Kaikki artikkelit yrityksille

Onko liiketoimintaa ilman tietoturvaa?

5 min

Tietoturva on oleellinen osa kestävää digitaalista liiketoimintaa ja yrityksen onnistunutta jatkuvuuden hallintaa. Uusia uhkia syntyy samaan aikaan, kun teknologiat kehittyvät, joten yritysten tulisikin siirtyä ”aitojen rakentamisesta” aktiivisen puolustuksen malliin. Miten IoT-laitteiden tietoturvariskeihin voidaan onnistuneesti varautua? Entä mikä on kriittistä pilviosaamista?

Esineiden internet tuo yrityksille paljon hyötyjä, kuten mahdollisuuden luoda uutta liiketoimintaa, säästää kuluja ja karsia turhia työvaiheita. Hyötyjen lisäksi IoT-laitteisiin liittyy tietoturvaongelmia, koska ne saattavat sisältää dataa, jota ei haluta levittää yrityksen ulkopuolelle . Miten kymmenien tuhansien, kaikkialle levittäytyneiden ja jatkuvasti verkossa olevien IoT-laitteiden tietoturva tulisi hoitaa, jotta hyökkäykset voitaisiin estää?

”Myyttinen devaaja, joka jossakin taustalla tukee kymmenen vuotta vanhaa kotireititintä, on tosiaankin mytologinen olento. Vanhan laitekannan ylläpito ei läheskään aina kiinnosta yrityksiä. Varoittava esimerkki tästä on Mirai-bottiverkko, joka on onnistunut saastuttamaan IoT-laitteita ja muun muassa pimentämään netin miljoonilta”, kuvaa hakkeri ja Disobey-tapahtuman perustaja Benjamin Särkkä.

”IoT-laitteita tulee markkinoille nopeassa tahdissa ja yritysten tuotantopaine voi johtaa tietoturva-aukkoihin. Hyökkäyksen kohde voi olla niin älyovenkahva kuin tehdasjärjestelmäkin. Aina tietoturvan päivitys ei edes onnistu vaihtamatta itse laitetta.”

Kiinnostuitko? Lue lisää yritystietoturvasta

Särkkä muistuttaa, että IoT-tietoturvaan kuuluu monta osa-aluetta kuten laitteet, tietoverkot, pilvipalvelut, ohjelmistot ja varmistukset eli back end -toiminnot. Nämä kaikki voivat joutua hakkeroinnin kohteeksi.

”IoT-laitteille olisi järkevää rakentaa oma infrastruktuuri eikä pitää niitä samassa verkossa kuin koti- tai yrityslaitteita. Lisäksi tietoturvaan kannattaa panostaa, sillä ennakointi tulee halvemmaksi kuin virheiden korjaaminen. Myös käyttäjien identiteetin varmistaminen ja jatkuva seuranta ovat onnistumisen avaimia.”

”Mainio esimerkki hyvin tehdystä IoT-ratkaisusta on Ikean älylamppujärjestelmä, joka osoittaa sen että, vaikka tuote on halpa, ei tietoturvan tarvitse olla huonosti suunniteltua.”

Telia Cygaten toimitusjohtaja Markus Kalalahti puhuu Security and Privacy by Design -periaatteiden puolesta. Tietoturvan on oltava mukana suunnittelussa jo alusta asti, eikä usein ole edes riittävää liimata tietoturvakäytäntöjä valmiin tuotteen päälle.

”Tietoturvallinen IoT on kilpailuetu. Hyviä käytäntöjä ei saa jättää soveltamatta business casen takia. Traficomin raportin mukaan lähes 60% kaikista kyberturvallisuuskeskuksen haittaohjelmahavainnoista on IoT- ja kotireititinlaitteissa. Iso osa laitteista on suoraan internetissä kiinni. Puolet yrityksistä eivät lisäksi pysty havaitsemaan murrettua IoT-laitetta elinkaaren aikana. Kuluttajien tueksi onkin kehitteillä viranomaissääntelyä räikeimpien tapausten kitkemiseksi.”

Miten olla turvassa pilvessä?

Pilvipalvelut tarjoavat monenlaisia etuja, mutta niistä voi myös muodostua laaja ja vaikeasti hallittava kokonaisuus. Miten vastuu eri toimijoiden kesken tulisi jakaa?

”Aika harvoin otetaan huomioon, mitä pilvestä oikeastaan ostetaan ja mitkä ovat uudet vastuut hallintaketjussa, kun mukaan tulee kolmansia osapuolia. Toimiva nettiyhteys on yhtä tärkeä kuin se, että salasanat ja tunnistautuminen ovat vahvoja. Omassa palvelinkeskuksessa huonosti suojattu palvelin on itse asiassa turvallisempi ratkaisu kuin huonosti suojatussa julkipilvessä”, sanoo Särkkä.

