattavaa ja kehitettävää.
Yhden merkittävä insentiivin tietoturvan ja jatkuvuudenhallinnan asiantilan selvittämiseen luo EU:n uusi tietosuoja-asetus, GDPR.
– GDPR asettaa erityisiä vaatimuksia organisaatioille henkilötietojen käsittelyn, suojaamisen ja säilyttämisen osalta. Henkilötietojen huolimattomasta käsittelystä seuraavat sanktiot voivat olla todella mittavia.
Lindqvist osuu naulan kantaan, sillä GDPR-rikkeen seuraamukset voivat viedä pienemmän yrityksen vaikka selvitystilaan. Sanktio retuperäisestä tietojenkäsittelystä voi olla jopa 20 miljoonaa euroa tai 4% globaalista liikevaihdosta.
– Se on aikamoinen keppi, jota tietosuojaviranomaiset voivat heiluttaa, hän lopettaa.
Telian ite wiki -profiili
Lue lisää Telian Datacenter-palveluista ja tietoturvapalveluista
Katso myös Telian tulevan data centerin esittelyvideo