Serpentiini
Uutinen

Siirtääkö koronavirus yritysten digitaalisen turvallisuuden hyllylle?

31.8.2020 klo 13.18
Verkkorikollisuus ja -vakoilu sekä kyberhyökkäykset ovat aito uhka suomalaisillekin yrityksille – myös korona-aikoina. Yritysjohdon on tunnistettava tarpeet liiketoiminnan kannalta keskeisen tiedon turvaamisessa. Se on kriittinen edellytys toimintakyvyn ylläpitämiselle digitalisoituneessa yhteiskunnassa kaikissa tilanteissa.

Se, ettei Suomessa ole juuri nähty merkittäviä kyberhäiriöistä tai -hyökkäyksistä, on tietysti hyvä asia. Häiriöiden rinnalla teollisuusvakoilu on näkymättömämpää mutta voi aiheuttaa pitkäaikaisempia ja suurempia vahinkoja liiketoiminnalle. Verkkorikollisuus ja hyökkäykset ovat todellinen uhka jokaiselle yritykselle, vaikka tapauksista ei julkisuudessa keskustellakaan. Koronan aiheuttama poikkeustila on ollut epävarmuudesta ja yleisestä hämmennyksestä hyötyvien rikollisten kulta-aikaa, eikä liian ruusuinen kuva tilanteesta kannusta yrityksiä tarvittavaan varautumiseen. Isotkin yritykset ovat joutuneet tuhoisien tai ainakin kalliiden kiristyshyökkäysten uhreiksi.

On tärkeää ymmärtää yrityksen ja järjestelmien toiminta sekä vastuut kumppaneiden välillä

Liiketoimintaan kohdistuvien uhkien ja riskien hahmottamisessa lähdetään liikkeelle siitä, että ymmärretään yrityksen toiminta mahdollisimman hyvin. Vain siten on mahdollista arvioida, mikä tieto on arvokasta ja suojattavaa. Digitaalisen turvallisuuden kannalta on hyvä huomata, että teknisiksi mielletyt asiat linkittyvät monesti suoraan liiketoiminnan ytimeen ja tekevät näin yrityksen voimavarasta sen heikkouden. Se, mitä yritys tekee vaikuttaa luonnollisesti siihen, mikä tieto on arvokasta ja suojattavaa sekä millaisia uhkia ja riskejä siihen liittyy.

Verkkorikolliset pyrkivät hyötymään yrityksen kannalta kriittisestä tiedosta esimerkiksi kiristyshaittaohjelmien ja ns. big game huntingin kautta. Esimerkiksi valuutanvaihtoyhtiö Travelex joutui alkuvuodesta kyberhyökkäyksen kohteeksi, kun hakkerit kiristivät yhtiötä asiakasdatan julkaisemisella. Viime aikoina on puhututtanut myös Garminiin kohdistunut isku, jossa julkisuudessa olleiden tietojen mukaan yhtiöltä kiristettiin 10 miljoonan dollarin lunnaita.

Liiketoimintatiedon arvoa on vaikea mitata, ja hyökkäykset sitä kohtaan eivät ole näkyviä. Teollisuusvakoilun aiheuttamat vahingot ovat mittavia: EU:n vuonna 2018 teettämän selvityksen mukaan kybervakoilun yhteydessä varastetut tiedot synnyttivät 60 miljardin euron ja noin 290 000 työpaikan mahdollisen menetyksen. Rikollisten lisäksi taloudellisen tiedon hankkiminen, usein myös teollisuusvakoilu, voi olla yhtenä valtioiden tiedusteluorganisaatioiden tehtävistä.

Toinen keskeinen yrityksen digitaalisen turvallisuuden kehityskokonaisuus on omien it-ympäristöjen ja järjestelmien ymmärtäminen sekä hallinta. Etätyö lisääntyi keväällä koronatilanteen vuoksi räjähdysmäisesti. Etätyöajassa korostuvat yrityksen tietojärjestelmien toteutustapa ja niiden käyttömahdollisuudet suojatun verkon ulkopuolisista yhteyksistä, kuten kotoa. Teollisuusyrityksissä huomio keskittyy myös tuotantoon ja sitä ohjaaviin automaatiojärjestelmiin. Korona-pandemia-aika on mahdollisesti aiheuttanut myös viiveitä päivityksissä ja ylläpidossa.

