Skip to content

”Ei enää jos, vaan kun jotain sattuu” – kolme keskeistä keinoa yrityksen kyberturvastatuksen parantamiseen

Loihde - Light bulb close-up 2 - 1920 x 1280

Kyberturvakeskuksen säätiedotteet ovat luvanneet viime vuosina vaihtelevaa säätä. Vaihtelun määrä on noussut tasaisesti samaa tahtia kuin havainnot tietoturvapoikkeamista ja onnistuneista kiristyksistä. Vuonna 2023 kyberrikollisuuden epäiltiin olevan noin kahdeksan miljardin dollarin talous. Mikäli arvio pitää paikkaansa, 10 miljardia menee rikki vuonna 2025. Myös valtioiden välinen vakoilu ja vaikuttaminen ovat lisääntyneet, erityisesti yhteiskunnallisia toimijoita kohtaan.

Jopa myrskyisäksi kuvattu kybersää on aiheuttanut kyselytulvia tietoturvakonsultoinnille. Tiimillemme alkoi satelemaan pyyntöjä organisaatioiden kyberturvallisuuden tason tarkistamiseen ja erityisesti kriittisiä järjestelmiä kohtaan on pyydetty tekemään penetraatiotestauksia. EU:n NIS2-direktiivin julkaisu loppuvuodesta 2023 nosti kyselyiden määrää entisestään.

Oman organisaation digitaalisen ympäristön tunteminen ja turvallisuuden koventaminen on liiketoiminnan jatkuvuuden kannalta äärimmäisen tärkeää. Myös yhteistyö muiden organisaatioiden kanssa vaatii yhä useammin osoitusta tietoturvan tasosta ja uhkiin varautumisesta. Etenkin kun toimitaan yhteiskunnalle kriittisten toimijoiden kanssa, myös tuotantoketjussa turvallisuuden on oltava vaaditulla tasolla.

1. Tarkista ja päivitä tieto-omaisuuteen liittyvät riskit

Riskienhallinta on jatkuvasti suurempi huolenaihe ja toisaalta myös organisaation sisällä mielenkiintoa herättävä aihealue. Kokonaisriskiin tulee tietysti huomioida ICT-ympäristöihin liittyvät uhat, mutta onko käytetty hallintamalli tarpeeksi kattava havaitsemaan ympäristöön kohdistuvat riskit?

Onko palautumissuunnitelma ajan tasalla ja testattu? Mikäli organisaatio noudattaa jo esimerkiksi ISO27000-ohjeistusta, palautumissuunnitelma on kirjattu ja testattu.

Tietoturvapuheissa ja -webinaareissa on jo luovuttu sanonnasta ”jos jotain sattuu,” eli lopetettu jossittelu ja todettu, että kaikille sattuu sitä jotain.

2. Vahvista henkilöstön osaamista koulutuksella

Onko henkilöstönne ajan tasalla mahdollisista vaikutuskeinoista? Osaavatko he tunnistaa poikkeamia ja toimia poikkeaman havaitessaan? Koko henkilöstön säännöllinen koulutus on turvallisuuden ydinalueita. Oikealla tavalla koulutettu henkilöstö havaitsee huijaus- ja kalasteluyrityksiä sekä tietää mitä tehdä poikkeamatilanteessa.

3. Rajaamalla uhat pienennät kyberriskiä

Kunnollinen riskienhallinta on halvempaa kuin kyberonnettomuuden tutkiminen, korjaaminen ja siitä palautuminen. Taloudellisten vaikutusten lisäksi riskienhallinta vaikuttaa myös henkilöstön hyvinvointiin. Lisäksi organisaation maine säilyy suurimmilta kolhuilta, kun uhat tiedostetaan ja niihin osataan varautua aiheellisesti.

 

Jos organisaation tilanne näiden kolmen kohdan osalta arveluttaa, suosittelen kartoittamaan ja tarkistamaan ICT-ympäristönne kriittiset toiminteet. Tietoturva-arvioinnissa käydään läpi organisaation nykytila ja verrataan sitä yleiseen tietoturvasuositukseen, esimerkiksi NIS2, NIST tai ISO27001. Muitakin suosituksia ja ohjeistuksia voidaan käyttää pohjana, kuten esimerkiksi suomalaista Kybermittaria. Tieto-omaisuuden suojaaminen kyberrikollisuutta, vakoilua ja inhimillisiä virheitä vastaan on digitaalisessa maailmassa äärimmäisen tärkeää toiminnan jatkuvuuden kannalta.

Entäpä sitten haavoittuvuuksien havainnointi? Lue lisää seuraavasta blogista.


Lähteenä blogitekstissä on käytetty ISO27001-ohjeistusta ja NIS2-direktiivin ohjetta kirjoittajan oman kokemuksen lisäksi.

Blogin kirjoittaja

Picture

Laura Halonen

Tietoturvakonsultti

Lauralla on laaja-alaista kokemusta erilaisista yritysinfrastruktuureista. Pääasiassa taustalla on käyttäjä- ja sovellushallinnan vastuita hybridiympäristöissä. CSOC:ssa vietetyt vuodet paransivat entisestään puolustavan turvallisuuden tuntemusta. Zero Trust -sukupolvea.