Vuoden alkajaisiksi laadimme kartoituksen kuluvan vuoden trendeistä liittyen yritysten tietoturvaan. Arviomme perustuu asiantuntijoidemme keskusteluihin keskeisten suomalaisyritysten liiketoiminta- ja it-vaikuttajien kanssa.
Vanhat uhat uudessa paketissa
Haktivismi
Poliittiset ja muut aatteelliset motiivit nousevat entistä tärkeämmiksi tekijöiksi tietomurtojen ja muiden verkkohyökkäysten takana. Tunnetuimmat esimerkit ovat Anonymous ja Lulzsec, mutta ilmiö on tosiasiassa paljon laajempi. Mukaan pääsee liittymään helposti – kaikilla ei välttämättä ole mitään suuria poliittisia tavoitteita, vaan osallistuminen on yksinkertaisesti jännittävää. Osallistujat voivat kokea, että massan mukana ei ole suurta pelkoa kiinnijäämisestä.
Merkitys yrityksille on huomattava: enää ei ole kyse pelkästään taloudellisesti hyödynnettävien tietojen suojaamisesta, vaan kaikenlaisen mahdollisen häirinnän ennakoinnista ja ehkäisemisestä.
Sisäiset uhat
Kuten edelläkin, merkittävää on muutos motiiveissa: taloudellisen hyödyn tavoittelun sijaan suurempi uhka organisaatiolle saattaa nousta aatteellisista tekijöistä. Merkkejä tästä on havaittavissa esimerkiksi VR Leaks -tapauksessa.
Organisaatioissa on syytä miettiä entistä tarkemmin toisaalta vastuiden jakamista ja kontrolloinnin järjestämistä ja toisaalta riittävän avoimuuden saavuttamista. Ovatko yrityksen arvokkaat tiedot suojattu riittävällä tavalla? Pääsevätkö niihin ainoastaan ne joilla on tarve? Kuinka tätä valvotaan? Oikean tasapainon löytäminen ei ole helppoa maailmassa, jossa toisaalta odotetaan innovatiivisuutta ja osallistumista ja toisaalta luottamuksellisten tietojen vastuullista käsittelemistä.
Kohdistetut hyökkäykset
Mahdollisuudet kohdentaa hyökkäykset eri tavoin juuri aiottuun järjestelmään lisääntyvät. Tietojen yhdistely mitä moninaisimmista eri lähteistä mahdollistaa esimerkiksi hyökkäyksien personoinnin valituille vastaanottajille hyödyntäen kohteen omia tai heidän luotettujen tahojensa tietoja.
Hyökkäyksiltä on käytännössä mahdotonta suojautua, joten yritysten kannattaa etsiä keinoja hyökkäysten havaitsemiseksi, niiden vaikutusten minimoimiseksi sekä kiinnittää huomiota reagoinnin suunnitteluun.
Kehittyvä teknologia
Mobiliteetti ja omat laitteet
Kannettavien, myös käyttäjien itse hankkimien, laitteiden käytön lisääntyminen yritystiedon käsittelyssä pienentää entisestään fyysisten kontrollien merkitystä. Tietoturva on rakennettava voimakkaammin tiedon luokittelun sekä käyttäjien tunnistamisen varaan. Voiko yritys esimerkiksi sallia omien tablettien käytön yritysverkossa tai pääsyn niillä yritysjärjestelmiin? Oikeilla suojauksilla tämä olisi mahdollista monessa ympäristössä riittävän turvallisesti.
Sosiaalinen media
Monipuolisten hyötyjen lisäksi sosiaalinen media on ilmiselvästi räjähdysmäisesti kasvava riski. Tietojen vuotamisen ohella merkittävän riskin muodostaa esimerkiksi henkilöiden identiteetin hallinnan vaikeutuminen. Kokonaan oma lukunsa on yrityksen maineen hallinta jatkuvasti muuttuvassa sosiaalisen median verkossa.
Pilvipalvelut
Pilvipalvelut arkipäiväistyvät yritysten tietojärjestelmien osana. Yksikään yritys ei omin toimin voi varmistua kaikkien käyttämiensä palvelujen jatkuvuudesta, vaatimustenmukaisuudesta ja luotettavuudesta. Olennaista on hallita yrityksen tietoja lähtien niiden merkityksestä sekä suojaamisen tarpeesta. Tietojen luokittelun on tällöin oltava kunnossa.
