Viime päivien mediakeskustelu suomalaisten yritysten tietoturvasta on saanut jo vähän liioitellunkin suuret mittasuhteet, mutta itse aihe on vakava. Terveysalan vakavasti otettavalla toimijalla on ollut vuosikausia järjestelmässään ruotsinlaivan mentävä aukko. Yhtäkkiä tietoturva on kaikkien huulilla ja kaikilla tuntuu olevan siitä jokin mielipide. Yritysjohtajilla on hikikarpaloita otsalla ja pala kurkussa. ”Voisiko meillekin käydä noin?”
No ihan kaikille noin ei onneksi voi käydä, mutta huoli on aiheellinen ja aihe tärkeä. Opetuskin asiassa on: Jos laiminlyö tietoturvavelvoitteitaan, niin huonosti saattaa käydä ennemmin tai myöhemmin. Tietosuoja-asetuksen (GDPR) tultua voimaan vuonna 2018, etenkin törkeistä piittaamattomuuksista voi saada hyvin tuntuvat sanktiot. Mutta tässäkin asiassa jälkipyykki on vielä pesemättä, kun rapa yhä roiskuu. Nähtäväksi jää millaiseksi ennakkotapaukseksi ja huonoksi esimerkiksi tämä vielä muodostuu.
Keskiverto yritys ei toki tietojaan vapaaehtoisesti luovuta ulkopuolisille, mutta asiansa osaavilla kyberrikollisilla eivät työkalut heti lopu kesken. Juuri kun eilen ilmoitetut haavoittuvuudet on korjattu, on lista uusia jo tiedossa ja seuraavat vastaavasti työn alla. Uhkien torjunnassa täytyy olla sekä nopea että pitkäjänteinen. Ilman aktiivisuutta asiassa saattaa tuurilla selvitä pitkäänkin, mutta kellä oikeasti on varaa ottaa sellainen riski? Vaakalaudalla ei ole pelkästään yrityksen menestys vaan koko yritystoiminnan jatkuminen.
Ole aktiivinen
Olemalla aktiivinen verkon reunamilla yritys ei pelkästään takaa yritystoiminnan jatkuvuutta vaan luo itselleen tulevaisuudessa vahvan valttikortin kilpailussa kumppani- ja asiakasrintamalla. On arvioitu, että lähivuosina varsinkin isot organisaatiot arvioivat kumppaneidensa luotettavuutta yhtä paljon vaikkapa SecurityScorecardin ja BitSightin kaltaisten tietoturvamittareiden kuin esimerkiksi asiakastyytyväisyysmittareiden avulla. Kiinnostuksen lisääntyminen nimenomaan kumppanuusriskien arvioinnissa on tuonut valtavasti uusia Vendor Risk Management -toimijoita markkinoille. Liiketoiminta ja sen kysyntä on jyrkässä kasvussa ja kaikki ovat tärkeällä asialla.
Ole valmiina
Mitä sitten kun verkon reuna on kunnossa ja kilpi kiiltää? Paraskin puolustus pettää, jos ovi avataan sisältäpäin. Enkä tarkoita tällä mitään sisäpiirin kauppoja vaan enemmänkin Troijan hevosta. Jos rikollinen ei saa muuria murrettua, se koittaa lähettää kaikkia virallisia auki olevia reittejä pitkin yrityksen sisään linkkejä ja tiedostoja, joiden avulla salpa nostetaan sisältäpäin. Tai tämä on yleisin ja käyttäjille näkyvin tapa. Toistoja tehdään paljon, erilaisilla tarinoilla ja välillä melko värikkäisiinkin valeasuihin pukeutuneina. Sitten vain aggressiivisesti odotetaan, että jossain kohtaa osuu kohdalle tarpeeksi valveutumaton tai epidemiaeristyksessä uupunut käyttäjä, joka klikkaa linkkiä tai liitetiedostoa. Sen jälkeen käynnistyy joko sovellus, joka alkaa tekemään tuhmuuksiaan tai pyydetään käyttäjältä tunnuksia jollain verukkeella ja tarpeeksi aidon oloisessa kontekstissa. Hyökkääjän odotus on ohi. Hän nostaa jalat pöydältä ja vetää kumihanskat käteen.
Tässä kohtaa päästään tietoturvan seuraaviin kerroksiin, joiden tärkeyttä ei parane väheksyä. Jos linkkiä klikkaamalla käynnistyy sovellus, joko itse sovellus tai sen normaalista poikkeava toiminta täytyy tunnistaa ja pysäyttää. Parhaat virus- ja haittaohjelmien torjuntaohjelmistot selviytyvät hyvin suuresta osasta, mutta lähes viikoittain saa lukea alan julkaisuista surullisista tapauksista, joissa näin ei ole käynyt. Kilpajuoksua käydään rintarinnan ja välillä hyökkäys on ovelampi kuin puolustus.
