Kybersodan mahdollisuudesta on puhuttu pitkään, mutta nyt siitä on tullut totisinta totta. Vaikutukset heijastuvat väistämättä myös yrityksiin. Onko teidän yrityksenne turvassa?
Kybersodan määrittely ei ole helppoa. Yleensä sillä tarkoitetaan tietoteknologian hyödyntämistä sotilaallisen toiminnan rinnalla, toisinaan taas katsotaan, että se kattaa myös verkkotiedustelun ja -vakoilun. Oli miten oli, moni asiantuntija katsoo, että olemme nyt keskellä valtiollista kybersotaa.
– Perinteiseen sotaan liittyy nykyisin aina myös kybersota. Ukrainan sodassa se on toistaiseksi ollut yllättävän vähäistä tai siinä ei ole ehkä täydellisesti onnistuttu. Ehkä ennakkotieto mahdollisista hyökkäyksistä on auttanut Ukrainaa varautumaan kyberuhkia vastaan, miettii tietoturvayhtiö WithSecuren tietoturva-asiantuntija Tuomas Miettinen. WithSecure jatkaa maaliskuussa kahtia jakautuneen F-Securen B2B-liiketoimintaa. Kuluttajaliiketoiminta pyörii edelleen F-Securen nimen alla.
Perinteistä sodankäyntiä tuetaan Miettisen mukaan useimmiten tuhoavilla kyberiskuilla. Niissä pyritään haittaohjelmien avulla tuhoamaan vastustajan laitteistoja ja ohjelmistoja sekä häiritsemään tiedonvälitystä. Joidenkin tietojen mukaan tällaisia iskuja tehtiin jo ennen Ukrainan sodan alkua myös Latviassa ja Liettuassa. Kohteina oli sekä valtion että finanssialan yritysten alihankkijoita.
Kyberkatastrofi halvauttaa nopeasti koko yritystoiminnan
Myös Suomessa on viime kuukausien aikana havaittu palvelunestohyökkäyksiä ja muuta poikkeuksellista toimintaa. Niiden vaikutukset ovat Miettisen mukaan olleet toistaiseksi vähäisiä.
– Jos informaatiovaikuttaminen lasketaan kybersotaan kuuluvaksi, tilanne on toinen. Olemme kaikki mittavan informaatiosodan piirissä, ja se sekä kyberhyökkäykset voivat tilanteen mahdollisesti eskaloituessa vielä lisääntyä.
Yritysten näkökulmasta Ukrainan sodan kaltainen poikkeuksellinen tilanne aiheuttaa riskejä liiketoiminnan jatkuvuudelle. Riskin asteeseen vaikuttavat toimiala ja toiminnan kansainvälinen ulottuvuus. Joka tapauksessa nyt on entistäkin tärkeämpää huolehtia siitä, että tietoturva-asiat ovat hyvällä tolalla.
– Kyberturva on prosessi. Sitä ei pysty hanskaamaan pelkällä teknologialla, vaan iso osa siitä on ihmisten toimintaa ja harjoittelua, niin että jokainen tietää tarkasti, miten toimia, jos eteen tulee poikkeamatilanne. Harva yritys pystyy toimimaan kokonaan ilman digitaalisia apuvälineitä ja järjestelmiä. Täydellinen kyberkatastrofi halvauttaa nopeasti lähes koko toiminnan, Miettinen korostaa.
Yhtenä esimerkkinä kyberhyökkäykseen varautumisesta Miettinen mainitsee viestinnän asiakkaille, yhteistyökumppaneille ja toimitusketjuun. Sidosryhmät on pidettävä ajan tasalla tietoturvahaasteista.
– Jokaisella yrityksellä on asiakkaita ja asiakasdataa, ja moni on myös osa erilaisia toimitus- ja alihankintaketjuja. Näissä ketjuissa pienetkin yritykset voivat olla kriittisiä lenkkejä tietoturvan kannalta. Siksi on syytä ottaa huomioon myös mahdollisuus, että hyökkääjä käyttää yritystä porttina toisen, isomman yrityksen järjestelmiin. Se ei varmasti ole liiketoiminnan jatkuvuuden kannalta mairittelevaa mainosta.
