Muuttuneen maailmantilanteen takia tietoturvasta huolehtiminen korostuu yrityksissä ja organisaatioissa entisestään. Kerroimme edellisessä tietoturva-aiheisessa blogissamme, kuinka kyberhyökkäykset ovat kasvaneet Suomessa räjähdysmäisesti. Tämä voidaan nähdä olevan seurausta muun muassa siitä, että Suomi on Venäjän hyökkäyssodan seurauksena entistä kohdennetumpien kyberhyökkäyksien kohteena. Tietoturvarikollisuuden kenttä on myös ammattimaistunut ja käytännössä kuka tahansa voi tilata kyberhyökkäyksen pimeän verkon markkinapaikoilta. Lisäksi tekoäly tuo uudenlaisia riskitekijöitä tietoturvan näkökulmasta.
Tietoturva osaksi yrityksen strategiaa, prosesseja ja toimintamalleja
Bitmoren Chief Commercial Officer Jani Meuronen näkee, että tietoturvaan panostamista ei tulisi tehdä pelkästään uusien direktiivien ja suositusten takia, vaan tämän tulisi olla luontainen osa yrityksen strategiaa, prosesseja ja toimintamalleja. Usein tietoturvaa tehdään vain, että nyt on pakko tai jotain on tapahtunut ja siihen reagoidaan sekä paikataan asioita pistemäisesti. Hänen mukaansa tietoturvatoimenpiteiden tulisi perustua kahteen lähtökohtaan:
Ensiksi tunnistetaan, onko yrityksessä sellaista tietoa, joka pitäisi suojata ja investoidaan tietoturvaan riittävällä tasolla jo alkuvaiheessa. Edelleen on vallalla ajatus, että eihän meidän yrityksemme ole tarpeeksi kiinnostava tietoturvauhkien kohde. Tämä saattaa johtaa siihen, että mennään siitä mistä aita on matalin.
Toinen asia on osaaminen. Yrityksissä on edelleen vallalla se ajatus, että kun meillä on joku tekninen tietoturvahärpäke työasemilla, niin kaikki on kunnossa. Asia on juuri toisinpäin. Ensin tulisi katsoa kokonaisuutta yrityksen näkökulmasta ja laatia tähän myös hallinnollisen tietoturvan osalta prosesseja ja politiikkoja. Tämän jälkeen voidaan miettiä mitä teknisen tietoturvan ratkaisuja ja osaamista tarvitaan.
"Haaste on se, että omaan osaamiseen ei osata investoida riittävän ajoissa, vaan luotetaan siihen tekniseen pistemäiseen tietoturvaratkaisuun, joka on pahimmissa tapauksessa otettu käyttöön perusasetuksilla. Tarvittavat investoinnit ja asioiden oivaltaminen alkuvaiheessa ja ennen kuin jotain tapahtuu voi varmistaa liiketoiminnan jatkuvuuden”, Meuronen sanoo."
Tietoturva kriittisillä toimialoilla
Eritoten kriittisillä toimialoilla heikkoudet tietoturvassa voivat johtaa merkittävään mainehaittaan. Tämä onkin perusteltua, kun ollaan tekemisissä luottamuksellisen tiedon kanssa ja asiakkailla on oikeus edellyttää, että lakia ja säädöksiä noudatetaan ”by-the-book” ja yritykset tekevät kaiken tarvittavan tietojen turvaamiseksi.
Jos arkaluontoinen tieto pääsee vääriin käsiin, voivat vahingot niin henkilösuojaan, turvallisuuteen tai yritysten toiminnan jatkuvuuteen olla todelliset. Näin ollen tietoturvaan tulisi suhtautua erityisellä pieteetillä. Suomessa varoittavana esimerkkinä toimii Psykoterapiakeskus Vastaamon tapaus, jossa riittämättömät tietoturvatoimenpiteet ja jopa suoranainen välinpitämättömyys johtivat asiakkaiden arkaluontoisten tietojen leviämiseen ja Vastaamon konkurssiin.
Jani Meuronen näkee, että tietoturvapalvelujen kustannushyötysuhde jää aina positiivisen puolelle, jos yritys pystyy näin säilyttämään maineensa luotettavana toimijana. Tietoturvaa ei kuitenkaan ole helppo hoitaa omin voimin ja se voi olla yrityksen koosta riippuen erittäin laajakin kokonaisuus. Yritysten on syytä miettiä pystyykö ja kannattaako kaikkea hoitaa itse vai olisiko parasta ottaa avuksi kumppani, jolla on näkemystä ja kyvykkyyttä modernin sekä proaktiiviseen tietoturvan tuottamiseen.
”Kannattaa valita näkemyksellinen ja proaktiivinen kumppani, joka tuo tietoturva-asiat aktiivisesti esille ja ilmaisee, jos se mitä tehdään ei vastaa laatukriteereitä tai vaarantaa asiakkaan liiketoimintaa. Lisäksi sillä miten rakennat IT-infrastruktuurin, on suuri merkitys. Esimerkiksi meidän tapamme Bitmorella on modernisoida IT-ympäristöjä, ja tuoda siihen automaatiota esimerkiksi zero-trust -tietoturvamallin avulla.”
Tekoäly muuttaa yrityksien tietoturvakenttää
Nykyään erilaiset koneäly- ja keinoälypalvelut ovat yleistyneet merkittävästi ja esimerkiksi Chat GPT:n hyödyntäminen on jo arkipäivää useissa organisaatioissa. Vaikka tekoälypalvelut voivat mahdollistaa useita hyötyjä esimerkiksi tuottavuuden parantamisen näkökulmasta, ne tuovat mukanaan myös uudenlaisia riskejä. ”On esimerkiksi sangen helppoa viedä keinoälypalveluun luottamuksellista tietoa ja pyytää palvelua muokkaamaan sitä paremmaksi. Samalla tämä tieto tallentuu palveluun ja sitä ei enää saa sieltä pois. Lisäksi tieto on kaikkien palvelun käyttäjien käytettävissä”, kertoo Meuronen.
Samoilla linjoilla on myös Europolin analyysi, jonka mukaan tekoälypalvelut tuovat riskejä esimerkiksi petosten, disinformaation ja kyberrikollisuuden muodossa. Näin ollen on syytä olettaa, että tekoälypalveluiden yleistyminen nostaa vaatimusastetta tietoturvapalveluille ja palveluntarjoajille.
Mitä yrityksenne tulisi tehdä tietoturvan parantamiseksi?
Kuten totesimme, tietoturvallinen toiminta lähtee liikkeelle siitä, että organisaatioissa tunnistetaan onko yrityksessä sellaista tietoa, jota tulisi suojata ja tätä vasten tulisi tehdä tarvittavat tietoturvan parantamisen toimenpiteet tiedon luottamuksellisuuden, eheyden ja käytettävyyden varmistamiseksi. Erilaiset tietoturvan viitekehykset ja sertifioinnit, kuten ISO27001antavat tähän jo aika kattavat vaatimukset, mutta useimmissa yrityksissä jo ihan perusasiat huomioimalla pääsee jo pitkälle.
12 modernin tietoturvan peruspilaria yrityksille
Mistä sitten lähteä liikkeelle? Olemme koostaneet alle 12 modernin tietoturvan peruspilaria, joiden avulla yrityksenne pääsee erinomaiseen alkuun.
1. Hallinnollinen tietoturva
Hanki osaamista hallinnollisen tietoturvan osalta ja sen jälkeen vahvista osaamista niillä osa-alueilla mitä ette itse osaa tai mitä ei itse kannata tehdä.
2. Yrityksen tietoturvapolitiikka
Laadi tietoturvapolitiikka, joka ottaa kantaa sekä hallinnolliseen, että tekniseen tietoturvaan.
3. Tietoturvan riskianalyysi
Tee riskianalyysi nykytilasta. Tällöin saat vastauksen mitä osa-alueita tulisi vahvistaa ja kehittää hallinnollisen- tai teknisen tietoturvan osa-alueilla.
4. Identiteetin suojaaminen
Modernin tietoturvan yksi tärkeimmistä asioista on identiteetin suojaaminen. Paras ja yksinkertaisin tapa on ottaa käyttöön kaikissa sovelluksissa kaksivaiheinen tunnistautuminen, joka vaatii salasanan lisäksi lisävarmistuksen. Tämä auttaa estämään ulkopuolisten pääsyn tilillesi tapauksissa, joissa salasana päätyy vääriin käsiin.
5. Kertakirjautuminen eli Single Sign-On (SSO)
Ota käyttöön kertakirjautuminen kaikkiin sovelluksiin ja palveluihin, joissa se on mahdollista. Kertakirjautumisen avulla yrityksenne työntekijät voivat kirjautua yhdellä vahvasti suojatulla tunnuksella lukuisiin yrityksenne sovelluksiin. Yksi vahvasti kaksivaiheiselle tunnistautumisella suojattu identiteetti on aina parempi kuin monta erillistä turvatonta käyttäjätunnusta ja salasanaa. Samalla tämä helpottaa yrityksenne työntekijöiden työskentelyä, koska muistettavien salasanojen määrä vähenee merkittävästi.
