“Suomalaisen tietoturvallisuuden taso on matalammalla, kuin mitä ymmärrämme tai haluamme uskoa”, tietoturva-alan vaikuttaja Benjamin Särkkä täräyttää.
Särkällä on pitkään kokemukseen perustuvaa tietoa ja näkemystä suomalaisten organisaatioiden tietoturvasta. Hän on paitsi alan vaikuttaja, myös valkohattuhakkeri, joka on rakentanut yhteistyösiltoja viranomaistahojen, hakkereiden ja yritysten välille. Hän on myös Disobey-hakkeritapahtuman järjestäjä. Lisäksi hän on Loihde Trustin neuvonantaja.
Särkkä on organisaatioiden tietoturvatoimintaa kohtaan kovasanainen, mutta hyvien puolella.
”Suomessa on tehty aikanaan paljon töitä tietoturvan eteen, mutta olemme jämähtäneet uskomaan, että se riittää ja asiat ovat kunnossa. Teknologinen kehitys on ollut nopeaa ja se on muuttanut myös tietoturvallisuuteen vaaditun huomion nostamista yrityksen ylimmän johdon pöydälle.”
Maailma on mennyt eteenpäin. Uusiin turvallisempiin teknologioihin ei ole isoissa organisaatioissa satsattu. Lisäksi huonot ja turvattomat käytännöt tuntuvat toistavan itseään.
Särkkä ei usko, että suomalaisissa yrityksissä edes vielä tiedetään, missä tietoturvauhkien osalta mennään ja mitä ovat tämän päivän todelliset riskit toimintaympäristössä.
”Jos yritysten johto ei tiedä, kysymys kuuluu, miksi ei? Mikä tieto puuttuu? Mitä tarvitaan, jotta saataisiin paremmat valmiudet ja päästäisiin korjaamaan syntynyttä teknologiavelkaa”, Särkkä kysyy.
Nato-jäsenyys muuttaa turvallisuusvaatimuksia
Asialla olisi hieman kiire, sillä Suomen ja suomalaisten yritysten tilanne muuttuu, kun Suomesta tulee Naton jäsen. Särkän mukaan Nato-maihin kohdistuu erinäköisiä ja -tasoisia uhkia sekä hyökkäyksiä kuin aikaisemmin.
”Kyberkentässä tiedusteluun, vaikuttamiseen ja sabotointiin liittyy erilaisia ryhmiä, joiden silmät kääntyvät myös Suomeen. Siksi turvatason pitäisi olla samalla tasolla kuin muilla Nato-mailla. Vaikuttaa siltä, että valtiollisella sekä yksityisellä tasolla on kiinni kurottavaa. Poikkeuksia toki löytyy, erityisesti huoltovarmuuden kannalta merkittäviltä aloilta. Kaikkein suurin haaste kuitenkin se, että tietoturva-asiantuntijat kehittävät ratkaisuja toisille kaltaisilleen, eivät järjestelmiä käyttäville ihmisille”, Särkkä toteaa.
Käyttäjäystävälliset ratkaisut vähentämään haittaa
Yksi ongelma on se, että yritysten johto pitää IT-organisaatiota pakollisena pahana ja lisäkustannuksena. Tällöin tietoturva ei pääse yrityksissä mahdollistamaan tai helpottamaan asioita.
”Turvallisuus pitäisi ajatella sitä kautta, mitä halutaan tehdä, ja miten se tehdään niin, että se ei näy, eli osana kokonaisuutta. Tietoturvan pitäisi toimia kuin kiipeilyssä varmentaja, joka pitää köydestä kiinni. Jos putoat seinältä, köysi ottaa kiinni, mutta se ei missään kiipeilyn vaiheessa ole tiellä. Varmentaja mahdollistaa sen, että pystyt ottamaan isomman riskin, korkeammalle ja turvallisemmin. Kokonaisturvallisuus on liiketoimintaetu ”, Särkkä sanoo.
