Digitalisaatio

Digitalisaatiolla Suomi ketteräksi

Digitalisaatio on luultavasti käytetyin termi kun kuvataan megatrendejä ja toiminnan tehostamista. Se tarkoittaa prosessien ja palveluiden sähköistämistä siten, että palvelut ovat saatavilla vuorokauden ajasta riippumatta, kaikkialta ja millaisella päätelaitteella tahansa.

Monelle tuttu esimerkki digitalisaatiosta on vakuutusyhtiön verkkopalvelu. Vakuutukset voi ostaa verkosta ja yleensä palvelu on integroitu reaaliajassa muihin järjestelmiin. Esimerkiksi autovakuutusta hankkiessa sovellus on yhteydessä Trafin tietokantaan, ettei kaikkia auton tietoja tarvitse itse naputella rekisteriotteesta nettilomakkeeseen.

Olennaista onnistuneessa digitalisaatiossa on ymmärtää, että pelkkä paperiprosessin siirto nettilomakkeeksi ei riitä, vaan koko prosessi pitää pystyä miettimään uudelleen joustavammaksi, sekä hyödyntää kaikkia niitä rajapintoja, joiden kautta loppukäyttäjän käyttökokemus saadaan mahdollisimman hyväksi. Käyttäjä pystyy vaihtamaan palveluntarjoajaa verkossa helposti ja se valikoituu ennen kaikkea käyttökokemuksen ja nopeuden mukaan.

Hyvin rakennettu verkkopalvelu onkin aina myös kilpailuetu. Kuluttaja saa vahinkoilmoitusta vastaan rahat tilille myös erilaisia kuponkeja täyttämällä, mutta nopeat ja tehokkaat automatisoidut prosessit – jotka eivät myöskään sido henkilötyötä – johtavat kustannusten alenemiseen ja parempaan asiakastyytyväisyyteen.

Tietoturva kansallisen palveluarkkitehtuurin keskiössä

Sipilän hallituksen tavoitteiden mukaisesti Suomi ottaa kymmenessä vuodessa tuottavuusloikan digitalisaation avulla. Julkishallinnon palveluiden digitalisoinnin myötä kansalaisia keskitytään palvelemaan sähköisten kanavien kautta.

Palveluiden digitalisoinnin edetessä esiin nousee luonnollisesti kysymyksiä tietoturvan ja tietosuojan tasosta. Palveluarkkitehtuurin käyttöönoton myötä kansalaiselle luvataan ”palvelulupauksena” ainakin kolme asiaa:

  1. Julkisen hallinnon palveluissa sitoudutaan kysymään samaa tietoa kansalaisilta ja yrityksiltä vain kerran.
  2. Palveluarkkitehtuurin kautta vahvistetaan kansalaisten oikeutta valvoa ja päättää itseään koskevien tietojen käytöstä.
  3. Varmistetaan tietojen sujuva siirtyminen viranomaisten välillä.

Verkkopalveluiden osalta on huomioitava myös mobiliteetin ja pilvipalveluiden vaikutus tietoturvan painopistealueisiin. Aikaisemmin, kun palvelut sijaitsivat omassa konesalissa, voitiin tietoturvaan panostaa hankkimalla riittävä määrä rautaa rajalle pitämään sivulliset poissa. Nyt käyttäjän digitaalinen identiteetti on kaiken keskiössä ja sen asianmukainen käsittely määrittelee palvelun luotettavuuden. Tällä hetkellä vahvoja tunnisteita tavallisen kansalaisen näkökulmasta ovat käytännössä vain pankkitunnisteet ja mobiilivarmenne, mutta tulevaisuudessa esimerkiksi kansallisen palveluarkkitehtuurin mukana syntyvä julkishallinnon tunnistamisen palvelu keskittyy tämän asian ratkaisemiseen.

Ja jos jotain digitalisoituvien verkkopalveluiden tietoturvasta pitää vielä erikseen alleviivata, niin esimerkiksi LähiTapiolan Bug Bounty on osoitus siitä, että alamme olla valmiit palveluiden digitaaliseen käyttöön ”ruudun molemmilla puolilla”.

Jukka LauhiaDirector Jukka Lauhia liittyi KPMG:n vahvuuteen Trusteq-yrityskaupan kautta alkuvuodesta 2015. Hän on rakentanut digitaalisen identiteetin ratkaisuja pohjoismaisille asiakkaille lähes 20 vuoden ajan. Trusteq on osa KPMG Advisory -palvelualuetta.