Miettisen mukaan pienet yritykset voivat jopa olla isoja toimijoita houkuttelevampia kohteita, koska niillä on usein enemmän puutteita suojauksessa.
Kyberturvallisuuswebinaari: Suojaa yrityksesi kyberrikollisuudelta ja tietoturvauhilta
Ennakoi, ehkäise, havaitse, reagoi, toivu
Hyvänä lähtökohtana tietoturvan kehittämiselle Miettinen pitää Gartnerin viitekehystä, jossa toimenpiteet jaetaan neljään osa-alueeseen: ennakointiin, ehkäisyyn, havaitsemiseen ja reagointiin.
- Ennakoi. Tunnista tietoturvapuutteet ja korjaa ne. Kartoita haavoittuvuudet ja päivitä järjestelmiä jatkuvasti. Varaudu kyberuhkiin proaktiivisesti.
- Ehkäise. Suojaudu uhilta turvaamalla kriittiset tiedot ja varmistamalla näkyvyys koko ympäristöön. Hoida esimerkiksi palomuurit kuntoon, hyödynnä päätelaitetietoturvatuotteita ja estä haitallisen sisällön valuminen organisaatioon.
- Havaitse. Valvo järjestelmää sen varalta, että joku pääsee hyvästä ennakointityöstä ja tehokkaista kontrolleista huolimatta tunkeutumaan järjestelmään.
- Reagoi. Varmista, että yrityksellä on käytössään tarvittavat työkalut ja resurssit, joilla hyökkäykseen vastataan.
Viidenneksi kohdaksi Miettinen ehdottaa NISTin eli Yhdysvaltain kauppaministeriön alaisen viraston mallin mukaisesti iskusta toipumista.
– Kaikki viisi osa-aluetta ovat laajoja, ja niihin liittyy paljon avustavaa teknologiaa, prosesseja ja jatkuvaa kehittämistä. Kybermaailmassa uhat muuttuvat jatkuvasti eikä puolustus ole koskaan valmis. Yritys ei voi rakentaa linnanmuuria ja ajatella, että nyt kaikki uhat on blokattu. Se ei ole tätä päivää.
Etätyö ja pilvipalvelut lisäävät haavoittuvuutta
Monen yrityksen perusongelma on, että tietomurtojen havaitseminen ja rajaaminen kestää aivan liian kauan. IBM:n Cost of a Data Breach -raportti vuodelta 2021 mainitsee keskimääräiseksi ajaksi peräti 287 päivää, mikä tarkoittaa, että vahinkoa ehtii väistämättä tapahtua. Tämä aika on Miettisen mukaan pakko saada lyhyemmäksi, jotta liiketoimintavaikutuksia voidaan vähentää ja toipumista nopeuttaa.
Hyvällä havainnoinnilla ja reagoimisella liiketoimintavaikutukset voidaan minimoida. Jos uhka sen sijaan ui syvemmälle ja vaatii koko ympäristön puhdistamista ja asentamista uudelleen, toipumisen kulut voivat muodostua huimiksi.
– Sitäkin kannattaa mallintaa, kuinka paljon maksaisi infrastruktuurin rakentaminen uudelleen tyhjästä ja olisiko se edes mahdollista. Ja jos ei ole malleja, prosesseja, resursseja eikä yhteistyökumppaneita, ensimmäiseksi ongelmaksi kyberiskusta toipumisessa voi tulla osaavien asiantuntijoiden löytäminen. Niitä ei nimittäin välttämättä saa rahallakaan, kun päällä on massiivinen globaali kriisi, jossa kaikki tietoturvakonsultit ovat ylityöllistettyjä ja palvelevat ensisijaisesti omia asiakkaitaan.
Toipuminen on Miettisen mukaan tärkeää tehdä oikein. Hyökkääjä pitää häätää pois asianmukaisesti, ottaa todistusaineistot talteen viranomaisia varten ja lopuksi siivota pois kaikki hyökkääjän rakentamat mekanismit, ettei se pääse ujuttautumaan heti takaisin.
