Tietoturvamurtoja ei välttämättä paljain silmin voi havaita – mitä sinä teet tietoturvaksesi?

    Sampo Suojala
    Kirjoittaja: Sampo Suojala 8.11.2019

    Aihe: Tietosuoja, Tietoturva, F-Secure

     

    Lukuaika n. 5 min

    Vaikka joku voisi kuvitella, että jatkuva tietoturvasta puhuminen IT-alan medioissa voi turruttaa lukijat, se ei kuitenkaan pidä paikkaansa. Mielestäni tietoturvasta ei voi puhua liikaa. Siksi puhuin tietoturvasta myös F-Securen Juha-Matti Heljasteen kanssa. Hänen sanomansa voi avata sinunkin silmäsi.

    Tietoturvattomuudelle on monia selityksiä. Yksi yleinen selitys on se, ettei ole mitään varastamisen arvoista tai salattavaa. Toiset sanovat, että ei ole resursseja ja jotkut taas sanovat, etteihän meille voi noin käydä, mikä taas on sukua ensimmäiselle selitykselle. Harvoin asiat ovat kuitenkaan niin yksinkertaisia, kuin miltä MuTulla voisi tuntua eikä mikään näistä syistä kuitenkaan ole syy sille, etteikö tietoturvaan kannattaisi – ja pitäisi – panostaa.

    Vaikka meiltä MPY:ltä voi hankkia tietoturvaa ja tietohallintoa palveluna, sisäistyspalveluna tai muuten, käytämme mekin monissa asioissa luotettavia kumppaneita. F-Secure on yksi esimerkki kumppanista, jonka kanssa me teemme yhteistyötä ja siksi nytkin mielelläni valotan tietoturvaa myös sen asiantuntijan näkökulmasta.

    Kaipaako yrityksesi sisäistämistä? Tutustu.

    Hajuton ja mauton liiketoiminnan tappaja

    F-Securen Juha-Matti Heljasteen mukaan on kaksi tyypillistä kyberhyökkäystyyppiä, joiden uhriksi yritys, organisaatio tai kunta voi Suomessa joutua ja joista toinen on yleensä aluksi täysin huomaamaton.

    “Tyypillisimpiä kyberhyökkäyksiä nykyään ovat kiristyshaittaohjelmat variaatioineen sekä perinteisemmät tietomurrot. Kiristyshaittaohjelmien ‘hyvä puoli’ on se, että ne on todella helppo havaita, kun tietomurtojen tyypillinen havaintoaika on jopa puoli vuotta. Molemmat toki voivat rampauttaa yrityksen mutta kiristysohjelmien kohdalla on vaarana se, että kaikki yrityksen tiedostot, materiaalit, asiakirjat ynnä muut liiketoiminnalle oleelliset asiat voivat kadota silmänräpäyksessä – maksoi kiristäjälle tai ei. Lähtökohtaisesti kiristäjälle maksaminen näissä tapauksissa on täysin riskibisnestä”, Juha-Matti toteaa.

    Tunnettuja tapauksia ei tarvitse edes hakea kaukaa. Vasta viime kesänä Kokemäen kaupunki joutui kiristyshaittaohjelman uhriksi, mistä se onneksi selvisi odotettua vähemmin vahingoin. Niin ei kuitenkaan aina käy. Perinteiset kyberhyökkäykset ja tietoturvamurrotkin voivat tulla kalliiksi, vaikka niissä ei toiminnalle kriittisiä immateriaali- ja materiaaliresursseja aina katoakaan.

    “Ihan yhtä lailla tuore tapaus on Lahden kaupungin tietoturvamurto viime kesältä. Siinä kaupungille tuli pelkästään suoria kuluja n. 700 000 euron edestä, minkä lisäksi mahdollisia välillisiä kuluja on vaikea arvioidakaan.

    Tutustu tietoturvapakettiin Microsoft-sovelluksia käyttäville yrityksille banner

    Tietoturvan mittaamaton arvo

    Juha-Matti myös huomautti siitä, että tietoturvan tai sen puutteiden arvoa ei mitata pelkästään rahassa. Monella toimijalla on pelissä rahan lisäksi arvostus, luottamus ja maine, joiden menetyksen arvo voi olla vähintään yhtä kriittinen kuin suorat kulut.

    “Kuten sanoin aiemmin, vaikka voisi luulla ettei ole mitään salattavaa, ei se tarkoita etteikö niin kuitenkin olisi. Tietomurron seurauksena vääriin käsiin voi joutua hinnastoja, sähköposteja, tarjouksia, sopimuksia, käyttäjätunnuksia ja salasanoja sekä vaikka asiakastietoa. Viimeisen kohdalla varsinkin pitäisi olla tarkkana – eihän GDPR:ääkään säädetty vain muotoseikaksi. Jos yrityksellä, organisaatiolla tai julkisella toimijalla on asiakastietoa, se on lähtökohtaisesti salattavaa tietoa”, Juha-Matti muistuttaa.

    Maineen menettäminen tietoturvan vuoksi on varsinkin brändeille suunnaton menetys. Sen lisäksi Juha-Matti on huomannut sen, että Suomessa on paljon ilkeämpi suhtautuminen tietomurron kohteeksi joutuneita kohtaan kuin muualla – ja se heijastuu myös toimintaan.

    “Suomessa on vallalla sellainen huono periaate, että yritykset ja organisaatiot peittelevät tietomurron sattuessa mahdollisimman pitkään tapahtunutta. Meillä ei ole mallia sille, että myönnettäisi julkisesti tyriminen ja kehotettaisi muita ottamaan siitä opiksi. Sen sijaan esimerkiksi Englannissa – osin lainsäädännöllisistäkin syistä – ei turhaan peitellä vaan tullaan rehdisti esiin kun on jotain sattunut ja pahoitellaan”, Juha-Matti pohtii.

    Turhasta häpeästä olisikin hyvä päästä eroon tietoturva-asioissa. Juha-Matti sanoo, että puolet tietoturvahyökkäyksistä ja -murroista tapahtuu siksi, että sattuu olemaan ‘tiellä’ – ei ole kyse kohdistetusta hyökkäyksestä, mutta mikäli jossakin on ovi, siitä kuljetaan kun siitä sattuu pääsemään sisään. Löydettyä ovea käytetään sitten hyödyksi ennemmin tai myöhemmin.

    Tiedätkö mistä hakea tietoturva-aukkoja?

    Perinteisesti organisaatioiden ja yritysten tietoverkkoihin päästään kahta reittiä. Ensimmäinen ja yleinen reitti on huijausviestit, joita on hyväksikäytetty jo pitkään. Toinen reitti löytyy koneiden ja ympäristöjen haavoittuvuuksista.

    “Ongelmien määrää auttanee havainnollistamaan se, että viime vuonna ohjelmista löytyi 16 500 haavoittuvuutta. Se on noin kaksi haavoittuvuutta tunnissa – ja niitä löytyy koko ajan lisää”, Juha-Matti sanoo.

    Tähän kun vielä lisätään IoT:n myötä yhä vain kasvava verkkoon yhdistyvien laitteiden määrä, on paikka tietomurrolle hyvin pedattu.

    “Vähän kärjistäen sanottuna kohta ei voi ostaa pyykkikonetta, joka ei ole verkossa. Siksi kaikissa organisaatioissa pitäisi kysyä, että ovatko kaikki verkkoon yhdistyvät laitteet organisaation tiedossa? Onko keittiössä hajonneen kahvinkeittimen tilalle ostettu uusi kone sellainen, joka vaatii internet-yhteyden? Yksi tyypillinen tietoturva-aukko löytyy – ironisesti – organisaation turvaksi ostetuista turvakameroista. Jos ne ovat samassa verkossa kuin organisaation tietojärjestelmät, on olemassa mahdollisuus päästä tietojärjestelmiin käsiksi turvakameran tietoturva-aukon kautta”, Juha-Matti hoksauttaa.

    Tietomurtojen tehtailijat vielä toimivat nykyään sen verran ammattimaisesti, että niitä on hyvin vaikea havaita. Toiminta on tarkoituksella hidasta ja harkittua. Juha-Matin mukaan monesti vielä pienten ja keskisuurten yritysten osalta ei ole henkilöstöä, joka ehtisi tietoturvaan keskittymään.

    Tietoturvalliseksi kumppanin kanssa

    Mikä sitten neuvoksi, kun tässä vaiheessa viimeistään pitäisi tietoturvan suhteen herätä kysymys “Mitä minun kannattaisi tehdä”?

    “Jos ei ole osaamista tai resursseja tehdä sisäisesti, paras ratkaisu tietoturvan kanssa on lähteä kumppanin – kuten MPY:n – kanssa ratkomaan tietoturvan ongelmapaikkoja. Erikoistunut kumppani pystyy selvittämään puutteet, vahvuudet ja kehityspaikat. Sen jälkeen on helppo lähteä rakentamaan parhaita ratkaisuja, työkaluja ja ohjelmistoja omaan tietoturvaan yhteistyössä kumppanin kanssa. Tietomurtoja ei voi havaita paljain silmin – jos kyseessä ei ole kiristyshaittaohjelma”, Juha-Matti summaa.

    Näin ollen onkin hyvä kysyä itseltä “onko tietoturva-asiat kunnossa”? MPY:llä on tarjota ratkaisuja tietoturvan uhkiin tietoturvapakettien muodossa. Voit myös kartoittaa sinun tietoturvasi tilanteen yhdessä meidän kanssamme, jolloin voimme yhdessä tehdä oikeat ratkaisut sinun tietoturvaksesi.

    Tietoturvan ratkaisuja ja laajempia kokonaisuuksia voit myös hankkia meiltä Sisäistyspalveluna. Olisiko aika jättää tietoturvattomuus taakse?

    Ilmoittaudu tieoturva-webinaariin 21.11.2019

    Jaa kirjoitus eteenpäin: