Digitalisaatio lisää kustannustehokkuutta ja kilpailukykyä, mutta puutteellinen ymmärrys datan hallinnasta voi lamauttaa koko liiketoiminnan. Tietoinen varautuminen estää kyberuhkia realisoitumasta kriiseiksi.
Maailmanpoliittinen tilanne digitalisoituvassa yhteiskunnassa on tehnyt kyberturvallisuuskysymyksistä kriittisiä jokaisessa organisaatiossa. Venäjän hyökkäyssota Ukrainaa vastaan ja Suomen Nato-jäsenyyskeskustelut ovat nostaneet kyberhyökkäyksien uhkatasoa, mutta uhat realisoituvat liiketoiminnallisiksi riskeiksi vain, jos niihin ei varauduta.
Arvaamattomasta ympäristöstä saadaan turvallinen, kun riskit tiedostetaan ja haavoittuvuudet tunnistetaan. Turvallisen teknologian lisäksi tarvitaan tietoisuutta tietoturvasta, riskianalyysiä ja seurantaa, jotta järjestelmien haavoittuvaisuuden aiheuttamat liiketoiminnalliset riskit voidaan ehkäistä.
Samalla nopeasti muuttuva maailma haastaa ennakoinnin, sillä esimerkiksi palvelunestohyökkäykset ja kiristysohjelmat kehittyvät samaa tahtia teknologian ja jatkuvasti uudistuvan sääntelyn kanssa. Elämme tilanteessa, jossa uusi normaali on se, ettei normaalia ole. Tämä kaikki tekee datapalveluntarjoajien asiantuntijuudesta ja globaalin tietoturvatilanteen ymmärryksestä entistäkin merkityksellisempää.
Jatkuva muutos kysyy organisaatioilta ja ihmisiltä uudenlaista valppautta. Tilanteisiin on varauduttava ja reagoitava nopeasti, jotta liiketoiminnan jatkuvuus voidaan turvata myös mahdollisissa kriisitilanteissa.
Kyberhyökkäykset kehittyvät koko ajan. Siksi on tärkeää seurata järjestelmää tehokkaasti ja puuttua normaalista poikkeavaan toimintaan ajoissa.
Kriisitön kyberhyökkäys
Kyberhyökkäys ei automaattisesti ole kriisi, mutta pahimmillaan se voi uhata koko organisaation olemassaoloa. Kriittisen datan suojaaminen ja liiketoiminnan kannalta keskeisten toimintojen jatkuvuuden varmistaminen poikkeustilanteessa minimoi vahingot vaaratilanteissa.
Ohjelmistot voivat aina olla haavoittuvaisia,
eivätkä organisaation keskeisimmät toiminnot saisi koskaan nojata vain niiden varaan. Esimerkkinä voi mainita Tanskan, jossa raideliikenne jouduttiin hiljattain pysäyttämään kyberhyökkäyksen seurauksena useiksi tunneiksi kokonaan, kun manuaalista mahdollisuutta rataympäristön seurantaan ei enää ollut. Kun varaudutaan ja harjoitellaan varautumista, paniikilta vältytään pahoissakin paikoissa.
Kyberhyökkäykset tulisikin nähdä digitalisaation liiketoimintamahdollisuuksien kääntöpuolena ja osana organisaatioiden normaalia arkea ja riskienhallintaa.Tämän päivän villissä kyberhyökkäyksien viidakossa on tärkeää ymmärtää, että läheskään kaikki tilanteet eivät ole kriisitilanteita. Liiketoimintoja hidastavia palvelunestohyökkäyksiä ja suurkatastrofin aineksia sisältäviä kiristysohjelmia varten on olemassa hyviä suojautumiskeinoja, jotka estävät yrityksen nujertamisen.
Kun mahdollisiin iskuihin on varauduttu etukäteen ja hälyttävät signaalit huomataan ajoissa, säilyy toimintavarmuus kriisin keskelläkin.
Enää keskittyminen pelkästään hyökkäyksien estoon ei riitä, sillä iskut kehittyvät koko ajan. Keskeistä on, että järjestelmää seurataan tehokkaasti, jotta normaalista poikkeava toiminta huomataan ja sen pohjalta tehdään tarvittavat toimenpiteet riittävän ajoissa.
Video is blocked
Tehokkaan ja turvallisen kehityksen ristitulessa
Teknologian nopea kehitysvauhti sekä sen rinnalla alati uudistuvat sääntelytoimenpiteet tekevät tietoturvakysymyksiin varautumisesta taitolajin. Paine tehokkuutta edistävän modernin teknologian ripeään käyttöönottoon ja uusien liiketoimintasovellusten lanseeraukseen voi houkutella oikaisemaan turvallisuuskysymyksissä.
Turvallisuus luodaan tuotekehitysvaiheessa, eikä tietoturvaa voi jälkeenpäin ripotella mausteena päälle. Kiire sovellusten kehittämisessä voi muodostua vakavaksi liiketoimintauhaksi tulevaisuudessa. Tehokkuusvaatimukset ja ihmisen oma toiminta ovatkin paljon suurempi tietoturvariski kuin teknologia itsessään, vaikka kyberturvallisuuskeskustelu onkin usein teknologiapainotteista. Tarvitaan yhteistä tahtotasoa turvalliseen kehittämiseen eurooppalaisen datatalouden mukaisia arvoja kunnioittaen.
