VerifyOnComputer

WaitingForVerification PressToOpenBankId
Back

EnterPersonalIdentityNumber

Back

VerifyOnMobile

WaitingForVerification
Back

 

Rikollisuus saa yhä uusia muotoja – näin yritykset voivat varautua kyberuhkiin

Kenellekään ei tulisi mieleen jättää tehtaan ovia selko selälleen tai säilyttää auton avaimia virtalukossa. Yhtä syvältä selkärangasta pitäisi löytyä yrityksen kyber- ja tietoturvallisuuteen liittyvät toimintatavat.

Kari Westermanin ura tietoturvan parissa alkoi jo 1990-luvun lopulla Abloyn tehtaan konesalien järjestelmäasiantuntijana ja eteni monipuolisiin alan tehtäviin eri työnantajien kuten maanrakennusyritys E. Hartikaisen palveluksessa. Puhelu tavoittaa Westermanin hänen kotikonnuiltaan Liperistä Joensuun seudulta, mistä hän työskentelee IT-palveluyhtiö Goforen hallinnollisen tietoturvan konsulttina ja kouluttaa pk-yritysten johtajia kyberturvallisuudesta ja tietoturvasta.

Ensi alkuun Westerman selventää käsitteitä. Keskustelua pitäisi hänen mielestään laajentaa kyberturvallisuudesta tietoturvaan:

– Kyberturvallisuus tarkoittaa ennen kaikkea teknisten laitteiden, ohjelmistojen ja tietojärjestelmien hallintaa ja suojausta, mutta tietoturva kattaa myös hallinnollisen puolen eli keskeiset prosessit, politiikat ja riskit. Tämä usein unohtuu, vaikka jokaisen yritysjohtajan ja hallituksen pitäisi ehdottomasti huomioida myös hallinto.

Fyysinen tietoturva tarkoittaa esimerkiksi kulunvalvontaa, avaimia, kameravalvontaa ja vartiointia. Perinteiseen tekniseen tietoturvaan kuuluu mm. virustorjunta, palomuurit ja muut toimet, joilla suojataan yrityksen tietoja ja järjestelmiä. Ohjelmistotason tietoturva käsittää tietoturvallisen ohjelmistokoodin tuotannon. Tuotannon tasolla on lukuisia sulautettuja järjestelmiä, jotka ottavat yhteyksiä internetiin ja joita täytyy suojata. Erimerkiksi ajoneuvot ja koneet lähettävät laitevalmistajalle tietoja, joita käytetään diagnostiikkaan ja korjauksiin.

Tietoturvan heikoin lenkki: ihminen

Tekoäly on tehnyt rikollisuudesta entistä suuremman uhan. Äänen ja videon manipulointi on erittäin kehittynyttä ja vaikea tunnistaa.

– Tietojen kalastelu tehdään usein sähköisesti tai puhelimella soittamalla. Nykyisin suomen kieli on jo niin hyvää, että kalastelu menee helpommin läpi. Ensin kysytään puhelimella tietoja, ja sen jälkeen alkaa varsinainen hakkerointi. Kyseessä on aina ihmisen huijaaminen jollakin tavalla. Tietoturvan heikoin lenkki onkin ihminen, ja siksi henkilöstön kouluttaminen on todella tärkeää.

Toinen rikollisuuden muoto ovat kiristyshaittaohjelmat, jotka pääsevät tietokoneelle esim. haitallisen sähköpostin liitetiedoston kautta ja alkavat kryptata eli salata kohteen tiedostoja. Käyttäjä ei enää saa niitä auki, ja häneltä aletaan vaatia lunnaita. Jopa yrityksen koko toiminta voi lamaantua. Kolmantena Westerman mainitsee vielä palvelunestohyökkäykset, joilla estetään yrityksen tietoliikenteen toimita.

Tavoitteeksi tietoturvan sertifikaatti

Maailma siis monimutkaistuu, ja rikollisilla on yhä tehokkaampia keinoja saada entistä suurempia vahinkoja aikaan. Miten pk-yritykset voivat suojautua?

– Johtoryhmien on liitettävä turvallisuus yrityksen strategiaan ja osoitettava resurssit tietoturvan hallitsemiseen. Tietoturva-asioille on osoitettava vastuuhenkilö. On myös saatavilla ulkoistettuja tietoturvajohtajia, jotka rupeavat laittamaan tietoturvaa kaikilla osa-alueilla kuntoon, Westerman neuvoo.

Tavoitteeksi on hyvä ottaa jokin sertifikaatti, esimerkiksi ISO 27001. Kun asioita alkaa kehittää niin teknisellä kuin hallinnollisella puolella sertifikaattia kohti, ennen pitkää toiminta täyttää sertifikaatin vaatimukset.

– Kansainvälisillä markkinoilla tilanne alkaa jo olla se, että kumppanit vaativat sertifikaattia, eikä yritys voi tehdä ulkomaankauppaa ilman sitä.

Yrityksen johdolta ja hallitukselta Westerman peräänkuuluttaa tilannekuvan ymmärtämistä ja vaatimista. Se on tärkeää myös sertifiointityön kannalta:

– Hallituksen pitäisi vaatia tietoturvasta tilannekuvaa ainakin pari kertaa vuodessa ja johtoryhmän mielellään kerran kuussa. Toimitusjohtajalla pitäisi olla tietoturvasta tilannekuva joka viikko. Tämän lisäksi johdon pitää jalkautua ja näyttää esimerkkiä, kun tietoturva-asioita ruvetaan ottamaan haltuun. Henkilöstöä pitää kouluttaa ja kertoa heille, mitä tietoturva yrityksessämme tarkoittaa.

Tietoturva tuo laatua

Vahingon sattuessa on tärkeää, että yrityksessä on toimintatavat kriisitilanteita varten. Westerman ohjeistaa, että tietoturvastrategiassa kuuluu olla erillinen kriisitilanteiden ja kriisiviestinnän strategia. Olennaista on, että yrityksen ilmapiiri ja politiikka on sellainen, että vahingoista ilmoitetaan ja että tälle on olemassa jokin kanava. Tärkeää on myös tunnistaa nopeasti, onko vahingolla vaikutusta ulkopuolisiin tahoihin kuten asiakkaisiin. Viestinnästä huolehtivat ainoastaan ne henkilöt, jotka on kriisiviestintäohjeessa mainittu.

– Vakavista vahingoista tehdään syy-seuraus-analyysi ja asia viedään johtoryhmän käsiteltäväksi. ISO-sertifikaatti kannattaa ottaa malliksi, siitä löytyy prosessit kriisitilanteille ja siellä on mukana välineet tietoturvan johtamiselle ja kehittämiselle.

Lopuksi Westerman kannustaa näkemään tietoturvan kehittämisen osana laadun parantamista. Tietoturva ei ole toimintaa vaikeuttava haitta vaan tekijä, joka lisää laatua ja parantaa sekä prosesseja että tuotteita.