Perspecsys-photos-flickr-2-700x250

Pohjoismaiset yritykset vuotavat tietoa kuin seula

Suomea pidetään tietoturvallisena maana ja usein  kuulee eri tahojen toteavan, miten Suomessa on maailman puhtaimmat verkot. Tällä lausunnolla viitataan yleensä siihen, että suomalaisilta työasemilta ja kotitietokoneilta löytyy vähiten tunnettuja haittaohjelmia. Tämä on varmasti totta, mutta antaa virheellisen turvallisuuden tunteen. Suurin haaste on se, että iso osa ongelmista ei ole tunnettuja, eivätkä ne siten näy tilastoissa eivätkä organisaatioiden perinteisten suojausjärjestelmien hälytyksissä.

Totuus on, että suomalaiset ja muut pohjoismaiset yritykset vuotavat tietoja kuin seula. Tilanne on samankaltainen muuallakin, mutta tutkittua tietoa meillä on tällä hetkellä Suomen, Ruotsin ja Tanskan osalta.

Hyvin monessa suuressa organisaatiossa on meneillään sellaisia asioita, jotka eivät jää perinteisten tietoturvakontrollien haaviin ja jotka eivät ole organisaatioiden edun mukaisia. Käytännössä yritysten sisäisistä järjestelmistä lähtee selittämättömiä salattuja yhteyksiä eripuolille maailmaa. Useissa tapauksissa näiden yhteyksien kautta liikkuu merkittävä määrä tietoa. Tiedon sisältöä ja luonnetta voi vain arvailla, mutta se voi olla esimerkiksi yrityssalaisuuksia, henkilötietoja tai muuta vastaavaa suojattavaa tietoa.

Miten välttää tietovuodot?

  1. Tunnista tosiasiat. Puhtaat verkot ovat myytti, jonka suomaan turvallisuuden tunteeseen ei ole varaa tuudittautua.
  2. Pyri suojautumaan. Rakenna suojaukset niin hyvin kuin mahdollista ja testaa suojaustoimenpiteiden toimivuus.
  3. Varaudu pahimpaan. Suojaukset eivät ole aukottomia vaan ne on aina mahdollista ohittaa.
  4. Havaitse ja reagoi. Organisaation tulee pystyä tunnistamaan järjestelmissä tapahtuvat ei-toivotut tapahtumat, sillä muutoin niihin ei voida reagoida.
  5. Mahdollista tutkinta. Tyypillisesti havaittujen tietomurtojen tutkinta on mahdotonta, koska organisaatioilla ei ole riittäviä loki- ja muita tietoja tai niihin ei voida luottaa.

Käy lukemassa myös edelliset blogini ”Palvelunestohyökkäykset – Uhat siirtyvät verkosta arkeen” ja ”Kyberturvallisuus – selviäisikö siitä vakuuttamalla?”.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Kuva: Perspecsys Photos / Flickr (Picture has been cropped)