Tietoturvallisuudessa huolehditaan muustakin kuin tiedon turvallisuudesta

Tietoturvallisuudesta puhutaan tänä päivänä paljon, ja hyvä niin. Yrityksissä kaivattaisiin kuitenkin enemmän ymmärrystä siitä, ettei tietoturvallisuudessa ole kyse vain tiedon turvallisuudesta. 

Ohjelmistotekniikan professori Ville Leppäsellä Turun yliopistosta ei ole asiasta tarkkaa tutkimustietoa, mutta hän arvelee, että tietoturvallisuuden ylläpito on yleisesti ottaen yrityksissä aika hyvällä tolalla, varsinkin, jos se on ulkoistettu pätevälle ulkopuoliselle toimijalle, joka seuraa tietoturvallisuuden tasoa koko ajan.

– Pienet ja aloittelevat yritykset, joilla ei ole alkutaipaleella vielä kauheasti resursseja ja jotka yrittävät itse huolehtia asioista, saattavat olla siinä suhteessa heikoimmassa tilanteessa.

Olennainen asia, mikä Leppäsen mukaan pitäisi kuitenkin nostaa esille yritysten tietoturvallisuudesta puhuttaessa, on se, mitä tietoturvallisuus itse asiassa pitää sisällään.

– Helposti ajatellaan, että kyse on vain yrityksen omien tietojen ja järjestelmien turvaamisesta sen sijaan, että nähtäisiin tietoturvallisuus laajemmin osana yrityksen toimintaa, tuotteita ja palveluja ja myös sen asiakkaita koskevana asiana, johon kuuluvat tuotteisiin ja palveluihin liittyvät toiminnallisuudet.

Etenkin pk-yritysten, jotka toimivat isompien yritysten alihankkijoina, tulisi Leppäsen mukaan ymmärtää, että tietoturvallisuuden ylläpito on tärkeää myös heidän asiakkaidensa ja näiden asiakkaiden kannalta.

– Yritysten järjestelmät linkittyvät nykyään toisiinsa. Asiakasyrityksillä ja heidän asiakkaillaan tulisi voida olla luottamus siihen, että heille tuotteita ja palveluja tuottavat yritykset varmistavat tietoturvallisuuden säilymisen omalla huolellisella toiminnallaan. Pienempi alihankkijayritys ei saisi muodostua siksi heikoksi lenkiksi, jonka kautta vihamielinen taho pääsee hyökkäämään isompaan yritykseen.

Tietoturvallisuuden resurssit – mitä ne ovat?

Järjestelmien tietoturvallisuudessa keskeisiä asioita ovat resurssien luottamuksellisuus, eheys ja saavutettavuus. Yritysmaailmassa ongelma on siinä, miten resurssit ymmärretään.

– Resurssien ymmärtämisen ongelma on, että resurssit ymmärretään usein kapeasti koskemaan vain tietokannassa olevaa tietosisältöä. Laajempi ja oikeampi näkemys resursseista on kuitenkin, että kaikenlainen toiminnallisuus, joka järjestelmiin liittyy, on yhtä lailla resurssi, joka tulisi suojata. Haittakoodit iskevät juuri suoritusjärjestelmän toiminnallisuuksiin ja rikkovat sen eheyttä.

Yritysten tulisi siis teknisiä ratkaisuja asiakkailleen toimittaessaan miettiä myös näiden ratkaisujen turvallisuutta.

– Yrityksen pitäisi asettua tilaajan bisneksen rooliin ja ymmärtää asiakkaana olevan yrityksen liiketoimintaa ja asiakkaan asiakkaita, jotka käyttävät näitä ratkaisuja ja huomioida se ratkaisuissaan sen sijaan, että pitäydytään vain oman yrityksen kontekstissa.

– Vaikka omat tiedot eivät ehkä olisikaan kiinnostavia, ei se ole syy laiminlyödä tietoturvallisuutta. Omat ratkaisut kun saattavat vaarantaa asiakkaana olevan isomman yrityksen.

Alihankkijayritykset käyttävät usein myös isomman yrityksen järjestelmiä. Leppänen ottaa esimerkiksi laivanrakennusteollisuuden, jonka hankkeissa on paljon alihankkijayrityksiä ja huipulla telakka. Siellä yhteen samaan järjestelmään on liitetty piirustuksia, joihin moni taho pääsee käsiksi. Järjestelmät linkittyvät toisiinsa, ja tietoa kuljetetaan järjestelmästä toiseen. 

– Jos mietitään laivojen piirustuksia, niin ne ovat hirvittävän arvokkaita, minkä vuoksi alihankintayritysten ja niiden tietojärjestelmien pitäisi olla toiminnallisuuksia myöten suojattuja, jottei ulkopuolinen taho pääsisi tunkeutumaan niihin.

Mihin uhkiin yritysten kannattaa varautua?

Suurimmat tietoturvallisuusuhat tällä hetkellä ovat ENISAn, Euroopan unionin verkko- ja tietoturvaviraston mukaan kiristysohjelmat, palveluestohyökkäykset ja yrityksen tietojen varastaminen, jos yrityksellä on esimerkiksi arvokkaita tuotekehitystietoja. 

Vaikka kaikilla yrityksillä ei sellaista tietoa olekaan, joka olisi tarpeeksi arvokasta varastettavaksi, ei tietoturvallisuuden eheyden merkitystä kannata niissäkään siis vähätellä.

– Alihankintaketjun kautta voidaan mennä varsinaiseen kohteeseen sisälle käyttämällä hyväksi alihankkijana toimivaa pienempää yritystä, Leppänen toteaa. Toinen asia, minkä Leppänen haluaa nostaa esiin, on yksityisyys, mihin saatetaan suhtautua joskus vähemmän vakavasti.

– Yrityksissä tulisi olla selkeästi huomioituna vallitseva regulaatio (GDPR) ja panostaa asiakkaan tietojen yksityisyydestä huolehtimiseen sekä huolehtia toisille yrityksille toimitettavien ratkaisujen olevan kestäviä myös yksityisyysmielessä. 

Toimintojen estämiseen ja kiristystilanteisiin kannattaa varautua ja teettää varmuuskopioita säännöllisesti, jotta se aikaikkuna, jolloin materiaalia saattaa mennä hukkaan, olisi mahdollisimman pieni.

– Tietoturva-asiantuntija Mikko Hyppönen on useasti antanut käytännöllisen neuvon, että kiristystilanteista selviää usein ihan vain maksamalla. Kiristäjät ovat ymmärtääkseni tässä suhteessa kohtuullisen luotettavia ja vapauttavat yleensä tiedot takaisin maksun saatuaan, Leppänen kertoo. Yritysten täytyisi myös ymmärtää, että tietoturva on jatkuvaa toimintaa. Sitä ei voi laittaa kerran kuntoon ja unohtaa sen jälkeen, vaan järjestelmien kuntoa pitää seurata jatkuvasti.

– Ei voi vain luottaa, vaan pitää luottaa ja tarkistaa, trust and verify, kuten alalla sanotaan. Seurata lokitiedostoja ja uutta tietoa tunnistetuista haavoittuvuuksista, varmistaa, että ratkaisut ovat edelleenkin luotettavia ja jos eivät ole, niin päivittää niitä.

Etätyö uhka?

Lisääntyneeseen etätyöhön liittyvät tietoturvallisuuden kannalta omat uhkansa. Leppänen kertoo, että on jo raportoitu tietoturvaongelmien lisääntyneen etätöiden myötä. Leppäsen mukaan etätyöhön liittyvä suurin ongelma on se, että työtä tehdään ajoittain omilla välineillä.

– Kun työntekijä käyttää työnantajan välineitä, joissa on turvalliset VPN-ratkaisut, tilanne ei ole yleensä sen ongelmallisempi kuin lähityössäkään. Tietoturvallisuus vaarantuu, kun käytetään omia tietoteknisiä laitteita, jotka eivät ole samalla lailla suojattuja. Tätä kannattaisikin teroittaa työntekijöille entistä enemmän. 

Teksti: Tiina Raatikainen
Kuva: Freepik