– Suorien kustannusten lisäksi toipumisella on epäsuoria kustannuksia: miten se vaikuttaa liiketoimintaan, kun järjestelmät ovat poissa pelistä eikä töitä voi tehdä? Lisäksi voi olla tulevaisuuteen heijastuvia mainevaikutuksia, joita on vaikea korjata.
Kun tietoturvaa kartoitetaan, on hyvä miettiä myös hyökkääjäprofiilia: ketä vastaan yritys suojautuu? Miettinen esittelee uhkapyramidin, jonka kärjessä ovat valtiolliset toimijat. Niiden suunnattomia resursseja vastaan perusyrityksen on suhteellisen mahdotonta edes suojautua.
– Sen sijaan organisoituneita rikollisryhmittymiä, haktivisteja, makuuhuonehakkereita ja muita kiusantekijöitä vastaan voi hyvinkin suojautua, kunhan osaa asiansa.
Tämän hetken keskeisimpiä tietoturvahaasteita ovat etätyön ja pilvipalveluiden yleistyminen sekä erilaisten päätelaitteiden kirjon kasvu.
– Mobiililaitteilla pääsee nykyisin yrityksen kaikkiin resursseihin, mikä on tietenkin tarkoituksenmukaista, jotta työtä voi tehdä joustavasti muualtakin kuin työkoneelta. Tämä voi kuitenkin olla merkittävä riskitekijä, jos laitteita ja identiteettejä ei ole suojattu kunnolla.
Onneksi apua on tarjolla. Tietokeskus esimerkiksi tarjoaa tietoturvauhkien valvontaa kuukausihinnalla.
– Meiltäkin löytyy näille jokaiselle osa-alueelle ratkaisuja, jotka hyvin pitkälle automatisoivat osan tietoturvaan liittyvistä töistä. Näin ihmistyö voidaan keskittää niihin prosessin kohtiin, joita koneet eivät pysty ratkaisemaan, täydentää WithSecuren Miettinen.
Tietoturvaosaajista on huutava pula
Vaikka automatisoituja ratkaisujakin on, ihminen on kuitenkin edelleen keskiössä, kun tietoturvaa kehitetään ja ylläpidetään. Ongelmana on kyberturva-asiantuntijoiden rajallinen määrä. Konsulttiyhtiö Frost & Sullivan ennakoi jo vuonna 2017, että tänä vuonna maailmasta puuttuisi 1,8 miljoonaa tietoturva-asiantuntijaa.
– Itse uskon, että määrä on vielä suurempi. Lisähaasteena on, että tällä alalla on hyvin vaikea olla kaikkien osa-alueiden asiantuntija; tarvitaan monenlaista spesifiä asiantuntijuutta. Ja koska resursseja on vaikea hankkia ja kallis palkata, yrityksen kannattaa hankkia hyvä tietoturvakumppani, joka pystyy skaalaamaan palvelujaan ja tarjoamaan sekä erilaisia tietoturvatuotteita että konsultatiivisia palveluja. Etenkin pienten yritysten on täysin mahdotonta rakentaa kunnollista kyberkyvykkyyttä yksin, ellei investoi siihen todella runsaasti rahaa, Miettinen sanoo.
Tietoturvan suhteen ei kannata tyytyä pelkästään vähimmäistavoitteeseen vaan pyrkiä jatkuvaan kehittämiseen. Hyvä ensimmäinen askel on ylipäätään tulla tietoiseksi tietoturva-asioista, käynnistää kartoitustyö ja hankkia tarvittaessa avuksi konsultatiivista osaamista.
Suomessa yrityksillä perusasiat ovat Miettisen mukaan kunnossa. Eniten puutteita on havaitsemisen ja reagoinnin puolella. Tämä tarkoittaa esimerkiksi näkyvyyden rakentamista päätelaitteisiin ja palvelimiin, jotta turvamekanismeista mahdollisesti ohivuotavat asiat voidaan havaita ja tehdä etävastetoimintoja riippumatta siitä, missä käyttäjät ovat.
Usein haasteena on Miettisen mukaan se, ettei yrityksessä edes tiedetä, mitä kaikkia laitteita, järjestelmiä ja verkkoja on käytössä ja millaiset niiden väliset riippuvuussuhteet ovat. Suojaaminen on mahdotonta, jos ei edes tiedetä, mitä pitäisi suojata.