Nyt housut on jo nilkoissa. Kun solkenaan valuva hiki on pyyhitty silmien edestä, vahinkojen laajuus alkaa selvitä. Tiedostot tai jopa palvelut ovat käyttökelvottomia ja liiketoiminta seisahtunut. Tärkeät tiedostot on kryptattu mössöksi ja yleensä niiden avaamiseksi pyydetään lunnaita. ”50t€ tähän räpylään ja homma jatkuu!” Yksi asia mikä varmasti maksamalla jatkuu, on lunnaiden pyytäminen. Ajantasaiset varmistukset ja niistä säännöllisin väliajoin testattu palautuminen on nyt mittaamattoman arvokkaita. Jos hyökkäys on kohdistunut vain tiedostoihin, voidaan varmistuksista palauttaa tilanne ennalleen hyvinkin nopeasti ja suhteellisen vähin datamenetyksin.
Varaudu pahimpaan
Mikäli järjestelmiä on saatu lamautettua pahemminkin tai menetetyn datan edelliseen varmistusajankohtaan on jostain syystä liian pitkä aika, olisi yrityksellä parasta olla Disaster Recovery -suunnitelma, jossa on kuvattuna polku, miten isommasta katastrofista selviydytään ja mielellään nopeasti. Kaikkien tärkeimpien palveluiden on hyvä olla varmistettuna toiseen maantieteelliseen sijaintiin ja mielellään mahdollisimman tiheästi. Liian pitkä varmistusväli tarkoittaa palautustilanteessa aina tärkeiden tietojen menetyksiä. Jokainen osaa laskea, että aika jonka työntekijät pyörittelevät peukaloitaan ja tuijottavat tyhjää ruutua on yritykselle kallista, puhuttiin sitten tunneista, päivistä tai viikoista. Vaikka työkalut saataisiin nopeasti takaisin käyttöön, tuho on suurta, jos dataa on menetetty useiden päivien työmäärän verran. Kaikki yrityksen toiminnan jatkuvuuden ja palautumisen suunnitteluun käytetty aika maksaa siinä kohtaa itsensä moninkertaisena takaisin, kun hyökkäyksestä on toivuttu tunnissa ja tärkeä data palautettu tuoreeltaan. Hyökkääjä riisuu hanskat ja asettaa jalat takaisin pöydälle. Aggressiivinen odotus jatkuu ja hyökkääjän toiveen mukaan seuraava tartutettu organisaatio ei ole asiassa yhtä valveutunut.
Jos hyökkäys on tehty tietojen varastamistarkoituksessa ja tietoja on saatu tavalla tai toisella kaikesta huolimatta hyökkäyksen yhteydessä varastettua, on tapahtunutta teknologialla vaikea estää. Sen jälkeen käynnistyy anastetun datan laajuuden selvitys ja virallinen ilmoitus tietosuojaviranomaiselle tapahtuneesta, jos hyökkäyksessä on paljastunut henkilötietoja. Tietosuoja-asetuksessa määritetään tarkka prosessi sille, miten asiassa tulee menetellä vahinkojen ja sanktioiden minimoimiseksi. Asian juridisesta puolesta lisää kollegoideni Arttu Ahavan ja Suvi Julinin ajankohtaisessa artikkelissa. Artun ja Suvin kirjoituksen löydät täältä.
Ole tarkkana
Kun puhutaan taistelusta kyberuhkia vastaan, vähintään yhtä tärkeässä roolissa ovat käyttäjät itse. Jokapäiväisessä toiminnassa, niin työelämässä kuin vapaa-ajalla, joudumme tekemään päätöksiä siitä, mikä on validia informaatiota ja mikä valheellista. Pieni klikkaus käyttäjälle voi olla mittava vahinko yritystoiminnalle. Jokaiselta käyttäjältä edellytetään valppautta uhkien tunnistamisessa ja aktiivisuutta mahdollisten väärinkäytösten tai niiden yritysten esiin tuonnissa. Tämä korostuu entisestään nyt etätyöaikana. Kotitoimistolla työtään tekevä työntekijä on haavoittuvaisempi. Hyökkääjän näkökulmasta se on laumasta erotettu antilooppi ja helpompi kohde kuin toimistolla betoni- ja palomuurien takana laumasuojaa nauttiva yksilö. Jos asiat on yrityksessä hoidettu oikein, laumasuoja yltää myös kotikonttorille. Aina näin ei ole.
Ole tietoinen
Meillä Berggrenillä kyberturvallisuutta auditoidaan jatkuvasti taustalla VRM-kumppanin avulla ja tulosten mahdollisiin muutoksiin reagoidaan välittömästi. Noudatamme päivittäisessä toiminnassamme parhaiksi havaittuja tietoturvakäytänteitä sekä tietosuoja-asetusta, ja ne ohjaavat päivittäistä toimintaamme niin tekemisen kuin järjestelmienkin osalta. Henkilökuntamme saa yrityksemme tietoturva-asioissa myös tasaisin väliajoin koulutusta ja tiedotamme uudenlaisista liikkeellä olevista uhista henkilökuntaamme viipymättä.
Taistelu kyberuhkia vastaan on sekä nopeus- että kestävyyslaji, jossa ei ole varaa piittaamattomuudelle. On oltava proaktiivinen suojautuakseen uhilta mahdollisimman hyvin etukäteen ja reaktiivinen mahdollisten uhkien löydyttyä. Data on meille kaikki kaikessa. Ilman asiakkaidemme informaatiota meillä ei ole liiketoimintaa. Tietoturva on meidän menestyksemme ja toimintamme jatkuvuuden edellytys ja tässä Meidän lupauksemme: Tietosi ovat meillä turvassa.