Ympäristöjä ja järjestelmiä ei voi tehokkaasti suojella, ellei niitä tai niiden häiriöiden vaikutuksia omaan toimintaan ymmärrä. Pahimmassa tapauksessa kaikki järjestelmässä näyttää toimivan moitteettomasti, mutta silti se tuottaa esimerkiksi virheellisiä tuloksia tai vääriä ohjaussignaaleja teollisuusautomaatiolle. Digitaalisissa ympäristöissä tehdyillä hyökkäyksillä ja ongelmilla voi olla hyvin konkreettisia ja monitahoisia vaikutuksia.

Kolmantena kriittisen tarkastelun kohteena tulisi olla omat kumppanuudet ja niihin liittyvät sopimukset digitaalisen turvallisuuden näkökulmasta. Esimerkiksi it-palveluja ostettaessa on hyvä olla tietoinen siitä, mitkä asiat ovat palveluntarjoajan vastuulla ja mistä yritys vastaa itse. Ohjelmistopäivitysten tekemiseen liittyvät vastuut toimivat hyvänä esimerkkinä. Päivitykset ovat usein välttämättömiä järjestelmien turvallisuuden takaamisessa. Toisaalta päivityksillä ei saa aiheuttaa yhteensopivuusongelmia muiden järjestelmässä olevien ohjelmistojen kanssa. Myös päivitysten mahdollisesti aiheuttamat katkot tulee sopia ja ajoittaa toiminnalle sopivasti. 

Pilvipalveluiden turvallisuudesta puhutaan usein. Erilaiset pilvipalveluntarjoajat, kuten Google, Amazon tai Microsoft investoivat mittavasti palveluidensa turvallisuuteen. Koska palveluiden käyttöönotto halutaan kuitenkin tehdä käyttäjälle mahdollisimman helpoksi, kaikki suojausmekanismit eivät ole automaattisesti käytössä. Asiakkaan täytyy siis itse ottaa toimintansa kannalta tarkoituksenmukaiset suojausmekanismit käyttöön. Esimerkiksi monivaiheinen käyttäjän tunnistus on tarjolla monessa palvelussa. Siitä ei kuitenkaan ole apua, jos sitä ei ole aktivoitu ja jos yrityksen henkilöstö ei sitä käytä.

Palvelutasoista sopiminen on keskeinen osa häiriötilanteisiin varautumista. Vaikka järjestelmät ja verkot on tehty luotettaviksi, häiriöitä voi esiintyä. Teknisiä varmennuksia ja palvelutasoja määriteltäessä sekä kustannuksia että resursseja kohdennettaessa kohteille kannattaakin tehdä kriittisyysarviot. Keinovalikoima kohteen turvaamiseksi on laaja, esimerkkeinä kahdennukset tai palvelutasot. Suurempi ja nopeampi jatkuva valmius vaatii moninkertaisesti resursseja ”normaalityöaikana” tuotettuun peruspalveluun nähden. Kriittisyysarvion pohjalta on helpompi valita sopiva palvelutaso.

Harjoittelu auttaa varautumaan ja sitä voi tehdä monella tavalla

Hyvin suunniteltu harjoitus on erinomainen keino oppia sekä testata omaa ja yhteistyökumppaneiden toimintaa hallitussa ja turvallisessa ympäristössä. Harjoituksia on monenlaisia. Yksinkertaisimmillaan se voi tarkoittaa sitä, että mietitään mahdollinen tapahtumakulku ja keskustellaan siitä yhdessä kahvipöydän ääressä: nyt tapahtuu näin, mitkä ovat vaikutukset ja miten me tässä tilanteessa toimimme. Nopeilla työpöytäharjoituksilla pystyy hyvin arvioimaan esim. koronatilanteen johdosta tehtävien toimenpiteiden vaikutuksia.

