Digiloikka edellyttää digiturvaa!
”Tämä uusi kausiflunssa on taputeltu kesään mennessä” – näin minulle vuosi sitten alkuvuodesta eri kanavista toitotettiin. Innoissani suunnittelin kesän lomamatkoja. Muutenkin uusi vuosikymmen näytti olevan täynnä uusia, mielenkiintoisia mahdollisuuksia. Kuinkas kävikään?
Väittämä voi hyvin edelleen pitää paikkansa, kunhan vielä sovitaan, minkä vuoden kesään mennessä. Itse ikuisena optimistina uskon, että korona väistyy samalla tavalla tänäkin vuonna kesään mennessä kuin viime vuonna, ja vaikka rokotukset eivät ole täyttäneet niille asetettuja odotuksia, ne hidastavat merkittävästi koronaviruspandemian vaikutuksia tulevana syksynä. Eli tämän perusteella kenties vuosi 2022 käynnistääkin nyt vihdoin odotetun vuosikymmenen. Kuten vuosikymmen alkoi, päätin aloittaa kirjoituksenikin hieman normaalista poiketen.
Pakko on paras konsultti
Olemme kaikki lukeneet omasta erinomaisuudestamme siinä, kuinka hyvin Suomi pystyi ottamaan kuuluisan digiloikan, jossa sadat tuhannet työntekijät, koululaiset, opiskelijat siirtyivät etätöihin ja opiskelemaan kotoa. Tässä voimme taputtaa itse kutakin olkapäille, meidän tietoliikenne- ja palveluntarjoajamme olivat valmiita tarvittaviin skaalauksiin kapasiteettien osalta, logistiikkaketjut hoitivat niin ruokaa kuin ICT-tarvikkeita ainakin pienellä viiveellä joka Suomen nurkkaan ja notkoon.
Tämä toimintaympäristön muutos oli niin nopea, että jopa aina ketterillä verkkorikollisilla kesti tovin, ennen kuin he saivat prosessinsa kuntoon.
Paitsi wc-paperia, josta tuli ainakin osin globaali, henkinen kriisi. Tällaista venymistä ei ole tapahtunut varmaan sitten toisen maailmansodan, nyt fyysis-analogisen maailman sijaan tämä toteutettiin digitaalisessa toimintaympäristössä. Voidaan siten hyvin sanoa, että ystävällisen ohjauksen, suositusten ja toiveiden sijaan, kun nyt oli *pakko* kehittää ennen näkemättömän nopeasti prosesseja, me onnistuimme siinä ei hyvin, vaan osin erittäin hyvin.
Mielestäni teemaan kuuluu hyvänä esimerkkinä uudenlaiset ajan ilmiöt, meemi-kulttuuri, Teams-kokouksiin liittyvät meedio-kyselyt (Oletko se sinä, Kimmo?) ja onko sinulla uusi vai vanha käsi, mutta nämä ovat kaikki uuteen toimintakulttuuriin liittyviä ajan ilmiöitä.
Jopa verkkorikolliset tippuivat kyydistä
Tämä toimintaympäristön muutos oli niin nopea, että jopa aina ketterillä verkkorikollisilla kesti tovin, ennen kuin he saivat prosessinsa kuntoon ja korjattua huijausviestinsä ja mekanisminsa korona-aiheisiksi. Eräs selkeä huolenaihe on edelleen se, että osana etätyöskentelyä on saatettu joutua joustamaan tietoturvallisuuden tai henkilötietojen käsittelyn ohjeistuksissa verrattuna koronaviruspandemiaa edeltäneeseen aikakauteen. Samoin rikolliset ja valtiolliset toimijat skannaavat verkkoympäristöjä ennen näkemättömällä innolla hakien haavoittuvia laitteita ja päätelaitteita, joiden kautta saadaan haltuun päätelaitteita, palvelimia tai pahimmillaan kokonaisia ICT-ympäristöjä. Tämä korostaa meidän kaikkien vastuuta, emme toimi enää työnantajan meille rakentamissa turvallisissa toimitiloissa ja yhdyskäytävätason turvaratkaisujen takana vaan osin villissä ja turvattomassa internet-verkossa kotona.
