Sisäiset riskit ja uhat – tietoturvan kuollut kulma?
Sekä Suomella, että yleisemmin Pohjoismaissa on pitkät teknisen tietoturvan perinteet hyökkääjien ja haittaohjelmien torjumisessa. Osaamme tunnistaa tietojärjestelmissämme tapahtuvaa poikkeuksellista toimintaa ja estää teknisiä uhkia ennen niiden realisoitumista.
Tietoturvakulttuurissamme on kuitenkin merkittävä kuollut kulma – sisäiset riskit ja uhat. Emme ota riittävän tosissamme mahdollisuutta, että organisaation etua vastaan toimii tarkoituksellisesti (ja vielä huomattavasti useammin tahattomasti!) sen oma työntekijä – sisäpiiriläinen.
Kirjoituksen luettuasi ymmärrät, mistä sisäisissä riskeissä ja uhissa oikeasti on kysymys. Saat myös käsityksen siitä, mikä teknologian rooli on riskien hallitsemisessa – ja sen toteutuessa negatiivisten vaikutusten minimoinnissa. Sinulle avautuu myös, missä kulkevat teknologian puuttumismahdollisuuksien rajat ja miksi ihmisten välinen yhteistyö on keskeistä.
Määritelläänpä muutama avainkäsite.
Sisäpiiriläinen (engl. insider) on henkilö:
- Joka on parhaillaan tai on ollut aiemmin organisaation palveluksessa
- Jolla on pääsy organisaation resursseihin, ml. ihmisiin, prosesseihin, tietoon, teknologiaan tai fyysisiin tiloihin, tai pitää hallussaan tietoa edellä mainituista
Kun asiaa ajattelee näin, on sisäinen riskikin helpompi ymmärtää sen todellisessa laajuudessa. Kyse on kaikkien sisäpiiriläisten yksilökohtaisesta potentiaalista toimia joko tietoisesti tai tahattomasti tavalla, joka voi aiheuttaa haittaa organisaatiolle. Potentiaali aiheuttaa vahinkoa on luonnollinen seuraus luottamuksesta, jonka organisaatio asettaa työntekijöihinsä. Keskeisimpiin, kriittisimpiin tehtäviin asetettujen henkilöiden kyky aiheuttaa haittaa on säännönmukaisesti tavallista korkeampi.
Varsinaisista sisäisistä uhista puhutaan yksilöiden kohdalla, jotka tämän potentiaalin lisäksi myös aikovat toimia – tai olosuhteista johtuen todennäköisesti päätyvät toimimaan – tavalla, joka aiheuttaa jonkinlaista haittaa tai menetystä organisaatiolle.
Sisäiseen riskiin ja uhkiin keskittyvä tietoturva vaatii aivan uudenlaista ihmisten välistä yhteistyötä teknologian tukemana, jossa ei-toivotun toiminnan estäminen teknisesti on harvoin yksinään ainoa tarvittu riskinhallinnallinen toimenpide.
Tietoisen organisaation vastaisen toiminnan pääasiallisiin motivaattoreihin – ahneuteen, egoon, ideologiaan ja kostoon, sekä joskus myös uteliaisuuteen – tai uhkatoiminnalle altistaviin persoonallisuuspiirteisiin – ns. Dark Triad -piirteet narsismi, psykopatia ja makkiavellismi – emme teknologialla voi puuttua.
Myöskin osa sisäisen riskitoiminnan usein laukaisevista olosuhteista on teknologian ulottumattomissa, koska ne kumpuavat henkilön omasta yksityiselämästä, esim. talousvaikeudet, stressaavat elämäntapahtumat, tyytymättömyys tai eristetyksi tuleminen työyhteisöstä.
Kenties yleisin haitallisen toiminnan laukaisija – akuutti epävarmuus – on kuitenkin ennakoitavissa työpaikalla vaikkapa YT-neuvottelujen lähestyessä.
Myös positiivisella tietoturvakulttuurilla voidaan ennaltaehkäistä tilannetta, jossa oman taustansa puolesta uhkatoiminnalle altis työntekijä tunnistaa mahdollisuuden, kehittää motiivin ja valmistautuu toimimaan organisaatiota vastaan. Näkyvää ja kannustavaa tietoturvakulttuuria ruokkimalla voidaan myös hillitä vahingoista tai välinpitämättömyydestä juontuvia, sisäpiiriläisen aiheuttamia haittoja organisaatiolle.
