Kyberaika haastaa kaikki vanhat turvakäytännöt

Kyberturvallisuuteen erikoistuneen Silverskin-yrityksen toimitusjohtaja Marko Savolainen oli taannoin aamu-tv:n vieraana kertomassa suomalaisten yritysten tietoturvan tasosta.

Asiantuntijat puhuvat yhdellä suulla tietoturva-asioista. Mutta yrityksissä asiat eivät vain mene helposti perille.

Tietoa voi vuotaa sanan mukaisesti ovista ja ikkunoista. Ovista kulkee haalariasuisia nuuskijoita ja ikkunalasin värinää on peilattu huippuherkällä antennilla, joka muuntaa värinän takaisin äänteiksi.

Perinteiset murtokonstit ovat palaamassa vorojen arsenaaliin.
Ilmeisesti muistitikun mukana – koska muita jälkiä ei ole löytynyt – lähti luottoyhtiö Equifaxin 143 miljoonan asiakkaan tiedot. Se on yksi suurimmista koskaan kerrotuista tietomurroista Yhdysvalloissa.

Totta on, että suomalaisyritystenkin välillä tietoturvaosaamisessa ja suojautumisessa on paljon eroja. Silverskinin yritysvakoilusimulaatioissa tulos oli kuitenkin yleisestikin murskaava: kaikilla toimialoilla firmojen tietoturvasta löytyi isoja aukkoja.

Silverskinin analyysit eivät ole yleistettävissä, mutta kolmannes yrityksistä saattaa olla suojautunut vakoilulta kohtalaisen hyvin. Parhaiten vakoilulta ovat suojautuneet voimakkaasti säännellyt alat, kuten finanssisektori ja terveydenhuolto. Kolmasosan tietoturva on keskitasoa, mutta niidenkään kaikkien tietoturvaa ei ole koskaan testattu.

Ai, kuinka tietoturvaa voi testata? Kokeilemalla ulkopuolelta tietoteknisiä järjestelmiä, niin kuin rikollisetkin tekevät.

Silverskin meni vielä pidemmälle. Tietoturvaa sen asiakasyrityksissä testattiin rajuilla keinoilla, joista erikoisin, mutta ”erittäin menetyksellinen” oli fyysinen tunkeutuminen työpaikalle. Onnistumisprosentti oli huikeat 100. Testaajat kävivät kääntymässä jopa toimitusjohtajan huoneessa. Tällaisessa tilassa ruudulla saattaa komeilla ihan mitä vain, vaikka tulevan pörssitiedotteen luonnos.

Testaajat toimivat simulaatiossa samoin kuin rikolliset. Marko Savolaisen mukaan kaikissa testatuissa tapauksissa päästiin sisälle. Joissakin jopa laboratorio-, tuotekehitys- tai johdon tiloihin. Tämä on totta, vaikka se kuulostaakin toimintajännärin käsikirjoitukselta.

Moni asia on pielessä, jos haalarit päällä tai tiedetoimittajaksi tekeytymällä päästään tarkastamaan kalusteiden kuntoa toimitusjohtajan huoneeseen.

Testaustulokset ovat yhtiöille yleensä järkytyksiä, sillä Suomessa ei vieläkään ole totuttu hybridi- ja kyberrikollisuuden trendeihin. Turvapäälliköt voivat mukamas identifioida murtomiehen tai vakoojan pelkällä psykologisella silmällä. Ehkä joskus näin on ollutkin. Nyt panokset kovenevat ja ala ammattimaistuu. Rikollisilla saattaa olla taustallaan jopa näyttelijän opintoja.

Teknisellä tietoturvalla ei koskaan ole täyttä merkitystä, jos ovet vuotavat.

Emme kuitenkaan ole vielä auttamattomasti myöhässä turvatoimien kanssa, sillä raportoituja tunkeutumisia yritysten tiloihin on tapahtunut verraten vähän – kun taas laajakaistaa myöten botit kolkuttelevat portteja harva se päivä.

Raflaavat esimerkit, joita käytetään in real life -murtojen simuloinneissa, eivät ole yleisiä suomalaisissa tiedepuistoissa. Tietoturvan Lean-periaatteen mukaan kaikkeen tulee varautua ennaltaehkäisevästi ja luoda toimintamallit pahan päivän varalle.

Aina voi olla varuillaan.

Torjuin juuri ruudulta kaksi omia aikojaan ilmaantunutta ohjelmistopäivitystä, jotka näköjään olivat tulleet tarjolle ohi käyttöjärjestelmän kontrollin.

 

Reijo Holopainen

VIIMEISIN ARTIKKELI

Asiakastarina: Lemmikkihoitola Moppe ja Miiru Oy

29.01.2025 |

”Lemmikit ovat ihmisen parhaita ystäviä ja perheenjäseniä.Tiedämme miten tärkeitä tunnesiteitä lemmikin ja omistajan välille syntyy.” … LUE LISÄÄ…

Miksi sähköposti ei lähde – Yleisimmät ongelmat ja SMTP-asetukset

17.01.2025 |

Sähköposti on olennainen osa yritysviestintää. Jos sähköpostit eivät lähde omalta koneelta, on tilanne usein hyvin … LUE LISÄÄ…

Katsaus Sollertiksen vuoteen 2024

10.01.2025 |

Vuosi on vaihtunut ja kaikki ovat palanneet työn ääreen. Halusin tehdä pienen katsauksen vuoteen 2024 … LUE LISÄÄ…

Hakukoneoptimointi – avain asiakkaiden löytämiseen digitaalisessa ostopolussa

03.01.2025 |

Tiesitkö, että tutkimuksien mukaan asiakkaan digitaalinen ostopolku alkaa useimmiten Googlettamalla? Kyllähän sinä sen varmasti tiesit, … LUE LISÄÄ…

Olemme ulkoistaneet laskutuksemme

27.11.2024 |

Olemme ulkoistaneet laskutuksen hoitamisen BRANG Oy:lle 02.12.2024 alkaen. Huomioithan, että laskulla oleva tilinumero on muuttunut ja suoritukset tulee … LUE LISÄÄ…

3 tapaa tehostaa sesongin markkinointia

22.11.2024 |

Tärkeimpiin sesonkeihin on hyvä valmistautua hyvissä ajoin. Ensimmäinen askel on päivittää markkinoinnin vuosikello. Merkitse vuosikelloon … LUE LISÄÄ…

Woocommerce ohje: Arvonlisäveron asettaminen tai muuttaminen

22.08.2024 |

Alv-prosentin muuttuessa tulee verokanta päivittää verkkokauppoihin. Tässä ohjeessa neuvon askel askeleelta, kuinka asetat tai vaihdat … LUE LISÄÄ…

WordPress-ohje: Opas verkkosivuston päivittämiseen ja hallintaan

23.07.2024 |

WordPress on helppokäyttöinen, monipuolinen ja tehokas julkaisujärjestelmä, joka tarjoaa kaiken tarvitsemasi verkkosivustosi luomiseen, hallintaan ja päivittämiseen. Toteutamme Sollertiksella … LUE LISÄÄ…