Kalalahti on samoilla linjoilla Särkän kanssa, kun kyse on käyttäjän vahvasta tunnistautumisesta. Myös alustan tai palveluntarjoajan luotettavuuteen ja toimintamalleihin tulee perehtyä.

”Yrityksillä on käytössä palveluita, joista ei ole kokonaisnäkyvyyttä. Esimerkiksi monen yrityksen käyttämä WhatsApp jakaa metadatan Facebook-konsernissa. Pilvipalveluiden tietoturvapolitiikat voivat muuttua omistajien tai strategioiden vaihtuessa. Ensimmäinen sääntö turvalliseen pilveen on ymmärtää palvelutarjoajan tietoturva- ja tietosuojapolitiikka. Jaettu tietoturvavastuu eli shared security responsibility pitää konseptina ymmärtää ja huomioida verrattaessa julkista pilveä yksityiseen pilveen.”

”Monilla yrityksillä on useita pilviä samanaikaisessa käytössä. Kun jokaisella näistä palveluntarjoajista on eri politiikat ja tietoturvakäytännöt, muodostuu vaativa kokonaisuus suojattavaksi. Monipilviympäristöissä kannatta kiinnittää huomiota tiedon luokitteluun, koulutukseen ja identiteettien hyvään hallintaan. Identiteettien ja käyttövaltuuksien hallinta suojaa sekä yritystä, että käyttäjää. Lisäksi käytettävyys paranee,” Kalalahti summaa. 

Aktiivinen puolustus palomuurin haastajana

Aktiivinen puolustus on Särkän lempilapsi, josta hän puhuu mielellään. Särkkä tarkoittaa sillä keinoja, joilla organisaatiot pystyvät merkittävästi hankaloittamaan ja jopa estämään tietoverkkorikollisten toimintaa.

”Mikä tahansa tietoturvamuuri on vain este rikollisten toiminnalle. Hyökkäys on onnistunut silloin, kun hakkeri on saanut tehtyä haluamansa asian ennen kuin hänet on tunnistettu. Mitä enemmän iskuun menevää aikaa voidaan hidastaa tunnistamisen ja reagoinnin jälkeen, sitä helpompi on estää onnistunut hyökkäys.”

”Oma verkko kannattaa suojata mahdollisimman aktiivisesti ja keskittyä kaikkein oleellisimpiin ongelmiin. Pitää pohtia, mitä tietoja hyökkääjistä voi saada jo etukäteen ja minkälaisia ansoja on mahdollista viritellä. Huomioitavaa on, että esimerkiksi kirjanpidonkin avulla voidaan tunnistaa tehokkaasti kyberhyökkäyksiä. Lisäksi kriisitilanteiden ja palautusten harjoittelu on olennaista. Hyvällä suunnittelulla ja ennakoivilla toimintamalleilla pääsee jo pitkälle”, Särkkä neuvoo.

Kalalahden mielestä aktiivista puolustusta on mahdollista toteuttaa silloin, kun tietoturva on määritelty huolellisesti ja kirjattu liiketoimintastrategiaan.

”Pitää miettiä, minkä tason riskejä lähdetään ratkaisemaan ja mikä on budjetti. Käyttäjät ovat tänäkin päivänä suurin uhka ja sähköposti tärkein leviämiskanava. Henkilökunnan koulutuksella on merkitystä, samoin kuin uhkatilanteiden ja palautumisen treenaamisella. Toisinaan myös hyvän tietoturvakumppanin asiantuntemus on arvokasta, koska sen avulla voidaan löytää uusia ratkaisumalleja ja kohdistaa käytettävissä oleva budjetti tehokkaimpiin keinoihin. Tietoturva on osa liiketoimintaa, joka mahdollistaa sen häiriöttömän jatkumisen”, Kalalahti päättää.

Tietoturvahyökkäyksestä toipuminen

Entä sitten, kun pahin on käynyt? Kuinka tietoturvahyökkäyksestä selviää, ja kuinka niitä voi parhaiten estää? Kuuntele podcastistamme, kuinka Maersk toipui 300 miljoonan dollarin tappiot aiheuttaneesta haittaohjelmahyökkäyksestä.

 

Tietoturvapalveluilla suojaat ja turvaat yrityksesi toimintaa

Etsitkö luotettavaa kumppania yritystietoturvan hallintaan?

Lue lisää

Artikkelin aihealueet

Tietoturva Pilvipalvelut