Digiloikka edellyttää digiturvaloikkaa
Muutaman kuukauden – tai nyt vuoden jälkeen voidaan todeta, että olemme uudistaneet toimintaamme reippaammin kuin millään perinteisellä ohjausmallilla olisi ollut mahdollista, kiitos globaalin pandemian. Vaikka ICT-palveluitamme on uudistettu vauhdilla, onko samalla huolehdittu riskienhallinnan, toiminnan jatkuvuuden ja varautumisen, tietoturvallisuuden ja tietosuojan kehittämisestä vastaavalla tavalla? Uskallan väittää, että ei ihan samalla intensiteetillä. Eräs keskeinen syy tähän on siinä, että em. osa-alueet sisältävästä digitaalisesta turvallisuudesta huolehtiminen tuntuu osassa organisaatioissa hieman toissijaiselta, koska kuvitellaan, että meillä on asiat riittävä hyvin ja kun mitään ei ole koskaan tapahtunut.
Jos koskaan, niin nyt jokaisessa organisaatiossa pitäisi herätyskellojen soida. Tietoverkkorikolliset ovat löytäneet uudenlaisen keinon rahastaa eli kiristää organisaatioita – siis he ovat kehittäneet uuden liiketoimintamallin. Vanha malli oli se, että he murtautuvat organisaation verkkoon ja ottivat haltuun ICT-toimintaympäristön lukiten palvelimilla ja päätelaitteilla olevat tiedot salaamalla ne ja kiristivät sillä, että teidän liiketoimintanne ei jatku, ennen kuin saamme rahaa. Uhrit totesivat ”Emme maksa – koska emme myöskään neuvottele terroristien kanssa” ja sitten vain palautetaan backupit (kädet ristissä). Koska tämä menetelmä ei tuottanut riittävän hyvää tulosta rikollisille, viime vuonna yleistyi uusi toimintamalli – tiedolla kiristäminen. Tietoverkkorikolliset kaappasivat organisaation kriittisen tiedon haltuunsa, jonka jälkeen siitä on saatettu toimittaa kohdeorganisaatiolle, pahimmillaan myös julkisuuteen sopiva maistiainen, ja kiristetty tietojen avoimella julkaisemisella.
Jatkossa voidaan odottaa vielä sitä, että rikolliset toteuttavat tästä hybridin, kaappaamalla tiedot haltuun, sopivalla tavalla muuttamalla järjestelmissä olevia tietoja pitemmällä aikavälillä ja korruptoiden niistä syntyviä varmuuskopioida saatetaan saada aikaan se tilanne, että organisaatiolla ei olekaan enää keinoa palauttaa toiminnan edellyttämä, tarvittava tieto – se on luotettavassa muodossa ainoastaan rikollisilla.
Tämän takia toivon, että nyt jokaisessa organisaatiossa mietitään ja harjoitellaan, mitä tällainen onnistunut hyökkäys voisi saada aikaan ja kuinka siihen tulee varautua. Jos organisaatio ei ole koestanut omaa tietoturvallisuuttaan ulkoisilla hyökkäyksillä tai skannauksilla, suosittelen nyt vahvasti sellaisten tekemistä. Jos organisaation tilaama ulkopuolinen, laillisesti tehtävän suorittava taho pystyy murtautumaan ja vaikuttamaan organisaation toimintaan, samaan pystyvät tietoverkkorikolliset. Nyt ei ole syytä laittaa päätä pensaaseen vaan nimenomaan katse verkkoihin ja palvelinympäristöihin sekä selvittää, mitä pinnan alla oikeasti tapahtuu. Ja jos olette ulkoistaneet toimintaanne, saatteko sopimusten mukaista turvallisuutta?
Entä tulevaisuus – mihin meidän pitäisi varautua?