– Tämä on yllättävän usein retuperällä, koska vuosien kuluessa yritykseen tulee paljon varjo-IT:tä. Henkilöstö tuo sinne omia laitteita tai kytkee asioita eksoottisesti, jotta jotkin asiat hoituisivat helpommin. Se ei välttämättä ole kovin tietoturvallista.
Tietoturvan taso on sidoksissa yrityksen kulttuuriin
Moni on kuullut sanottavan, että yrityksen heikoin lenkki on ihminen – myös tietoturva-asioissa. Miettinen pitää tätä vanhakantaisena ajattelutapana. Virheiden tekeminen kun on inhimillistä, ja niitä sattuu kokeneimmillekin.
– Parempi on avoimesti kannustaa henkilöstöä kertomaan virheistä ja vieläpä palkita siitä. Näin tietoturvatiimi voi selvittää, onko tilanteesta aiheutunut todellista riskiä.
Oleellista on tasapaino ja kontrollien rakentaminen niin, että ne toimivat tehokkaasti mutta eivät tee työn tekemisestä liian vaikeaa. Myös säännöllinen koulutus on tärkeää. Siinä voidaan hyödyntää erilaisia valmiita työkaluja, kuten palvelua, joka lähettää henkilöstölle simuloitua tietojenkalasteluviestintää.
Ehkä yritysten kannattaisikin ottaa säännöllisten paloharjoitusten rinnalle tietoturvaharjoitukset?
– Ehdottomasti. Esimerkiksi viestintäosaston pitäisi tietää, miten viestitään. Meillä on mahtavia esimerkkejä sekä täydellisestä epäonnistumisesta että täydellisestä onnistumisesta.
Hienoksi esimerkiksi Miettinen nostaa norjalaisen alumiinitoimittajan Norsk Hydron, joka joutui kolme vuotta sitten vakavan kiristyshaittaohjelmahyökkäyksen kohteeksi.
– Yrityksen koko infra meni nurin, mutta tilannetta oli selvästi harjoiteltu etukäteen. Heillä avautui heti yrityksen ulkopuolella pyörinyt tiedotuskanava, josta tuli jatkuvasti tietoa siitä, miten tehtaat pyörivät, miten toimintaa varmennetaan, miten henkilöstöä on tiedotettu ja miten toipuminen etenee.
Huonoissa esimerkeissä taas tapahtunutta vahinkoa ja siihen liittyviä riskejä on yritetty piilotella, mikä on aiheuttanut valtavia lisävahinkoja.
Kybervakuutus on viimeinen askel
Helppoa kyberhyökkäysten torjuminen ei missään nimessä ole. Hyökkääjät ovat esimerkiksi siirtyneet perinteisistä haittaohjelmista hyödyntämään järjestelmätyökaluja tavalla, jonka havaitseminen on huomattavasti vaikeampaa kuin vaikkapa haitallisten tiedostojen, jotka nykyteknologia tunnistaa sukkelasti.
– Edistyneet kiristyshaittaohjelmat eivät pelkästään salakirjoita ympäristöä ja lamauta näin yrityksen toimintaa vaan myös varastavat sieltä tietoja, jolloin ne voivat uhkailla myös tietojen julkaisemisella ja kiristää vielä lisää.
Kybervakuutuksen aika tulee Miettisen mukaan vasta sitten, kun kaikki muu on kunnossa. Tätä vaativat myös vakuutusyhtiöt. Vakuutusta ei saa – ainakaan siedettävin ehdoin – ellei ympäristöön ole sitä ennen rakennettu suurta määrää kontrolleja.
– Eikä kybervakuutuskaan koskaan pysty korvaamaan kaikkea sitä vahinkoa, mitä kyberiskusta voi tulla. Jos esimerkiksi yrityksen asiakasrekisterit ja yrityssalaisuudet vuotavat julki, sen yrityksen taru on sitten siinä.
Kyberturvallisuuswebinaari: Suojaa yrityksesi kyberrikollisuudelta ja tietoturvauhilta
