Yrityksen tietoturvaa etsimässä - mahdollista vai mahdotonta?

Tietoturva

Mitä ovat IT-haavoittuvuudet ja miksi ne pitää ottaa vakavasti?

Haavoittuvuudet ovat vikoja ohjelmistoissa ja käyttöjärjestelmissä, joiden avulla pahimmillaan hyökkääjä esim. hakkeri voi saada haltuun koko yrityksen IT-järjestelmän. Tämä voi johtaa esimerkiksi siihen, että luottamuksellisia tietoja levitetään netissä. Mikä taas uuden EU-direktiivin myötä voi johtaa suuriin sakkoihin yritykselle.

Mikä EU-direktiivi?

EU:ssa on hyväksytty vuoden 2016 ensimmäisellä puoliskolla uusi EU:n laajuinen tietosuoja-asetus, joka korvaa vanhan vuonna 1995 säädetyn tietosuojadirektiivin. Uusi tietosuoja-asetus on General Data Protection Regulation. GDPR:n ensisijainen tavoite on palauttaa kontrolli henkilötietojen käsittelystä henkilölle itselleen. Mikäli yrityksen todetaan rikkoneen asetuksen vaatimuksia, hallinnolliset sanktiot voivat nousta jopa 20 miljoonaan euroon tai 4 %:in globaalista liikevaihdosta. Keväällä 2018 yritysten on pystyttävä osoittamaan, että ne noudattavat GDPR:n sääntöjä.

Miten sitten voidaan ennaltaehkäistä IT-haavoittuvuuksia?

Best practise on tietysti se, että yrityksen palvelimia ja järjestelmiä skannataan järjestelmällisesti haavoittuvuuksien varalta. Käytännössä haavoittuvuudet siis löytyvät ainoastaan skannaamalla palvelimia. Okei, mutta mitä sitten, kun järjestelmiä skannattaessa löydetään haavoittuvuuksia? No nehän pitää tietysti korjata. Mutta miten niitä korjataan? Minkä takia se on sitten niin hankalaa? Sen takia, koska tuotantoon tehtävät muutokset/tietoturvapäivitykset voivat johtaa siihen, että järjestelmät eivät enää yksinkertaisesti toimi. Tyypillinen tilanne onkin, että ylläpitäjillä onkin tarpeen viivästyttää IT-järjestelmän muutoksia tai ne tehdään nipussa tai pahimmillaan niitä ei enää tehdä ollenkaan. Sisäänrakennettu ongelma on siis se, että ei edes uskalleta ja tämähän on ongelma, joka tuo jatkuvan haavoittuvuusriskin.

Mitä siis tehdä?

Yrityksen käytössä tulisi olla:

  • automaattiset järjestelmäpäivitykset
  • automaattinen testausjärjestelmä päivityksille
  • säännölliset ohjelmistopäivitykset vendoreilta
  • automaatio, jolla päivitykset perutaan, jos ongelmia ilmenee

Yleensähän päivityksissä käy ihan hyvin, mutta jos meni huonosti, niin selvitetään mikä meni pieleen ja miksi. Korjataan syyt. Ja taas prosessi alkaa uudestaan alusta.

Miksi raportointi pitäisi ottaa käyttöön?

Ennen kuin edes päästään yllä kuvattuun prosessiin käytännössä, on selvitettävä mikä on yrityksen IT-järjestelmien haavoittuvuustilanne. Lähtötilanne yrityksissä on usein huono ja ei yksinkertaisesti täysin tiedetä IT-järjestelmien nykytilaa päivitysten ja tietoturvan osalta. Tietysti se ymmärretään, että tavoitetilanteeseen ei päästä heti. Silloin täytyy asettaa tavoitteita ja mittareita. Näistä tavoitteista ja mittareista tulee raportoida säännöllisesti johdolle. Mittareina ovat mm. skannauksien kattavuus ja kriittisten haavoittuvuuksien määrä.

Yrityksen tietoturvan kehittäminen ja parantaminen on siis mahdollista, mutta se vaatii yritykseltä työtä, asioihin paneutumista ja ennen kaikkea ennakointia. 

Projekti
Minna Pekkala KIRJOITTI:
Hei Mervi!

Blogissasi on kiinnostavaa tietoa yritysten tietoturvasta. En ole itse ajatellut asiaa näin tarkkaan, vaikka ohjelmistokehityksessä toiminkin. Usein olen kyllä törmännyt tilanteeseen, että järjestelmät lakkaavat toimivasta päivitysten jälkeen. Viimeksi vuosi sitten kotonamme IPadin päivitys teki siitä täysin käyttökelvottoman. Applen insinöörit ilmeisesti edelleen yrittävät ratkaista ongelmaa;) IPad on tosin meillä jo päätynyt kuopuksemme jääkiekkomaaliin maalitauluksi.

Aina välillähän julkisuudessa kerrotaan, että asiakkaiden henkilökohtaisia tietoja tai salasanoja on päässyt yrityksiltä julkisuuteen tai yritysten palvelusivuille tehdään hyökkäyksiä. Ajatus, että omat tiedot leviäisivät maailmalle, on pelottava. Olen kyllä aikaisemmin vitsaillut, että ei esimerkiksi sähköposteissani tai siitä tiedosta missä liikun, ole kenellekään mitään iloa. Ketä nyt kyseiset tavallisen pulliaisen asiat kiinnostaisivat? Eri tasolle kuitenkin siirrytään, kun puhutaan henkilötunnuksen saatavuudesta tai digitaalisesta identiteetistä. Valitettavasti identiteettivarauksilla saadaan paljon vahinkoa aikaan yksittäisille henkilöille.

Melkoisten sanktioiden uhka yrityksille, joiden tietoturva ei noudata tulevan asetuksen määräyksiä. Toisaalta yritysten maine on vaakalaudalle ja uskottavuus kärsii, jos luottamuksellisia tietoja leviää eteenpäin. Olivat ne sitten yrityksen omia tai asiakkaiden tietoja. Mainitsemasi automaatio toisi päivitystilanteisiin ennakointia ja lisää ryhtiä.

Jos tämä tietoturvapalvelu on ystäväsi BtoB liiketoimintaa, niin luulisi tälle olevaan kysyntää ensi vuoden aikana. Tsemppiä tarinoiden rakentamiseen!
Lähetetty Ke, 12/07/2016 - 14:30
Merja KIRJOITTI:
Hei Mervi

Minäkin luin tekstisi suurella mielenkiinnolla. En ollut edes kuullut DGPR-tietosuoja-asetuksesta. Sanktiot yritykselle ovat melkoiset, jos yritys rikkoo asetuksen vaatimuksia. Kuinka valmiita yritykset ovat tähän keväällä 2018? Ystäväsi yrityksellä tulee riittämään töitä, kun yritykset viime hetkellä havahtuvat asiaan.

Blogikirjoituksesi oli selkeä ja informatiivinen. Pari kysymystä tuli kuitenkin mieleeni. Alaa tuntemattomana minua jäivät mietityttämään tarkemmat tiedot siitä, miten yritykset osoittavat keväällä 2018 noudattavansa GDPR:n sääntöjä? Maailma on täynnä toinen toistaan parempia hakkereita, eikä yritys millään pysty suojautumaan kaikilta heidän hyökkäyksiltään. Missä menee riittävä suojautumisen taso, jotta sanktioita ei tule, vaikka hakkeri pystyisikin iskemään luottamuksellisiin yrityksen tietoihin? Entä mitä tarkoittaa tässä yhteydessä sana vendor?

Blogin otsikkokuva oli hieno ja aihetta hyvin kuvaava. Lisäkuvia en varsinaisesti kaivannut ja luulen, että aiheeseen liittyviä, blogiin sopivia, kuvia saattaa olla vaikea löytää. Olisi kiva nähdä, millaista tarinankerrontaa tulet tekemään ystäväsi verkkosivuille.

Onnea ja menestystä verkkosivujen sisällönrakentamiseen!



Lähetetty Ma, 12/12/2016 - 12:54