Euroopan Unionin asettama henkilötietosuojalaki GDPR pyrkii turvaamaan kansalaisten itsemääräämisoikeuden datamarkkinoilla, mutta Euroopan ulkopuolisten digijättien hallitsemalla toimintakentällä sääntely on osoittautunut riittämättömäksi. Uusia keinoja suojata kriittisen tiedon päätymistä ulkopuolisen käsiin etsitään jatkuvasti, eivätkä ratkaisut ole yksioikoisia.
Se, mikä on kaikkein turvallisinta, ei välttämättä ole käytännöllistä tai edes mahdollista. Sääntelyn rinnalla keskeistä onkin riskianalyysiin perustuva datanhallinta, jossa oleellista on erottaa kriittinen tieto ja sijoittaa data sekä kustannusten että turvallisuuden näkökulmasta tarkoituksenmukaisimpaan paikkaan.
Julki, sulki vai sekä että?
Kriittisen tiedon erottaminen edellyttää huolellista riskikartoitusta ja ymmärrystä alati muuttuvan sääntelyn monimuotoisesta luonteesta sekä ajankohtaisista tieto- ja kyberturvakysymyksistä.
Riskianalyysin lähtökohtana on tunnistaa liiketoiminnan kannalta kaikista tärkeimmät asiat ja konkurssille altistavat uhat ja suojata ne järeillä konsteilla. Jos esimerkiksi kiristysohjelma estää kaupan kassan käytön ja sulkee liikkeen sesonkiaikaan moneksi viikoksi, liiketoiminta kriisiytyy. Kriisiin varaudutaan ennaltaehkäisevästi varmistamalla käteismaksujen vastaanotto mahdollisissa hyökkäystilanteissa, jolloin liikettä ei tarvitse sulkea kokonaan, Nordgren kuvailee riskikartoituksen merkitystä esimerkin avulla.
Tietoevry räätälöi asiakkaillensa pilvipalvelut riskianalyysin perusteella siten, että suomalaisten organisaatioiden arkaluontoista tietoa hallitaan ja käsitellään suvereenissa pilvessä Suomen rajojen sisäpuolella, jolloin ulkopuolisilla ei ole mahdollisuutta päästä siihen käsiksi. Julkipilveen sijoitetaan dataa usein toiminnallisista syistä, ja sijoitettavan datan kanssa huomioidaan datan arkaluonteisuus ja – jälleen kerran – riskikartoituksen tulokset. Sanomattakin lienee selvää, että myös julkipilvessä oleva data tulee suojata asianmukaisesti.
Suvereenissa pilvessä tietoturvan suojaaminen keskittyy haittaohjelmiin ja pääsyn hallintaan, julkipilvessä puolestaan analysoidaan käyttäjiä ja poikkeavaa toimintaa. Teemme valinnat monipilviratkaisuillamme asiakkaillemme helpoksi, jolloin tieto on suojattu sen vaatimalla tavalla riippumatta siitä, minkälaista pilviratkaisua käytetään.
Tietoturvariskien realisoitumisen taustalla on tyypillisesti ihmisen tiedostamattomuus ja toiminnan välinpitämättömyys.
Tieto turvaa tuloksen
Tietoturvariskien realisoitumisen taustalla on tyypillisesti ihmisen tiedostamattomuus ja toiminnan välinpitämättömyys. Uudessa maailmantilanteessa ajattelemattomuuden seuraukset voivat olla mittavia.
Laiskuudesta johtuvia laiminlyöntejä tapahtuu jatkuvasti salasanojen ja käyttäjätunnusten asettamisessa, tietokoneen lukitsemisessa, sähköpostilinkkien käsittelyssä ja yritysasioiden hoitamisessa julkisissa tiloissa. Ihmiset tarvitsevat jatkuvaa muistuttamista varuillaan olon merkityksestä. Se voi olla koulutusten lisäksi esimerkiksi pieniä turvallisuusneuvoja ruudulla näytönsäästäjän aktivoituessa.
Kyberuhkien maailmassa tieto lisää turvaa ja tiedostamaton toiminta torjutaan asiantuntemuksella. Vastuu riskeistä on aina yrityksellä itsellään, mutta kokeneen ja sertifioidun ammattilaisen apu on varmin tapa välttyä katastrofeilta.
Autamme organisaatioita löytämään tasapainon tietoturvatason, kustannusten ja palvelujen käytettävyyden välillä.
Artikkeli on alunperin julkaistu Content Housen tuottamassa asiantuntijajulkaisussa Helsingin Sanomien yhteydessä. Kirjoittaja: Mari Korhonen. Muokkaukset blogimuotoon: Tietoevry.
Tietoevry Tech Talks 7.3.2023
What is the hype around digital sovereignty and sovereign cloud?