Viisi syytä testata tietoturvaa
Tieto-omaisuus on kriittisen tärkeää nyky-yhteiskunnassa. Mikään organisaatio ei voi välttyä digitalisaatiolta, ellei kauppaa käydä paikallisesti riihikuivalla. Palveluiden määrä kasvaa jatkuvasti, kun talouden seurannan lisäksi laitteiston hallinta ja kokousmuistiinpanojen tallennus tehdään ATK:lla ja tallennetaan sinne kuuluisaan pilveen kaikkien osapuolien saataville. Tiedon turvaamisen merkitys on siten entistä tärkeämpää ja liiketoiminnan jatkuvuuden edellytys.
1. Hyökkäysrajapinnan ja laitteiston kartoitus on ykkösjuttu
Digitalisaation nopea leviäminen on hämärtänyt fyysisen ja digitaalisen tieto-omaisuuden rajoja. Monessa yrityksessä on niin sanottua teknistä velkaa, kun esimerkiksi järjestelmiä pyöritetään vanhentuneen raudan tai käyttöjärjestelmien päällä. Legacy-järjestelmille voi olla omia, kustomoituja suojauksia tai ne on erotettu omaan verkkosegmenttiin. Haavaskannausta ei sitten ole kustannus- tai muista syistä tehty. Tällöin suojaustoimien toimivuudesta ei ole varmuutta. Omien järjestelmien osalta tilanne voi olla sama; ylläpidetään omaa tikettijärjestelmää, jota on laajennettu tarpeen tullen. Kuitenkin turvallisuuden ja rajapintojen eheyden tarkistus on kiireessä jäänyt.
2. Kriittisen toiminnan jatkuvuus tulee varmistaa
Erityisesti tuotannon kannalta kriittiset ja asiakasdataa sisältävät järjestelmät tulee varmistaa kattavammin, ihan jo EU:n regulaation (GDPR) ja kyberdirektiivin (NIS2) mukaisestikin. Väärinkäytökset voivat johtaa jopa sanktioihin. Perusteena EU:n tasolta tuleville määräyksille ja vähimmäisvaatimuksille on pienen ihmisen suojelu. GDPR:n mukaisesti tunnistetietojen käsittelyyn on oltava syy, muukin kuin suurien some-yhtiöiden halu kohdentaa mainontaa. NIS taas on päivitetty uuteen versioon, jossa yhteiskunnan toiminnan kannalta kriittisiä palveluita pyritään suojaamaan paremmin käyttökatkoksilta ja kriisitilanteilta.
3. Kalastelusimulaatiolla ja muilla harjoitteilla pidetään henkilöstö ajan hermolla
Tärkeintä digitaalisten uhkien välttämisessä on kuitenkin henkilöstön koulutus. Kaikille on varmasti tullut kalasteluviestejä sähköpostiin ja ehkä yhteydenottoja omiin työtehtäviin liittyen LinkedInissä. Tämä on nykyään sitä näkyvintä uhkaa, vaikka myös uutiset kiristyshaittaohjelmista leviävät nopeasti maailmanlaajuisiksi. Tietoa pitää siis olla eri työntekijöille hieman eri tavalla saatavilla. Ja erilaiset uhat ja niiden vaikutus on hyvä tuntea. Erityisesti tietoturvavalvomossa ajankohtainen uhkatuntemus on kultaakin kalliimpaa.
4. Taloussuunnitteluun saadaan lisätietoa hyökkäysrajapinnan kartoituksessa
Turvallisuuteen vaikuttaa totta kai vahvasti raha ja se miten paljon sitä on yrityksellä. Yhtiön maine on myös liiketoiminnan jatkuvuuden kannalta tärkeää omaisuutta. Jo aikaisemmin mainittu tieto-omaisuus vaikuttaa myös jatkuvuuteen ja omien asiakkaiden palvelun laatuun. Kun kyberhyökkäys osuu kohdalle, vaativat korjaustoimet ja mahdollisesti DFIR-tiimin tarjoama tuki resursseja. Nyt ei enää puhuta pelkästään kovista arvoista ja tiedoista, vaan psyykkisestä pääomasta. Mitä suuremmat riskit hyökkäyksellä on, sitä suuremmalla todennäköisyydellä CISO, CEO ja koko IT-osasto tarvitsee hermolomaa hyökkäyksen ja korjauksen jälkeen. Ihanteellinen aika siis tuottaa uusi hyökkäys yhtiötä kohtaan… Suojattavaa on paljon ja menetettävää myös.
5. Kunnollinen uhkiin varautuminen lisää kumppaneiden ja asiakkaiden luottamusta
Kun yhtiö on saanut valvonnan ajan tasalle ja haavaskanneri tai autonominen penetraatiotestaus on toiminnassa, voidaan oman omaisuuden lisäksi vakuuttaa yhtiökumppanit turvallisuudesta. Poikkeamat eivät jää meiltä huomaamatta, eikä tietoa pääse valumaan vääriin käsiin. Kattavalla lokituksella ja versiohallinnalla voidaan myös turvallisuuspoikkeaman jälkeen kerätä tiedot tapahtumista ja toimittaa ne poliisille tutkintaa varten.
Lue lisää Loihteen tarjoamista ratkaisuista tietoturvatestaukseen.
Blogin kirjoittaja
Laura Halonen
Tietoturvakonsultti