21.11.2019 • Tietoturva
Yrityksen kyberturvallisuus: uhat, teknologia ja ihminen
Blogisarjani neljännessä osassa tarkastelen kyberturvallisuuden parantamista tämän päivän pilvipalveluihin liittyvien yleisimpien uhkakuvien kautta, jotka ovat tulleet vastaan tietoturvatyöpajoissa, joita olemme asiakkaillemme toimittaneet kuluneen syksyn aikana.
Löytyneissä uhkissa on varianssia asiakkaiden välillä, mutta pääsääntöisesti tietyt uhat ja puutteet uhilta suojautumisessa ovat toistuneet riippumatta siitä, minkä kokoinen yritys on ollut kyseessä tai mikä on ollut yrityksen toimiala. Sähköpostista on löytynyt huomattavia määriä haittakoodien saastuttamia liitteitä, kalasteluyritysten lukumäärät eivät viittaa pienenevään riskiin ja identiteetteihin kohdistuvia uhkia löytyi huolestuttava määrä (Password Spraying ja Credential Stuffing). Kuitenkin osassa yrityksiä sekä monivaiheinen tunnistautuminen että ehdollinen pääsynhallinta ja identiteettien suojaukset eivät olleet vielä käytössä koko henkilökunnalle syystä tai toisesta.
”Kyberturvan viimeinen puolustusmuuri”
Pääsääntöisesti tietoturvatyöpajoissa paljastui, että yrityksillä on hyvä tai kohtuullisen hyvä kyky havainnoida heidän pilvipalveluihinsa kohdistuvia uhkia. Samoin kyvykkyys reagoida löytyneisiin uhkiin on yleisesti hyvällä tasolla. Erityisen huomion kuitenkin ansaitsee tietoturvatyötä tekevien ihmisten ammattitaito, motivaatio työhön ja halu kasvattaa omaa ammatillista osaamista.
Nämä ammattilaiset ovat osa sitä kyberturvan viimeistä puolustusmuuria, jonka tehtävä on paikata ne aukot, jotka löytyvät teknisistä ratkaisuista. Kyberturvaosaaminen yhdistettynä oman organisaation toimintatapojen ja ihmisten tuntemiseen ja sitä kautta kyvykkyyteen arvioida tapahtuman, hälytyksen ja poikkeaman vaikutusta on arvokasta osaamista, jota ilman monen yrityksen kyberturva olisi huomattavasti alemmalla tasolla kuin se nyt on.
”Siis milloin tuo on tapahtunut? Miten tämä on käynyt?”
Kaikesta teknologiasta huolimatta vahinkoja tapahtuu. Kalasteluviestejä pääsee suodattimien läpi käyttäjien sähköposteihin. Joku tulee klikanneeksi kalasteluviestin linkkiä ja luovuttaa erehdyksissä käyttäjätunnuksensa ja salasanansa hyökkääjälle.
Tämän päivän tietoturvatyökaluilla ja tietoturvapalveluilla hyökkääjän yritykset käyttää anastettuja tietoja pilvipalveluihin kirjautumiseen huomataan ja estetään hyvin nopeasti. Mutta vain, mikäli kyseiset tuotteet on otettu kaikilla käyttöön, konfiguroitu oikein, niiden käyttö on opetettu, niitä operoivat ihmiset ovat saaneet tarvittavan koulutuksen ja kaikki tietävät mitä tehdä ongelmatilanteessa.
Saman voisi sanoa yksinkertaisemminkin: mikään tekninen tuote ei ole riittävä tietoturvaratkaisu, joten jokaisen yrityksen tulisi miettiä kuinka koko henkilökunta saadaan mukaan tietoturvatyöhön.
”Suunnittele, toteuta, arvioi ja paranna”
Väliotsikon mukainen ohje toimii sekä teknisiin ratkaisuihin että henkilöstön kouluttamiseen, riippumatta siitä missä roolissa ihminen yrityksessä työskentelee – tietoturva kun yksiselitteisesti kuuluu kaikille. Jos henkilökunnan mukaan ottamista on joskus aiemmin kokeiltu, eikä hanke edennyt aivan kuten toivottiin, niin nyt on hyvä aika kokeilla asiaa uudelleen.
Nyt, koska yritys toisensa jälkeen on menossa kohti uusia moderneja työnteon tapoja, jotka muuttavat sitä uhkakuvakenttää, jossa yritykset ovat tottuneet olemaan. Lisäksi muutos tarkoittaa sitä, että ne kyberuhat, joita yksittäinen ihminen kohtaa työssään on samoja, mitä hän kohtaa omalla ajallaan. Kyberturvallisuuden oppimisen kontekstuaalisuus löytyykin ihan toisesta kohtaa nyt kuin ennen.
”Who you gonna call?”
Joten, mitä jos suunniteltaisiin, toteutettaisiin, arvioitaisiin ja aikaa myöten paranneltaisiin yrityksen henkilökunnalle suunnattua koulutusta, jonka sisällössä huomioitaisiin eri rooleissa työskentelevät ihmiset? Toimitetaan koulutus suunnitellusti ja rakennetaan ihmisten osaamista sopivan kokoisissa paloissa luokkahuoneessa, webinaarissa, intran uutisella tai vaikkapa lyhyellä sähköpostilla. Jos tarvitset apua, niin tiedät kyllä mitä tehdä ja keneen ottaa yhteyttä.
Kuuntele tallenne webinaarista ”Näin teet tietoturvan koko henkilöstölle tutuksi”.
Lue blogisarjan ensimmäinen osa ”Tietoisuus lisää tuskaa, tieto ei”.
Lue blogisarjan toinen osa ”Saisinko yhden tietoturvakoulutuksen, kiitos”.
Lue blogisarjan kolmas osa ”Vältä kyberrikoksen uhriksi joutuminen – tunnista inhimilliset riskitekijät”.
Lue blogisarjan neljäs osa ”Yrityksen kyberturvallisuus: uhat, teknologia ja ihminen”
Marko Mikkola
Consulting & Training
Marko on tehnyt työtä asiakkaiden kyberturvan ja tietosuojan parissa parin vuosikymmenen verran. Markon vahvuuksiin kuuluu teknisen osaamisen lisäksi ymmärrys siitä, miten yritysten ihmisille tulee viestiä kyberturvasta ja tietosuojasta malleilla, joilla pyritään rakentamaan yrityksille ihmiskeskeinen kyberturvakulttuuri.