Uudet ulkoiset tietoturvauhat valtaavat alaa jatkuvasti, jolloin vanhoja ratkaisuja täytyy tarkastella uusista näkökulmista. Haastattelimme aiheesta IT-palvelutalo Otaverkon Janne Pihlajamäkeä.
Millaisia ovat yleisimmät tietoturvauhat ja niiden reitit yritykseen?
Tietoturvauhkat voidaan jakaa niin sisäisiin kuin ulkoisiin uhkiin. Ulkoiset uhat, kuten tietomurrot ovat Pihlajamäen mukaan laajempi ongelma kuin mitä mediassa tuodaan esille. Tietoturvan tärkeys ulottuu kaiken kokoisiin yrityksiin, vaikka suuri osa ihmisistä on tietoisia vain suuriin yrityksiin kohdistuvista hyökkäyksistä.
“Vaikka uutiskynnyksen ylittävät pääasiassa suurempiin yrityksiin kohdistuvat hyökkäykset, samat uhat kohdistuvat myös pienempiin yrityksiin”, Pihlajamäki toteaa. Uhat koskettavat täten jokaista IT-päättäjää, ja on olemassa tiettyjä asioita, joita pk-yrityksen IT-päättäjien kannattaa huomioida yrityksen tietoturvaratkaisuja pohtiessa.
“Ennen oman yrityksen tietoturvaratkaisujen tekemistä päättäjien on hyvä ymmärtää, mihin hyökkääjät pyrkivät”
Pihlajamäen mukaan yritysten päättäjien tulee tiedostaa, mitä kautta hyökkäykset tapahtuvat. Yleisimmät tavat päästä yrityksen tietoihin käsiksi on kalastella käyttäjätietoja tai hyödyntää haavoittuvuuksia.
Pihlajamäen mukaan arviolta noin 10% yritysten tietoturvahyökkäyksistä tapahtuu haavoittuvuuksien kautta. Niihin lasketaan hänen mukaansa esimerkiksi vanhentuneet päivitykset, puutteelliset konfiguraatiot ja turhaan avoimena olevat portit. Epäkohtia voi löytyä niin sisä- kuin julkiverkostakin.
Suurempi ongelma on Pihlajamäen mukaan kuitenkin kalastelu.
“Kun puhutaan kalastelusta, puhutaan pääsääntöisesti käyttäjätunnusten ja käyttöoikeuksien hankkimisesta vilpillisin keinoin”, Pihlajamäki kuvailee. Tätä tehdään esimerkiksi huijaussähköposteilla, joiden kautta käyttäjiä huijataan luovuttamaan tunnuksensa hyökkääjän haltuun.
Vaikka kalastelu on haavoittuvuuksien hyödyntämistä yleisempää, kokonaiskuvassa on hyvä ottaa huomioon molemmat aspektit – hyökkääjälle riittää yksikin avoin reikä. Oli tapa kumpi tahansa, on hyökkääjän intressinä aina taloudellinen hyöty.
Johdonmukainen riskinhallintaprosessi minimoi tietoturvauhkia
Miten uhkiin tulisi varautua? Pihlajamäen mukaan toimiva varautumissuunnitelma riippuu paljon yrityksen lähtötilanteesta. Siksi olisikin hyvä luoda riittävä kokonaiskuva siitä, miten yritykset operoivat IT-asioita entuudestaan.
“Meillä Otaverkolla tietoturva nähdään neljän vaiheen – ennakoinnin, estämisen, havaitsemisen ja toiminnan – kautta”, Pihlajamäki kertoo. Näistä jokaisen vaiheen huomioiminen on hänen mukaansa kriittinen osa tietoturvan kokonaisuutta.
Pihlajamäen mukaan parhaassa tapauksessa koko prosessi ennakoinnista toimintaan on suunniteltu huolella. Tällöin tietoturvauhka havaitaan viipymättä, siihen reagoidaan nopeasti ja toimintaprosessit sen torjumiseksi ovat selkeät.
“Ennakoi, estä, havaitse, toimi”
Ennakointi tarkoittaa Pihlajamäen mukaan sitä, että yrityksellä on näkyvyys omaan hyökkäyspinta-alaansa. Tämä auttaa yritystä arvioimaan realistisia tietoturvauhkia, kuten haavoittuvuuksia ja sitä, millä tasolla henkilökunnan tietämys on tietoturva-asioista.
Kun ennakointi on tehty, estämisellä pyritään ennaltaehkäisemään havaittujen reikien aiheuttamia uhkia. Keinoihin lukeutuu Pihlajamäen mukaan esimerkiksi vahva tunnistautuminen ja verkon asianmukainen segmentointi. Lisäksi laitteiden virustorjunnan ja tietoturvapäivitysten täytyy olla ajan tasalla, ja kriittisen datan olla turvassa ja varmuuskopioitu.
Havaitse-vaiheessa focus on siinä, että tietoturvapoikkeamat havaitaan ennen kuin on liian myöhäistä”, Pihlajamäki avaa. Tässä vaiheessa asianmukainen teknologia on tärkeää, sillä sitä ilman haavoittuvuuden havainnointi ilman voi kestää useita kuukausia.
Toimi-osiossa suoritetaan toimenpiteitä, joilla pyritään minimoimaan mahdolliset vahingot. Tässä vaiheessa ihminen ja osaaminen ovat tärkeässä roolissa, sillä Pihlajamäen mukaan parhaatkaan teknologiat eivät tässä vaiheessa riitä varmistamaan tietoturvan tasoa ilman osaamista.
Tietoturva on jatkuvaa kehittämistä
“Niin kuin palohälytysharjoituksia, tulisi myös tietoturvaprosessia, ja etenkin palautumissuunnitelmia, testata säännöllisesti”, Pihlajamäki kuvailee. Tietoturva on hänen mukaansa jatkuvan parantamisen prosessi: vaikka se olisi tällä hetkellä loistavassa kunnossa, tilanteet saattavat muuttua hyvinkin nopeasti.
Yrityksen tietoturvaa kannattaa tarkastella säännöllisesti omaan liiketoimintaan peilaten. Pihlajamäki muistuttaa, että päättäjän on syytä varata resursseja tietoturvan kehittämiselle – ei vain sen ylläpidolle.
“Moni voi pitää uutisia ja listauksia pelotteluna, mutta realismista on hyötyäkin”, Pihlajamäki toteaa. Realismi ja tosiasioiden myöntäminen luovat hänen mukaansa turvallisuutta jo itsessään. Tietoturva-asioiden riskienhallinnan tulisi olla Pihlajamäen mukaan tietoinen prosessi, eikä sattumanvarainen panostus. Tällöin johdon on helpompi luottaa yrityksen toimintaan.