Teknisillä tietoturva- ja muilla kontrolleilla on kuitenkin oma, merkittävä roolinsa sisäisen riskin hallinnassa ja sen toteutumisen vaikutusten minimoinnissa. Moni Microsoftin pilvipalveluita hyödyntävä organisaatio hyödyntääkin jo nyt joitain teknisiä sisäistä riskiä hallitsevia kontrolleja, vaikkei sitä välttämättä tiedostakaan. Seuraavaksi käsittelen muutamaa esimerkkiä.
Identiteettien ja oikeuksien elinkaari
Jokainen meistä käyttää pilvipalveluita digitaalisella identiteetillä, joka Microsoft-maailmassa on Entra ID -käyttäjätili. Tälle identiteetille annetaan erilaisia oikeuksia järjestelmiin ja tietoon, joita usein ei puuttuvien prosessien vuoksi kuitenkaan tarpeen päätyttyä karsita pois. Näin riski kasautuu ajan kanssa.
Organisaatio voi hyödyntää Entra ID:n Entitlement Management Access Packageja roolin tarvitsemien oikeuksien paketointiin ja määräaikaiseen luvittamiseen tavalla, jolla ne on helppo myös kattavasti todentaa ja karsia pois kun tarve on päättynyt.
Entra ID -käyttäjätilin automatisoitu luvittaminen työsuhteen alkaessa, käytöstä poistaminen työsuhteen päättyessä ja oikeuksien karsiminen roolin vaihtuessa, eli toimiva ns. Joiners/Movers/Leavers -prosessi on kriittinen työkalu sisäisen riskin hallinnassa.
Pääsynhallinnan kontrollit ja hygienia
Moderni pääsynhallinta mielletään usein ulkopuoliselta uhalta suojaavaksi keinoksi, jota se toki on. Moni tietovarkaus, -vuoto tai sisäpiiriläisen tekemä haitallinen toiminta on kuitenkin tapahtunut maailmalla juurikin muulta, kuin työnantajan tarjoamalta laitteelta.
Entra ID:n ehdollisen pääsynhallinnan Conditional Access -kontrollit, joilla edellytetään hallittua ja suojattua laitetta palveluihin kirjautumiseksi, ovat keskeisessä roolissa myös sisäisen riskin hallinnassa.
Oikeuksien keskittämisen välttäminen
Mitä enemmän oikeuksia yksittäiselle identiteetille kerääntyy, sitä suurempi negatiivinen vaikutus voi koitua organisaatiolle, jos identiteetin omistava henkilö päättää toimia tai toimii tiedostamatta organisaatiota vastaan. Joissain organisaatioissa henkilöt esim. IT-ylläpidossa ja järjestelmien pääkäyttäjätehtävissä ovat saaneet tarvitut laajat ja voimakkaat oikeudet samalle identiteetille, jota käyttävät arjen työskentelyssään. Tämä tekee oikeuksien käytön seurannasta ja väärinkäytön riskien hallinnasta haastavaa.
Microsoft-palveluita käyttävät organisaatiot voivat hallita riskiä esim. luomalla hallintatehtäviä varten erilliset, tarkemmin suojatut identiteetit ja hyödyntämällä Entra ID:n hienojakoisia rooleja siten, että Global Administrator -roolin sijasta annetaan kunkin henkilön ylläpitotilille vain tehtävässä tarvitut vähäisemmät roolit.
Myös ylläpitoroolien aktivointi lokitetulla tavalla vain määräajaksi Privileged Identitety Managementilla – potentiaalisesti ja harkitusti siten, että toisen ylläpitäjän pitää hyväksyä roolin käyttöönotto – on tehokas keino hillitä liian laajoihin oikeuksiin liittyvää jatkuvaa riskiä.
Jatkuva opastus, tietoisuuden nostaminen ja valvonnan pelote
Tyypillisimmin sisäinen riski ei realisoidu tarkoituksella, vaan vahingon tai huolimattoman tiedon käsittelyn seurauksena. Kun ihmisen käyttämät palvelut arjessa opastavat tiedon turvallisessa käsittelyssä ja auttavat välttämään pahimmat virheet, on tällä positiivinen riskinhallinnallinen vaikutus. Samalla organisaation sääntöjen vastainen toiminta korostuu teknisissä valvontatyökaluissa, kun harvempi työntekijä käsittelee tietoa miten sattuu.