Yksi vaihtoehto voi olla pelillisempi toteutus, jossa roolit jaetaan tiimeittäin. Toinen tiimi miettii taustatarinan ja siihen liittyviä tilanteita, toinen pääsee ratkomaan, miten tilanteissa toimitaan. Tarkoitus on harjoittaa sitä, miten toimintaa johdetaan ja poikkeustilannetta hallitaan, miten siitä viestitään ja miten yhteydet viranomaisiin, asiakkaisiin ja kumppaneihin hoidetaan.

Yrityksille on lisäksi tarjolla teknisempiä harjoituksia, jolloin esimerkiksi simuloiduissa järjestelmissä voidaan kokeilla häiriötilanteissa toimimista. Omia järjestelmiä ja toimintaa voidaan testata myös niin sanottujen Red team -hyökkääjien, eli tietoturvan heikkoja kohtia etsivän tiimin, avulla.

Koska yritykset toimivat osana asiakkaiden, toimittajien, viranomaisten ja muiden erilaisten sidosryhmien verkostoa, tulee harjoituksesta vieläkin hyödyllisempi, jos sidosryhmiä saadaan mukaan. Yhteisen toimintakyvyn lisäksi onnistunut harjoitus on hyvä tapa lisätä keskinäistä ymmärrystä ja luottamusta.

Yrityksen omien harjoitusten lisäksi järjestetään myös isoja yhteistoimintaharjoituksia laajasti yhteiskuntaan vaikuttavien kyberhäiriöiden varalle. Tällainen harjoitus on myös TIETO20, Digipoolin järjestämä yritys- ja viranomaisharjoitus, joka keskittyy sektorirajat ylittävän johtamisen ja yhteistyön vahvistamiseen. Näin laajamittainen yhdessä harjoittelu auttaa parantamaan toimijoiden yhteistoimintaa.

Kaikessa harjoittelussa on yleensä mukana neljä elementtiä: harjoituksen kohteena oleva tilanne, sen vaatimat toimenpiteet, viestintä ja johtaminen. Harjoittelulla pyritään siis selvittämään, minkälainen poikkeustilanne on käsillä, mitä tilanteessa tehdään, miten siitä viestitään ja miten sitä johdetaan. Harjoituksen päätteeksi huomiot ja opit kootaan yhteen toiminnan kehittämiseksi.

Harjoitusten kesto vaihtelee muutamasta tunnista useisiin päiviin. Niiden etuihin kuuluu se, että niissä havaitut asiat ovat usein hyvin konkreettisia ja huomiot auttavat sujuvoittamaan toimintaa mahdollisissa tositilanteissa.

Tärkeimpien asioiden turvaaminen kuuluu johdon vastuisiin

Yrityksen ei tarvitse itse koodata omaa virustorjuntaansa, eikä toimitusjohtajan tarvitse ymmärtää, kuinka se rakennetaan. Sen sijaan yrityksen johdon vastuulla on oikeiden kysymysten esittäminen ja yritykselle kriittisten asioiden suojaaminen. Johdon tehtävänä on olla selvillä riskeistä, kysyä, kyseenalaistaa ja vaatia.

Digitaalisella turvallisuudella pyritään varmistamaan liiketoiminnan jatkuvuus. Siksi digitaalisten ratkaisujen tulee perustua ymmärrykseen yrityksen toiminnasta, toimintaympäristöstä ja kumppaneista – kaikissa tilanteissa.

Oikeiden kysymysten esittämiseen saa apua mm. Kyberturvallisuuskeskuksen Kyberturvallisuus ja yrityksen hallituksen vastuu -oppaasta.

 

Kirjoittaja: Jaakko Wallenius, Elisa CSO

Jaakko on Turvallisuusjohtajana Elisa:lla, sekä toimii Digipoolin Kyberryhmän puheenjohtajana.