Millainen voisi olla meidän seuraava megakriisi, jopa musta joutsen? Globaali digitaalinen toimintaympäristömme kokee uudenlaisia häiriöitä ja hyökkäyksiä 2020-luvulla, esimerkiksi internet-verkon saatavuuden osalta. Emme kuitenkaan joudu kaivamaan kirjoituskoneita ja fakseja esille, mutta joka tapauksessa olemme jälleen silloin uuden tilanteen äärellä. Nyt kannattaa ottaa koronan ja muiden toteutuneiden uhkien opit käyttöön ja on kehittämisen aika! Turvallinen yhteiskunta luodaan #yhdessä.
Teksti: Kimmo Rousku
Kimmo Rousku toimii Digi- ja väestötietovirastossa johtavana erityisasiantuntijana ja VAHTI-johtoryhmän pääsihteerinä. Tämän ohella hän toimii vapaa-ajalla tietokirjailijana, luennoitsijana ja kouluttajana sekä Tietoturva ry:n hallituksen jäsenenä.
Lisätietoja
Tagit
Erikoisosaaminen
Tietoturva |
TIVIA ry - Asiantuntijat ja yhteyshenkilöt
TIVIA ry - Muita referenssejä
TIVIA ry - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Laura - Gaming Product Security Lead
- Laura - Suunnittelupäällikkö – TECH
- Innofactor Oyj - Sales Manager (Dynamics 365)
- Innofactor Oyj - Azure Data Engineer
- Innofactor Oyj - Konsultti, Finance & Operations (Dynamics 365)
- Innofactor Oyj - Konsultti, Business Central (Dynamics 365)
- Innofactor Oyj - Ohjelmistokehittäjä, D365 Business Central
Premium-asiakkaiden viimeisimmät referenssit
- Vetonaula Oy - Vetonaula HTJ:n liiketoiminnan kasvun mahdollistajana
- SD Worx - LUMENE ja SD Worx yhteistyössä jo yli 10 vuotta
- Pengon Oy - Molokin vastuullisuusraportointi pohjaa ajantasaiseen ja automatisoituun dataan
- Pengon Oy - Tiedolla johtaminen tuo Toyota Tammer-Autolle kilpailuedun markkinoilla
- SD Worx - Bilfingerin palkkaprosessiin kaivattua tehokkuutta SD Worxin palkkapalvelun avulla
- Agenda Digital - Hiilineutraali kiinteistö websovelluksena
- Hion Digital Oy - Kokonaisvaltainen digikumppanuus auttaa keskittymään olennaiseen
Tapahtumat & webinaarit
- 13.11.2024 - Rakettiwebinaari: ohjelmistotestaus ja sen tulevaisuus
- 13.11.2024 - Miten palvelumuotoilu poistaa epävarmuutta digi-investoinneista?
- 14.11.2024 - RoimaDay 2024
- 14.11.2024 - Verkkolaskufoorumin syysseminaari 2024
- 14.11.2024 - Tervetuloa syventymään NIS2 -direktiiviin torstaina 14.11. klo 9 - 9.45
- 19.11.2024 - The Future of Software - Embracing Collaboration in an AI-Powered World
- 19.11.2024 - Tehokkuutta ja säästöjä low-code-ratkaisuilla
Premium-asiakkaiden viimeisimmät bloggaukset
- Vetonaula Oy - 10 kyberturvallisuusvinkkiä yrityksille
- Vetonaula Oy - Dropbox-hyökkäykset ja kalasteluviestit: Mitä toimenpiteitä tulisi tehdä?
- SD Worx - Miten generatiivinen tekoäly vaikuttaa työntekijäkokemukseen?
- SD Worx - Kaipaatko lisää tehokkuutta ja tarkkuutta? On aika hyödyntää automaatiota HR:ssä ja palkanlaskennassa
- SD Worx - Miten ESG-raportointi voi vahvistaa HR:n asemaa?
- SD Worx - Palkanmaksu ei voi katketa, vaikka palkka-asiantuntija olisi poissa – ennakoi, varaudu ja hanki erityisosaaja avuksi
- SD Worx - 7 yleisintä piilokustannusta, joita aiheutuu, jos HR:n digitalisointiin ei investoida
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |