Tietoturvan puurot ja vellit
Olen tänä vuonna käynyt useiden eri päämiesten tietoturvakoulutuksissa. Olen myös seurannut useiden eri toimijoiden tietoturvaa käsitteleviä blogeja sekä linkedin-kirjoituksia ja -postauksia. On kyseessä sitten ollut päämiehet tai loppuasiakkaalta asioihin perehtyneet työntekijät, kehitysjohtajat tai toimitusjohtajat, on puurot ja vellit usein pahasti sekaisin. Tuntuu, että kun puhutaan tietoturvasta, ammutaan usein yli ja oikein huolella. Tässä kirjoituksessani kerron maalaisjärjellä ja lyhyesti, kuinka hyvä tietoturva rakentuu.
Tietoturvan lähtökohta:
Tässä jo mennäänkin usein metsään, siis ihan heti aluksi! Hyvässä tietoturvassa ei ole kysymys siitä, pitäisikö tietoliikennettä valvoa jollakin juuri markkinoille saapuneella tekniikalla, tai pitäisikö henkilökuntaa kouluttaa identiteettivarkauksia vastaan. Hyvässä tietoturvassa on kysymys siitä, että potentiaalisten loukkausten uhka liiketoiminnalle olisi vähäinen. Perspektiivi on useimmiten väärä, jos katsotaan yhtä ratkaisua yhteen täsmäongelmaan.
"Hyvässä tietoturvassa on kysymys siitä, että potentiaalisten loukkausten uhka liiketoiminnalle olisi vähäinen."
Toinen vaarallinen ajatus on kuvitella, että esim. vuonna 2010 ostettu virustorjunta riittää vuoden 2017 tietoturvauhkia vastaan. Maailma muuttuu tietoturvauhkien kohdalla todella nopeasti.
Maailman paras perusajatus:
Amerikkalaisen tutkimusyhtiö Gartnerin tutkimuksista voi olla mitä mieltä tahansa, mutta heidän kuvaamansa malli tietoturvaprosessista (adaptive security architecture) on maailman paras.
Hyvässä tietoturvaprosessissa tehdään neljää asiaa:
1) Ennustetaan ja arvataan mitä meille tapahtuu
Verkkohyökkäykset ovat (usein) massoihin kohdistuvia ja todella trendinomaisia. Näiden ennustaminen ei ole kovin vaikeaa. (Vuoden 2017 trendit ovat tämän blogin seuraavassa kappaleessa.)
IT-ympäristön nykyinen tila voidaan kartoittaa ja arvioida myös haavoittuvuustestauksella. Usein kehityshankkeet kannattaa aloittaa juuri tästä - näin löydetään ketjun heikoimmat lenkit isostakin ympäristöstä.
2) Estetään ja varaudutaan
Ensimmäisen kohdan arvion mukaan päivitetään ohjelmistot, tehdään backupit, asennetaan tietoturvaohjelmistot, suodatetaan sähköpostit, pakotetaan käyttäjät vaihtamaan salasanoja jne. Käyttäjien koulutus kuuluu myös tähän lokeroon - jos se on ennustettu tarpeelliseksi.
3) Havaitaan loukkaukset
Havainnointiin on olemassa useita eri tekniikoita. Usein kuitenkin ovat sekaisin raskaat ja kevyet ratkaisut. Valvonta automaattisesti (tekoälyllä) on nykyisin kustannustehokas tapa toimia ja se sopii erinomaisesti pienillekkin yrityksille. Usein tämän prosessin ykköskohdan vaatimuksiin se on täysin riittävä.
4) Reagoidaan havaintoihin
Oma ympäristö on oltava hallinnassa niin, että tietoturvaloukkauksiin kyetään reagoimaan. Reagointiin kuuluu aina myös "lessons learned" -tyyppinen kohta. Käytännössä siis mennään takaisin prosessin alkuun ja arvataan, että tämä sama loukkaus tapahtuu ajan kanssa uudestaan ja siihen tulee varautua.
Vuoden 2017 trendit ja uhat:
Edellä kerroin että ennustaminen ei ole edes vaikeaa. Eikä se olekaan. Tässä vuoden 2017 jo meneillään olevat "trendit":
1) Sähköpostit
Väärennettyjä laskuja sekä haitallisia linkkejä ja liitetiedostoja lähetetään todella paljon sähköpostien kautta. (Suodata siis sähköpostisi.)
2) Päivittämättömät ohjelmistot
Haitalliset verkkosivustot pyrkivät tunnistamaan, mitä versiota eri ohjelmistoista selaaja käyttää. Vanhoihin ohjelmistoihin voidaan mennä tunnetuista aukoista automaattisesti suoraan sisään, ilman että käyttäjä edes klikkaa mitään. Ykköskohteina nykyisin ovat Flash, Java, Internet Explorer ja Active X. (Päivitä ohjelmistosi.)
3) Päätelaitteet
Virukset ja haittaohjelmat pyrkivät piiloutumaan ja leviämään päätelaitteiden kautta. (Suojaa siis kaikki päätelaitteesi.)
Summasummarum:
Tietoturva ei ole kertaostos, se on prosessi joka täytyy pyöriä jatkuvasti. Itse sitä ei tarvitse pyörittää, voit myös ostaa sen palveluna.
Heräsikö mielenkiinto? Miten teidän yrityksenne tietoturva on hoidettu? Jos haluat keskustella aiheesta, ota yhteyttä ja keskustellaan lisää.
Aiheet: