Web Content Display

Totta vai tarua: Totuuksia kyberturvasta

Kyberrikollisuuden arvo tulee lähivuosina nousemaan 2000 miljardiin dollariin, ja on nyt jo mittavampaa kuin perinteinen rikollisuus. Sähköposti uhkavektorina on tehnyt vahvan paluun, ja huijausviestit ovat yhä fiksumpia. Yrityksillä ei luuloistaan huolimatta ole selkeää käsitystä siitä, kuinka paljon erilaisia pilvipalveluja sen työntekijöillä on käytössä, ja millaisia tietoja niissä liikkuu.

Nämä ja monta muuta kovaa totuutta kyberturvasta esitettiin Edward Snowdenin hengessä Totuuksia kyberturvasta -tietoiskussamme torstaina 22.9. Puheenvuorojen jälkeen nähtiin tositarina maailmanlaajuisesta joukkovalvonnasta, kun yleisölle esitettiin Snowden-elokuvan ennakkonäytös.

Kokosimme tapahtuman parhaat palaat totta vai tarua -muotoon.

Yksilön tietosuojaa turvaava Privacy Shield ei ole aukoton.

Totta. EU-valtioiden hyväksymä Privacy Shield -sopimus sisältää Yhdysvaltain sitoumuksen rajoittaa tiedon massakeräystä. Muun muassa Facebookin, Googlen ja Applen verkkopalvelujen käyttäjien tietojen hyödyntämistä säätelevä datasiirtosopimus pyrkii estämään massavalvontaa. Jo pitkältä historiasta totuus kuitenkin on, että aina kun on ollut olemassa viestintää, on myös vakoiltu ja valvottu. Kriitikoiden mukaan ei ole mitään takeita, etteivät toimijat ja valtiot salaisesti jatka tietojen keräämistä.

Yrityksillä on selkeä käsitys työntekijöiden käyttämistä pilvipalveluista.

Tarua. Pilvipalveluja on käytössä paljon enemmän kuin organisaatioissa yleisesti kuvitellaan.  Ja niissä liikkuu paljon enemmän ja luottamuksellisempia tietoja kuin tiedetään. Totuuden selvittämiseksi yrityksen tarvitsee kartoittaa käytössään olevat palvelut, selvittää niissä käsiteltävät henkilötiedot, arvioida niihin kohdistuvat riskit, suojata tiedot ja tarvittaessa estää hallitsemattomien pilvipalvelujen käyttö. Apuna toimii pilvianalyysipalvelumme ja asiantuntijamme.

Fiksu kyllä tunnistaa huijaussähköpostin.

Tarua. Sähköposti uhkavektorina on palannut takaisin. Huijausviestit tulevat yhä fiksummiksi, ja käyttäjät voivat vain pienistä merkeistä, kuten lähettäjänimen olemattomasta kirjoitusvirheestä, päätellä, että kyseessä on huijaus. Koulutuksista ja huolellisuudesta huolimatta iso osa käyttäjistä haksahtaa huijaussähköposteihin. Suojautumista tarvitaan myös teknisellä tasolla ja perinteisten menetelmien rinnalle on tuotava kehittyneempiä suojaustapoja.

Edes toimitusjohtajalta tulleisiin viesteihin ei voi luottaa.

Totta. Toimitusjohtajahuijauksessa hyödynnetään työntekijöiden luontaista taipumusta ratkaista esimiesten asettamat tehtävät nopeasti ja tehokkaasti. Aikaisemmin huijaukset olivat helposti tunnistettavissa niiden kömpelyyden vuoksi, mutta viestit ovat tulleet yhä uskottavammiksi ja aidomman oloisiksi. Tätä petostyyppiä voi olla erittäin vaikea tunnistaa.

Tietoverkkoon murtautuva lamppu on scifi-kamaa.

Tarua. Verkkoon liitettyjä IoT-laitteita on tällä hetkellä noin viisi miljardia, ja Gartnerin arvion mukaan vuonna 2020 lukumäärä on ylittänyt 20 miljardin rajapyykin. Vaaralliseksi tilanne muuttuu, jos markkinoilla olevia esineitä saa kaapattua etäyhteydellä ja käyttää vääriin tarkoituksiin. Jotta tällaista ei tapahtuisi, on turvallisuuteen kiinnitettävä erityistä huomiota. Esimerkiksi kaapattujen kameroiden ja muiden IoT- laitteiden aiheuttamat ongelmat, kuten palvelunestohyökkäykset, ovat erittäin todellisia ja mittakaavaltaan laajoja.

Hintalappuja vertailemalla löydän yritykseni tarpeisiin parhaan tietoturvan. 

Tarua, vaikka kaupan päälle saisi ilmaisen ämpärin. Kitsastelu tietoturvassa voi johtaa siihen, että näennäisesti edullista teknistä perusturvaa joutuu täydentämään isolla rahalla. Tietoturvan hinta kannattaa suhtauttaa sen suojaamien tietojen arvoon ja niiden menettämisen riskiin. Ostaako halpaa vai kohtuuhintaista, jos haetaan turvaa yrityksen kannalta mittaamattoman arvokkaalle datalle?

Verkon perinteinen reunasuojaus on nykyteknologialla helppoa.

Totta ja tarua. Perusasioita kuten segmentointia ja sovellustietoisuutta on parannettu, lisäksi turvaa tuovat uhkatietokannat ja haittaohjelmien kehittyneempi torjunta. Perinteisissä yritysverkoissa riittää kuitenkin vielä paljon tekemistä, etenkin kun verkon reunan pinta-ala kasvaa mm. erilaisten pilvipalveluiden myötä. Otsikoissa pitkään pyörinyt SOC (Security Operations Center) tuo paljon mahdollisuuksia reunan valvontaan, mutta parhaan hyödyn saa irti vasta kun miettii, miten kerätty tieto hyödynnetään puolustuksen kehittämisessä. 

Tietoturvaprojektit ovat valitettavasti vähän kuin pihavajaa rakentaisi.

Totta. Turvallinen, suojaava, budjetoitava, kestävä, helppo hoitaa; tämä pätee kumpaankin. Oli projekti sitten yrityksen tietoturva tai suoja polttopuille ja kalliille maastopyörille, kysy nämä itseltäsi:
Ovatko perusasiat kunnossa? Onko se liiketoiminnan tarpeita ja suojattavaa arvoa vasten suunniteltu ja mitoitettu oikein? Onko valittu oikeat rakennuspalikat ja materiaalit? Onko käyttöönotto tehty oikein ja osaavasti? Onko lopputulos viimeistelty? Vastaako lopputulos valmiina käyttötarvetta? Skaalautuuko toteutus muuttuviin tarpeisiin?