6. Käyttöoikeudet ja pääsynhallinta
Rajoita käyttöoikeuksia ja käytä roolipohjaista pääsynhallintaa. Anna vain tarvittavat käyttöoikeudet henkilöille roolin perusteella. Tämä auttaa estämään henkilöstöä käyttämästä luottamuksellista tietoa väärin tai sallimasta luvattomien henkilöiden pääsyä tietoihin.
7. Zero-trust -tietoturvamalli
Pyri Zero-trust -tietoturvamalliin, joka toteuttaa parhaiten modernia tietoturvaa hybridityöympäristöissä. Tässä mallissa ei koskaan oleteta käyttäjän, laitteen tai yhteyden olevan turvallinen vaan kaikki yhteydet autentikoidaan vahvasti niin sisä- kuin ulkoverkossakin. Käyttöoikeuksia annetaan automaattisesti vain työtehtävien edellyttämien tarpeiden mukaisesti ja suojaukset sekä valvonta rakennetaan olettaen, että ympäristö on jo murrettu.
8. Tiedon salaaminen
Luottamuksellista tietoa käsitellään yleisesti yrityksen erilaisissa sovelluksissa, sähköpostissa sekä työasemissa. On tärkeää huolehtia siitä, että sivulliset eivät pääse käsiksi luottamukselliseen dataan. Tähän löytyy erilaisia tapoja aina turvasähköpostista työasemien kovalevyn salauksiin. Dokumenteille ja datalle voidaan myös laatia erilaisia luottamuksellisuussääntöjä, joita voidaan ohjelmallisesti valvoa ja estää tietojen päätyminen vääriin käsiin.
9. Tiedon varmuuskopiointi
Säännöllinen varmuuskopiointi varmistaa, että tietoja ei menetetä missään tilanteessa. Varmistuksilla varaudutaan käyttäjän tekemiin virheisiin, mutta myös kiristyshaittaohjelmiin, jotka salaavat esimerkiksi käyttäjän tietokoneen tiedot tai tiedot yrityksen verkkolevyiltä. Lisäksi on hyvä miettiä, minkälaista dataa yrityksissä käsitellään, mihin sitä tallennetaan ja varmistaa, että tieto on varmistettu ja saadaan palautettua. Tiedon varmuuskopiointi tulisi ulottaa myös pilvipalveluihin, kuten yrityksenne Microsoft 365 -ympäristöön.
10. Yrityksenne työntekijät
Ihmiset ovat tunnetusti tietoturvan heikoin lenkki, joten kouluttaminen ja asioista tiedottaminen on tärkeää. Simuloitujen hyökkäysten tai kalastelusähköpostien avulla voidaan harjoitella erilaisissa tilanteissa toimimista ja heikkouksien tunnistamista.
11. Päätelaitteiden suojaaminen
Suojaa päätelaitteet monikerrollisten tietoturvapalveluiden avulla ja rakenna käytännöt tietoturvauhkien havainnointiin ja ennaltaehkäisyyn. Päivitä tietokoneiden käyttöjärjestelmät ja ohjelmistot säännöllisesti sekä valvo päivitysten onnistumista.
12. Tekoälypalveluiden mukana tuomat tietoturvariskit
Tunnista tekoälypalveluiden mukana tulevat riskit. Tässä korostuu käyttäjien kouluttaminen, tietoturvapolitiikat ja erilaiset teknologiat ja palvelut, joilla tiedon vieminen vahingossa keinoälypalveluihin voidaan minimoida.
Tietoturvaa ei voi kokonaan ulkoistaa, mutta osaava kumppani auttaa sen toteuttamisessa
Kaikista tärkein asia muistaa, että kaikkea ei tarvitse osata ja tietää itse. Vaikka yrityksenne ei voi siirtää vastuuta tietoturvasta kokonaan ulkoiselle taholle, me Bitmorella voimme auttaa teknisen- ja hallinnollisen tietoturvan parantamiseen liittyvissä asioissa sekä yllä olevien käytäntöjen käyttöönottamisessa.
Tarjoamme kattavat ja jatkuvat tietoturvapalvelut, joihin sisältyy olennaisesti tietoturvan jatkuva parannus ja kehitys. Tähän esimerkkinä tarjoamme Managed Detection and Response (MDR) -hallintapalvelun, jonka tehtävänä on auttaa yrityksiä havaitsemaan, analysoimaan ja vastaamaan kehittyneisiin tietoturvauhkiin ja tietoturvahyökkäyksiin. MDR-palvelu tarjoaa ympärivuorokautista tietoturvan valvontaa ja hallintaa.