Microsoft-maailmassa opastusta tiedon käsittelyyn tarjotaan Purview Data Loss Prevention -työkaluilla palveluissa, kuten Exchange Online, Teams, SharePoint Online ja OneDrive for Business, Fabric ja Power BI. Omat tietoisuutta nostavat DLP-apukeinot löytyvät myös Defender for Endpoint -hallituille Windows 10/11- ja macOS-päätelaitteille.
Toisaalta, kun ihminen ymmärtää, että käytäntöjen vastaisesta toiminnasta jää todennäköisesti kiinni (eli että toiminta näkyy ylläpidolle), laskee tämä omalta osaltaan merkittävästi riskiä toimia tietoisesti ei-toivotulla tavalla organisaation tiedon tai järjestelmien kanssa. DLP-kontrollit ja opasteet auttavat järkevästi suunniteltuina osaltaan luomaan ihmiselle uskottavan pelotteen tietoista organisaation vastaista toimintaa hillitsemään.
Kattava lokitus ja kyky tunnistaa tapahtumaketjuja sekä niiden konteksti
Tosielämän sisäinen uhka ei toteudu teknisesti pistemäisenä tapahtumana, vaan tunnistetaan valtavasta lokialtaasta yhdistelemällä relevantteja tietoja tapahtumasarjaksi – esim. sensitiivisiä tiedostoja kerätään ajan kanssa SharePointista työasemalle, jonka jälkeen ne siirretään kerralla USB-tallennusmedialle ja jätetään irtisanoutumisilmoitus.
Keskeisessä roolissa on myös ihmisen normaalitoiminnan mallinnus (ns. baselining) koneoppimisen avulla, jotta odottamattomat poikkeukset siihen voidaan liputtaa.
Ilman tekoäly- ja koneoppimisvetoista työkalua näiden tapahtumaketjujen tunnistaminen yrityksen skaalalla on epärealistista (ja vaatisi systemaattista yksittäisten työntekijöiden toiminnan seurantaa yksityisyyden suojaan liittyvine haasteineen). Tästä syystä aktiivista sisäisen riskin hallintaa tavoittelevan organisaation onkin syytä hyödyntää aputyökalua, kuten Microsoftin Insider Risk Managementia eli IRM:ää.
IRM:n tyyppiset työkalut elävät pääsystä kattavaan lokidataan, joka kattaa toiminnan halki palveluiden. Microsoftin palveluita käyttävien organisaatioiden onkin syytä varmistaa, että kaikki relevantit tekniset tapahtumat palveluittain lokitetaan, jotta lokeja voidaan hyödyntää riskien tunnistamisessa.
Tekniset tapahtumaketjut tunnistettuinakin tarvitsevat vielä ei-teknistä kontekstia, jotta ne voidaan ymmärtää, jonka vuoksi toimiva sisäisen riskin tiimi onkin tiiviisti yhteydessä myös esim. henkilöstöpalveluihin.
Tiedon suojaus tiedostotasolla ja tiedon elinkaari
Viime kädessä useimpien organisaatioiden arvokkainta omaisuutta on sen tieto, johon liittyvää riskiä hallitaan Microsoftin palveluissa:
- Tunnistamalla salaiset, luottamukselliset tai muutoin huomiota vaativat tiedot ja tiedostot Purview Information Protection Sensitivity Labeleilla.
- Varmistamalla tiedon säilyvyys ja siivoamalla pois operatiivisesti tai sääntelyn kannalta tarpeeton tieto Purview Data Lifecycle Managementin Retention Policyilla ja Labeleilla.
Näitä ja monia muita keinoja organisaatio voi hyödyntää sisältä tulevan hyökkäyksen tai riskialttiin toiminnan vaikutusten hallitsemiseksi. Haastankin miettimään, mitä sinun organisaatiosi tekee sisäisen riskin hallitsemiseksi.
Kuinka voimme auttaa?
Microsoft 365 -asiakkailla on parhaat mahdollisuudet varmistaa mm. ympäristön turvallinen hallinta, tiedon suojaus, päätelaitteiden suojaus, loppukäyttäjien identiteetti ja M365-palveluiden sekä muiden liiketoimintasovellusten turvallinen käyttö.
Kun haluat tarjota IT-ympäristön laajat mahdollisuudet optimaalisesti organisaatiosi liiketoiminnalle ja työntekijälle hallitusti, turvallisesti ja kustannustehokkaasti, sekä kehittää organisaatiosi osaamista, me olemme kumppanisi.
Tutustu palveluihimme ja hyödynnä pilven tuomaa turvaa omassa ympäristössäsi!
Artikkelin kirjoittaja
