Kyberturvan kipupisteet 2017 – ota haltuun nämä osa-alueet

Lukuaika 3 min

Amerikkalainen kyberturvallisuuden huippuasiantuntija Chris Fogle kävi Suomessa Elisan vieraana. Hän patistaa yrityksiä asennemuutokseen.

Kyberuhkien olemassaolo kyllä tiedostetaan jo, mutta käytännön toimenpiteisiin ryhtymisessä on vielä toivomisen varaa. Uhkia ei oteta edelleenkään tarpeeksi vakavasti.

Chris Foglen erikoisosaamista on kyberturvallisuuden taktisen ja operationaalisen valmiuden kehittäminen.

Mies on entinen Yhdysvaltain ilmavoimien upseeri, joka on auttanut myös Kotimaan turvallisuuden ministeriötä (U.S. Department of Homeland Security, DHS) kyberhyökkäyksiltä puolustautumisessa. Nyt hän hyödyntää monipuolista kokemustaan yritysmaailman tukena.

Chris Fogle
Chris Fogle hyödyntää monipuolista taustaansa ja osaamistaan kyberturvahaasteiden ennakoimisessa sekä ratkaisemissa

Chrisin näkemyksen mukaan tietoisuus on parantunut yrityksissä niin kyberympäristön uhkatekijöistä kuin niiden liiketoiminnallisista vaikutuksistakin.

Siihen on kuitenkin vielä matkaa, että yrityksissä säännönmukaisesti laadittaisiin, testattaisiin ja otettaisiin käyttöön suojautumissuunnitelmia. Valtaosa yrityksistä ei vieläkään pidä kyberhyökkäyksiä todellisena uhkana.

Kyberrikollisuus ei kuitenkaan katso yrityksen sijaintia, kokoa tai toimialaa. Se on maailmanlaajuista, systemaattisesti harjoitettua toimintaa, jota ohjaavat vahvat liiketaloudelliset kannustimet.

Helppo kohde on aina kiinnostava, ja jo yhden hyökkäyksen vahingot saattavat olla kohdeyrityksen liiketoiminnan kannalta kohtalokkaat.

”Kyberhyökkäyksen vaikutus on aina merkittävä”, Chris toteaa. ”Entistä parempi varautuminen lähtee siitä, että yritykset jakavat keskenään enemmän tietoa niin uhkatekijöistä kuin suojautumiskäytännöistäkin.”

Hän kantaa oman kortensa kekoon listaamalla neljä kyberturvallisuuden osa-aluetta, joihin jokaisen yrityksen olisi juuri nyt syytä kiinnittää erityistä huomiota omien järjestelmiensä ja liiketoiminnan jatkuvuuden turvaamiseksi.

1. Lunnashaittaohjelmat – omaan nilkkaan ammutaan edelleen

Lunnashaittaohjelmat ovat nopeimmin kasvava tietoturvarikollisuuden haara, jonka uudelleentulemisen takana ovat Bitcoinin kaltaiset virtuaalivaluutat; maksun saajan tiedot pysyvät salassa, lunnaat kasvaneet ja haittaohjelmien määrä suorastaan räjähtänyt.

Lunnashaittaohjelmat on helppo tunnistaa ja torjua, mutta suurin uhka piileekin edelleen käyttäjissä. Chrisin mukaan epäilyttävien linkkien klikkaaminen ja haittaohjelmien omaehtoinen lataaminen on edelleen varsin yleistä.

Tietoturva, varmuuskopiointi ja henkilöstön koulutus ovatkin suojautumisen kannalta avainasemassa. Mitä paremmin niistä huolehditaan, sitä epätodennäköisempää on, että joutuu edes harkitsemaan lunnaiden maksua.

2. Proaktiiviset turvaoperaatiot – hunajapurkki houkuttelee verkon sisällä

Yhä useampi uhkatekijä lymyilee jo valmiiksi yrityksen verkossa odottaen sopivaa tilaisuutta haitantekoon. Tämän vuoksi myös niiden jahtaaminen on siirtynyt palomuureilta verkon sisäpuolelle: verkkoa on hyvä silloin tällöin hieman ravistella, jotta nähdään, onko suojauksen läpi päässyt jotain sopimatonta.