Turvallisuuden voisi usein sitoa paremmin osaksi liiketoiminnan prosessia, jolloin kustannuksetkin on leivottu paremmin toimintaan mukaan.
”Turvallisuus on merkittävästi halvempaa, kun se on alusta asti rakennettu osaksi käyttökokemusta ja -tarvetta.”
Särkkää harmittaa, että tietoturvaratkaisuissa pyritään pysymään ehkäisevissä ja estävissä ratkaisuissa, kun pitäisi tehdä enemmän työtä varmistavien ratkaisujen kehittämiseksi.
”Voisimme sallia käyttäjäystävällisempää järjestelmien hyödyntämistä sellaisilla mekanismeilla, jotka vähentävät haittaa ja nostavat käytettävyyden isompaan rooliin.”
Avaimeton sisäänkäynti, kasvojentunnistus ja vahvan salasanan käyttö ilman näppäilyä ovat kaikki esimerkkejä, joiden laajempi hyödyntäminen parantaisi kaikkien elämänlaatua ja vähentäisi turhautumista teknologiaan.
Mitä hyökkääjä haluaa?
Toiminnan kypsyyden puutteesta kertoo se, että turvallisuuden tuottamisessa nojaudutaan vahvasti itsearviointeihin, sertifiointeihin ja erilaisiin sääntelyihin sekä dokumentoituihin tarkistuslistoihin, eikä ympäristöön, missä kulloinkin ollaan.
Sertifioinnit ja arvioinnit puoltavat paikkaansa, mutta usein turvarakenteiden kehitystyötä ohjaa oletus siitä, että järjestelmiä ja ohjelmistoja käytetään niin kuin niiden on tarkoitettu toimivan. Tosielämässä on aina myös väärinkäyttäjiä.
”Harvoin yrityksissä mietitään hyökkääjän näkökulmasta potentiaalisia väärinkäytöksiä ja metodeja”, Särkkä sanoo.
Ei vilkkuvia valoja kellariin
Särkkä listaa kehityskohteita yritysten kokonaisturvallisuuden rakentamiseen.
Pitäisi rehellisesti pystyä tunnistamaan ympäristön todellinen turvallisuus ja riskit sekä sen jälkeen priorisoida vaarallisimmat ongelmat.
Ensin voi kysyä nämä kysymykset:
Mitä haluamme suojata?
Mitä hyökkääjä voisi haluta tehdä? Mihin he haluavat päästä käsiksi?
Kuinka paljon ollaan valmiita tekemään, ettei epäonnistuta?
Mitä käy, jos epäonnistumme?
Useissa yrityksissä on teknologiaa ja toiminnallisuuksia, joita ei ole osattu ottaa käyttöön tai osattu ajatella turvakontrollina.
”Ei kannata investoida lisää vilkkuvia valoja kellariin ennen kuin on hyödynnetty olemassa olevat teknologia”, Särkkä sanoo.
Hyödyntäminen voi sisältää seuraavaa: palvelimissa turhien palveluiden sulkeminen tarkoittaa, että palvelin tekee vain sitä, mitä sen kuuluu tehdä. Whitelisting tarkoittaa sitä, että ainoastaan tietystä osoitteesta saa tehdä toimenpiteitä.
“Palvelin kannattaa kovettaa eli nostaa tietoturvan tasoa. Ylipäätään turvateknologiaan kannattaa tutustua ja pyrkiä pois oletusasetuksista”, Särkkä vinkkaa.
Ensisijaisesti organisaatioiden tulisi hankkiutua eroon käyttöjärjestelmistä, joille ei enää ole tukea. Samalla on hyvä katsoa, mitä tuodaan tilalle ja mikä olisi parempi keino.
”Ei kannata yrittää toistaa sitä, mitä on tehty, vaan parantaa koko toimintaa; palata siihen, mitä yritetään ratkaista. Miten sama asia saadaan tehtyä uudella teknologialla? Tässä on mahdollisuus valtaviin kokonaisuuksiin asiakaskokemuksenkin kannalta.”