MPY:n blogi

Datan varmistamisella ei ole lomaa – sen on toimittava aina

Kirjoittaja: Sampo Suojala 17.8.2017 10:18
Sampo Suojala

Viestintäviraston julkaisemassa tietoturvakatsauksessa ennakoitiin kuluvan vuoden 2017 tietoturvanäkymiä ja nostettiin esille 10 asiaa, jotka ovat ominaisia tälle vuodelle. Mukana olivat mm. teknologian räjähdysmäinen kasvu, osaajapula tietoturva-alalla, verkkovakoilu ja kyberrikollisuuden kasvu sekä monipuolistuvat kiristyshaittaohjelmat, joita kohdistetaan yhä enemmän toimiala- ja yrityskohtaisesti. Tietoturva ei anna armoa yrityksille vieläkään, joten tarkkana saa olla.

Monet listan asiat ovat itsestäänselvyyksiä kuten esimerkiksi se, että olemme kaikki erittäin riippuvaisia tietoverkkojen toiminnasta ja erilaiset tietoverkkohäiriöiden vaikutukset ketjuuntuvat ja ulottuvat yli verkko- ja organisaatiorajojen. Myös haittaohjelmien monipuolistuminen on hyvin tiedossa ja niistä viimeisin ukrainalainen Petya-kiristyshaittaohjelma aiheutti harmia maailmalla juuri kesälomakauden alussa. Toukokuun puolella tehtiin havaintoja laajalle levinneestä WanaCrypt0r-kiristyshaittaohjelmasta, joka saastutti koneita myös Suomessa. 

Viestintäviraston katsauksessa huomioidaan IoT-laitteiden yleistyminen, mikä voimistaa palvelunestohyökkäyksiä ja haittaohjelmien laaja-alaista leviämistä. Voimakkailla hyökkäyksillä voidaan estää kokonaan tai häiritä kansainvälisten verkkopalvelujen käyttöä - näiden kohteeksi on joutunut mm. pankkeja. Myös hyökkäysten vaikutukset näkyvät yllättävinä sivuvaikutuksina palvelunestohyökkäysten resursseiksi valjastettujen laitteiden käyttäjille, eli myös me tavalliset kuluttajat saamme osamme kyberrikollisten ammattimaisesta toiminnasta. 

Varmista toiminnan jatkuvuus niin kotona kuin työpaikalla

Niin lomalla kuin lomien jälkeenkin, sadepäivien varalle voi olla hyvä päivittää omia tietoturvakäytäntöjä niin hyvin palvelleella kotiläppärilläkin kuin koko perheen mobiililaitteilla. Yrityksissä puhutaan toiminnan jatkuvuuden varmistamisesta, kun on kyseessä datan varmistaminen sekä palauttaminen vaikkapa fyysisen konerikon seurauksena.

Varmistus-palautus-MPY.jpg

Sama jatkuvuuden varmistaminen on hyvä huomioida myös kotona tieturvauhkien ja mahdollisten haittaohjelmatartuntojen varalta tai ennaltaehkäisynä sille, että oma tai lapsen älypuhelin kolahtaa vahingossa asfalttiin liian korkealta ja kovaa. Kotioloissa tehtävälle varmistamiselle maksuton pilvipalvelu tai ulkoinen kovalevy on hyvä vaihtoehto. Tärkeintä oikeastaan on se, että varmuuskopiointia tehdään säännöllisesti.

GDPR kasvattaa henkilödatan tarvitsemaa suojausta yrityksissä

Yritykselle datan suojaus kaikin olemassa olevin keinoin on arkipäivää, jonka lisäksi EU:n uusi tietosuoja-asetus tuo yrityksille merkittäviä uudistuksia henkilötietoja koskevan datan hallintaan. Tämän vuoksi organisaatioissa tulisi olla selvät säännöt dataa suojaaville toimenpiteille, joista yksi on kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa. 

Varmistusammattilaisten kultainen 3-2-1-sääntö datan palauttamiselle on:

  • pitää 3 kopiota tärkeästä datasta,
  • säilyttää sitä vähintään 2:ssa eri mediassa/fyysisessä formaatissa ja
  • pitää vähintään 1 fyysisesti eri paikassa olevaa varmuuskopiota.

Viimeisenä kohtana voisi lisätä, että automaattisessa tallennuksessa sallitaan vain 0 virhettä, eli palautuksen on oltava täysin virheetöntä, eikä puuttuvaa dataa saa olla.

Datacenter-konesali-MPY.jpg

Näistä periaatteista on hyvä olla selvillä ja varmistaa, että ICT-kumppanisi toiminta täyttää niin datan suojaukselle kuin toiminnan jatkuvuudelle asetut vaatimukset datan varmistamisen ja palauttamisen näkökulmasta. Datan automaattisesta palauttamisesta puhutaan paljon ICT-ammattilaisten kesken ja sitä pidetään itsestäänselvyytenä, kunnes tositoimissa tulee esille, ettei automaattinen varmistus ole tallentanutkaan jokaista tiedostoa vaan vain tiedoston osia.

Asiakkaan on hyvä olla perillä siitä, että virheitä varmistamisessa ja palautuksessa ei pääse tapahtumaan. Joskus itsestäänselvyydet ovat juuri niitä asioita, joissa sitten prosessi ei toimikaan halutulla tavalla.

Haittaohjelmien leviäminen ja kyberrikollisten toiminta ei anna lomaa kenellekään IT-ammattilaiselle, jos datan varmistaminen ei ole kunnossa. Datan varmistamisen on toimittava aina.

Sampo Suojala
Järjestelmäarkkitehti
MPY Palvelut

Aihe: Digitalisaatio, GDPR, Datan suojaus