Verkossa piileskeleviä, iskumahdollisuutta väijyviä haittaohjelmia, viruksia ja muita tietojen kalasteluvälineitä houkutellaan esiin esimerkiksi aidon näköisiksi laadituilla ansaverkoilla, joita kutsutaan kuvaavasti hunajapurkeiksi (honeypots). Jäljittäminen ja jahti edellyttävät keskimääräistä enemmän osaamista, kärsivällisyyttä, riskinsietokykyä ja kekseliäisyyttä. Onnistuessaan ne tuottavat kuitenkin hyödyllisen saaliin.

3. Hallintajärjestelmät ja IoT – uusi turvallisuuspainajainen?

Tietokoneet kontrolloivat yhä useampia yhteiskunnan toimivuuden kannalta kriittisiä toimintoja kuten sähköverkkoja, ydinvoimaloita, öljy- ja kaasuputkia, junaliikennettä, teollisuuden prosesseja ja yleistä turvallisuutta.

On sanomattakin selvää, että näiden järjestelmien turvaaminen kyberhyökkäyksiltä on ensiarvoisen tärkeää.

Tähän liittyvä uhkatekijä on teollinen internet, jota Chris nimittää sopivasti kärjistäen ”uudeksi turvallisuuspainajaiseksi”. Uhka syntyy, kun tietoverkkoihin liitetään jatkuvasti laitteita, joiden suunnittelu- ja valmistusprosesseissa ei ole otettu huomioon tietoturvaa millään tavalla ja joiden protokollat ovat standardoimattomia.

Markkinoille kiihtyvää tahtia julkaistavien uutuuksien kaikista ominaisuuksista ei tietoturva-alan ammattilaisillakaan voi olla riittävää kokemusta. Kaiken kaikkiaan IoT onkin Chrisin mukaan hyvin kiintoisa seuraamisen kohdemikä ei tässä yhteydessä välttämättä lupaa positiivista kehitystä.

4. Kolmannen osapuolen uhat – kyllähän me, mutta kun nuo muut…

Vaikka yritys huolehtisi omien järjestelmiensä tietoturvasta esimerkillisesti, se ei yksin riitä. Luottamuksellista tietoa hallussaan pitävät kolmannet osapuolet saattavat osoittautua kanaviksi, joiden kautta arkaluonteista tietoa päätyy vääriin käsiin.

Tyypillisiä esimerkkejä ovat tili- ja lakiasiaintoimistot, pankit ja muut palvelujen ja tarvikkeiden toimittajat. Kumppanikandidaattien tietoturvavalmius selvitetään valitettavan usein hyvin yleisellä tasolla. Chris suosittelee tarkkaa käytäntöjen määrittelyä ja arviointia, ja jopa yhdessä toteutettuja harjoituksia sekä suojautumiseen että tietojen palauttamiseen liittyen.

Asennemuutoksen kautta käytännön toimiin

Suomalaisyrityksilläkin riittää siis tekemistä, kun kyberturvasuunnitelmia laaditaan kasvavien uhkatekijöiden ristiaallokossa. Chris Fogle toteaa, että hyvin paljon on kiinni oikean osaamisen ja työkalujen tehokkaasta valjastamisesta oikeiden asioiden tekemiseen. Kaikki lähtee uhkien tiedostamisesta ja siitä kumpuavasta asennemuutoksesta.

”Uhkat kasvavat koko ajan, mutta asiantuntijoiden avulla löytyvät myös suojautumiskeinot. Pahin mahdollinen virhe on olettaa, että juuri sinun yrityksesi olisi se, jota tämä kaikki ei koske.”


 
Lue lisää siitä, miten Elisan Kyberturvakeskus voi auttaa liiketoiminnan turvaamisessa.
 


Lue myös

Kyberturvaharjoittelu – realistisia uhkia labrassa

Kyberhyökkäyksen anatomia – näin tapahtuu tietomurto

Kyberrikollisuus yleistyy – onko yrityksesi varautunut siihen?

Katsaus toteutuneisiin kyberturvauhkiin ja vallalla oleviin trendeihin – onko mikään muuttunut?