Mitä IT-päättäjän tulee tietää tietoturvasta vuonna 2022?

Tietoturvakenttä on muuttunut viime vuosina, kun uudet tietoturvauhat ovat vallanneet alaa. Vielä viisi vuotta sitten relevantteja ratkaisuja täytyy nyt tarkastella uudesta näkökulmasta. Tietoturvan tärkeys ulottuu kaikkiin yrityksiin: vaikka uutiskynnyksen ylittävät pääasiassa suurempiin yrityksiin kohdistuvat hyökkäykset, kohdistuvat samat uhat myös pk-yrityksiin.

Tässä blogissa luomme yleiskatsauksen siihen, mitä pk-yrityksen IT-päättäjän kannattaa huomioida yrityksensä tietoturvaratkaisuja pohtiessaan!

Tunnetko yleisimmät tietoturvauhat ja niiden reitit yritykseesi?

Ennen kuin analysoit oman yrityksesi tietoturvaratkaisuja, tulee sinun ymmärtää hyökkääjän mielenmaisemaa. Aluksi sinun on hyvä tiedostaa, että tietoturvahyökkäykset yritykseesi voivat tapahtua kahta reittiä pitkin: joko haavoittuvuuksia hyödyntämällä tai kalastelun avulla. Oli tapa kumpi hyvänsä, on vastapelaajalla aina tavoitteena saavuttaa taloudellista hyötyä.

Haavoittuvuuksia ovat esimerkiksi vanhentuneet päivitykset, puutteelliset konfiguraatiot ja turhaan avoimena olevat portit. Haavoittuvuuksia voi olla yhtä lailla niin sisä- kuin julkiverkossakin. Arviolta 10–15 prosenttia yritysten tietoturvahyökkäyksistä tapahtuu haavoittuvuuksien kautta.

Kalastelulla puolestaan tarkoitetaan pääsääntöisesti käyttäjätunnusten ja käyttöoikeuksien hankkimista vilpillisin keinoin. Tyypillisesti kalastelua tehdään huijaussähköposteilla, joiden avulla käyttäjä saadaan luovuttamaan käyttäjätunnuksensa rikollisten haltuun.

Suurin osa yritysten tietoturvahyökkäyksistä tapahtuu tällä hetkellä kalastelun avulla. Tämän ei kuitenkaan pidä antaa hämätä kokonaiskuvaa analysoitaessa, vaan molempiin – niin kalasteluun kuin haavoittuvuuksiin – tulee kiinnittää huomiota yhtä lailla. Hyökkääjälle kuin riittää yksikin avoin reikä.

Miten sinun yrityspäättäjänä tulisi sitten valmistautua edellä mainittuihin uhkiin? Se riippuu todella paljon lähtötilanteesta. Tätä varten tulisikin luoda riittävä pohjaymmärrys ja kokonaiskuva siitä, miten teillä IT-asioita tällä hetkellä operoidaan.

Alla esimerkki siitä, miten tietoturvan kokonaiskuvaa voidaan lähestyä.

Estä, ennakoi, havaitse ja toimi

Tietoturva on aihealueena niin laaja, että yksittäisten ratkaisuiden mietinnän sijaan tulisi ensin kiinnittää huomiota siihen, että tietoturvan peruspalikat ovat kunnossa. Meillä Otaverkolla tietoturva nähdään neljän vaiheen – ennakoinnin, estämisen, havaitsemisen ja toiminnan – kautta. Näistä jokaisen vaiheen huomioiminen on kriittinen osa tietoturvan kokonaisuutta.

Ennakointi pitää sisällään näkyvyyden yrityksesi hyökkäyspinta-alaan, jotta osaat arvioida teille realistiset tietoturvauhat, kuten haavoittuvuudet ja henkilökuntasi valveutuneisuuden tietoturvan osalta.