Yrityksen tulee ymmärtää liiketoimintariskit jotka liittyvät pilvipalveluiden käyttöön. Kuten missä tahansa ulkoistuksessa, tulee arvioida palveluntarjoaja ja sopimus, jotta kyseisen liiketoimintapalvelun riskit ovat hyväksyttävällä tasolla. Yritysten tulee suunnitella mallit ja rajat pilvipalveluiden käyttöön, jotta niistä saadaan suurin mahdollinen hyöty.
Organisaation oma toiminta – keskity olennaiseen!
Riskien hallinta ja toiminnan jatkuvuus
Keskustelu tietoturvasta liitetään yhä useammin laajempaan riskien hallinnan kontekstiin. Huomiota kiinnitetään aiempaa enemmän tapahtumien syihin, eikä vain seurauksiin ja oireisiin. Haavoittuvuuksia on pakko kartoittaa ja korjata systemaattisesti. Liiketoiminnan jatkuvuuden varmistaminen nousee keskeiseen asemaan. Tätä varten täytyy liiketoiminnassa ottaa selvä kanta siihen, mikä taso on riittävä. Dialogi liikkeenjohdon ja IT-palvelujen välillä tästä teemasta lisääntyy. Samoin kasvaa tietoisuus omien tai ulkoistettujen IT-palvelujen jatkuvuussuunnitelmien päivittämisen, auditoimisen ja testaamisen tarpeellisuudesta.
Oma ja oman henkilökunnan tietoisuus
Toiminataympäristön ja riskien monimutkaistuessa palataan perusasioihin: tietovastuun ja -turvan kannalta olennaista on yrityksen koko henkilökunnan sekä kumppaneiden tietoisuus siitä, miten tulee toimia. Haasteena on se, miten kunkin organisaation kannalta olennaiset asiat saadaan kaikkien tietoja käsittelevien henkilöiden tietoisuuteen.
Henkilöstön omien laitteiden käytön vääjäämätön kasvu lisää haastetta entisestään.
Tietovastuuagendan hallinta
Kustannuspaineet, vaatimus joustavuudesta sekä tietohallintobudjettien siirtyminen lähemmäs liiketoimintaa tekee tietovastuun kokonaisuuden hallinnasta entistäkin haastavampaa. Jatkossa lienee syytä harkita myös vaihtoehtoa, jossa päävastuun kantajat ovat muualla kuin tietohallinnossa.
Kumppanien hallinta
Liiketoimintamallien muuttuessa yhä verkottuneemmiksi nousee kumppanien hallinta entistä tärkeämpään asemaan. Kumppaneiksi tässä merkityksessä tulee lukea paitsi yhteistyötahot ja palvelujen sekä tavaroiden toimittajat, myös kaikki muutkin tahot joilla on jonkinlainen yhteys organisaation tietojärjestelmiin. Kunkin kumppanin luotettavuutta on arvioitava jatkuvasti, ja tarvittaessa on voitava reagoida muutoksiin nopeasti.
Tietosuoja ja yksityisyys
Vaatimukset yksityisyydensuojan osalta kiristyvät ja jalkautuvat laajasti toimenpiteiksi. Hallinta muuttuu järjestelmälliseksi. Tietoisuus identiteettivarkauden riskeistä nousee ja kasvattaa tarvetta suojautumiselle. Erilaisia sijaintiin pohjautuvia palveluja syntyy runsaasti. Näiden tietoturva ja erityisesti yksityisyydensuoja tulee esille keskusteluissa ja näihin asioihin tulee myös reagoida.
Ei pelkästään ethernet, vaan myös…
Viimeistään Stuxnet todisti kouriintuntuvasti että mitkään järjestelmät – edes ne, joiden pitäisi olla täysin eristettynä Internetistä – eivät ole suojassa. Erityisesti teollisuusautomaation haavoittuvuus käy tuskallisen selväksi. Huolissaan on syytä olla myös arkaluontoista tietoa sisältävistä terveydenhuollon järjestelmistä. Valitettavasti edelleen on olemassa ympäristöjä, joissa kriittiset järjestelmät ovat täysin yhdistettyjä toimistoverkkoihin. Myös ennen tietoturvan kannalta vähäpätöisen tuntuiset laitteet – kuten esimerkiksi tulostimet – on syytä huomioida.