Estämisellä tukitaan edellä mainittuja reikiä. Keinoja on lukuisia. Vahva tunnistautuminen on oltava käytössä kaikissa käyttämissäsi järjestelmissä. Yrityksesi henkilökunnan käyttöoikeuksia kontrolloidaan ja hallitaan, verkon segmentointi on hoidettu asianmukaisesti, palomuurikäytännöt vastaavat tämän päivän vaatimuksia. Käytössä olevien laitteiden virustorjunnan ja tietoturvapäivitysten on oltava ajan tasalla sekä kriittisen datan – sellaisen, jota ei missään nimessä haluta menettää – tulee olla turvassa ja varmuuskopioitu.

Havaitse-vaiheessa focus on siinä, että tietoturvapoikkeamat havaitaan ennen kuin on liian myöhäistä. Esimerkiksi haavoittuvuuden havainnointi ilman asianmukaista teknologiaa voi kestää useita kuukausia, kun niitä hyödynnetään useasti jo ensimmäisten viikkojen aikana. Olen tavannut työssäni lukuisia yrityspäättäjiä, ja monessa yrityksessä kaksi aiempiaa vaihetta on hoidettu varsin mallikkaasti, mutta tämän jälkeen asioita ei ole enää mietitty samalla intensiteetillä. 

Toimi-osio pitää sisällään ne toimenpiteet, joilla mahdolliset vahingot minimoidaan. Tässä vaiheessa ihminen ja osaaminen nostavat päätään, sillä parhaatkaan teknologiat eivät yksistään riitä varmistamaan tietoturvan tasoa, mikäli tarvittava osaaminen ongelmatilanteissa uupuu. Osaamisen ja resurssien lomassa prosessit, rutiinit, työvälineet ja viranomaisyhteistyö ovat niin ikään kriittisessä roolissa. Niin kuin palohälytysharjoituksia, tulisi myös tietoturvaprosessia ja etenkin palautumissuunnitelmia testata säännöllisesti.

Parhaassa tapauksessa koko prosessi ennakoinnista toimintaan on suunniteltu huolella. Tällöin tietoturvauhka havaitaan viipymättä, siihen reagoidaan nopeasti ja toimintaprosessit sen torjumiseksi ovat selkeät.

Tietoturva on jatkuvaa kehittämistä – miten varmistat, että se on kunnossa ylihuomenna?

Kuten IT yleensäkin, myös tietoturva on jatkuvan parantamisen prosessi: vaikka se voisi juuri nyt loistavasti, saattavat tilanteet muuttua nopeastikin. Yrityksen tietoturvaa kannattaakin tarkastella säännöllisesti omaan liiketoimintaan peilaten. Päättäjän on syytä varata resursseja tietoturvan kehittämiselle – ei vain sen ylläpidolle – olipa tietoturvasta vastuussa yrityksen sisäinen IT tai palveluntarjoaja.

Oma osaaminen on syytä pitää ajan tasalla. Voit seurata maailman politiikan ja talouden ilmiöiden vaikutusta kyberturvallisuuteen esimerkiksi Traficomin kuukausittaisen kybersääkoosteen kautta. Moni voi pitää uutisia ja listauksia pelotteluna, mutta realismista on hyötyäkin. Realismi ja tosiasioiden myöntäminen luovat turvallisuutta jo itsessään. Yrityksen johdon on hyvä tietää myös se, jos johonkin jätetään reagoimatta. Kun riskienhallinta on tietoista eikä sattumanvaraista, voi yönsä nukkua paremmin.

Tietoturvakentän tunteminen takaa, että tiedät, mitkä ratkaisut ovat relevantteja yrityksellesi ja vältyt tilanteilta, joissa sinulle myydään kaikkea mahdollista kovalla hinnalla. Lisäksi osaat kysyä, miten esimerkiksi edellä mainitut vaiheet toteutuvat teillä nykyisellään ostamissasi palveluissa. Voit tarkistaa nykyisen kumppanin sopimuksesta, ettei katvealueita ja ”ei kenenkään vastuulla” olevia asioita ole.

Jäikö tietoturva pohdituttamaan? Lue lisää tietoturvapalveluistamme tai varaa aika asiantuntijamme kalenterista, niin täytetään yhdessä loputkin tiedon ja turvan lovet!