Kyberturvallisuus kunnissa

Ovatko kunnat vastuussa Suomen kyberturvallisuudesta?

Kyberturvallisuuden fokus on yleensä kriittisen infrastruktuurin turvaamisessa ja yhteiskunnan elintärkeiden toimintojen ylläpidossa. Merkittävä osuus tästä kriittisestä infrastruktuurista on kuntien tai kuntien liikelaitosten omistuksessa ja vastuulla. Hyvin keskeisessä roolissa ovat muun muassa veden- ja sähkön tuotanto ja jakelu sekä terveydenhuolto. Näiden kaikkien toimintojen tulee toimia häiriöttä, eikä kyseisten järjestelmien toimintaan saisi pystyä vaikuttamaan esimerkiksi kyberrikollisuuden keinoin.

Suomessa on kuluneen vuoden aikana ollut lukuisia IT-järjestelmiin kohdistuneita häiriöitä ja hyökkäyksiä. Julkisuudessa on ollut muun muassa pankki- ja telesektorin ongelmia. Kaiken työssä näkemäni ja kokemani perusteella kuntien kriittisen infrastruktuurin tietojärjestelmien turvallisuuden tila on huolestuttavan heikolla tasolla, joten häiriöt ja tietomurrot ovat hyvin todennäköisiä.

Kuntien hallussa paljon arkaluontoista tietoa

Kuntien hallussa on paljon tietoa, kuten esimerkiksi potilastietoja, joiden suojaamiseen on lakisääteisiä velvoitteita. Loppukesästä julkisuudessa oli Ashley Madison -tietovuoto, jossa palveluun liittyviä tietoja käytettiin palveluntarjoajan ja käyttäjien kiristämiseen ja lopulta tiedot julkaistiin. Ihmisten yksityiselämään liittyvien tietojen julkaiseminen on tiettävästi johtanut lukuisiin avioeroihin ja jopa itsemurhiin. Voisiko sama tapahtua potilastietojen osalta?

Alkuvuodesta puolestaan raportoitiin tapaus, jossa hakkerit olivat aiheuttaneet tietojärjestelmien kautta fyysistä tuhoa saksalaiselle terästehtaalle. Jo vuonna 2011 tunkeutujat häiritsivät Illinoisin vedenjakelua tietojärjestelmien kautta. Sähköverkot, sähkön jakelu ja tuotanto ovat olleet hyökkäyksen kohteena jo useita kertoja ja usein hyökkäykset ovat myös olleet onnistuneita. Miksi näin ei voisi tapahtua Suomessa? Kysymys taitaa enemmänkin olla, että milloin näin tapahtuu.

Tarvitaanko kunnille tietoturvavelvoite?

Kehitystä on tapahtunut siinä suhteessa, että nykyisin tietoturva-asioita mietitään ja tehdään liiketoiminnallisista lähtökohdista, eikä taustalla tarvitse aina olla velvoittavia normeja. Toisaalta monessa paikassa tietoturvatyö nähdään myös kulueränä, jonka takaisinmaksuaikaa on vaikea määritellä ja riskejä helppo vähätellä. Tietoturvatasot eivät toistaiseksi ole suoraan kuntia velvoittavia, mutta käytäntö on lisääntynyt ja keskustelua asiasta käydään. Lisäksi on toki muitakin säädöksiä, jotka velvoittavat kuntia suojaamaan muun muassa henkilötietoja ja potilastietoja riittävällä tavalla.

Tietoturvatasojen epäsuora velvoittavuus tulee muun muassa viranomaisyhteistyön kautta Tuve-verkkoon liittyen. Toinen esimerkki on kuntien yhteinen KY-verkko, josta on liittymä myös valtion VY-verkkoon. KY-verkkoon liittyville verkoille ja järjestelmille asetetaan tietoturvavaatimuksia, joiden toteuttamisen ja toteen näyttämisen pohjana ovat tietoturvatasot. Valtionhallinnossa on työn alla myös varautumisen sekä jatkuvuuden hallinnan VAHTI-ohje, joka voi toimia hyvänä ohjenuorana myös kunnissa.

Tietoturvallisuuteen liittyvät asiat ja vaatimukset on järkevää pitää mielessä ja huomioida jo hankintojen, palveluiden digitalisaation ja toiminnan sekä prosessien kehittämisen alkuvaiheessa. Näin uusista palveluista ja ratkaisuista saadaan turvallisia ja vikasietoisia jo käyttöönottovaiheessa.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Palvelunestohyökkäykset – Uhat siirtyvät verkosta arkeen

Vuoden vaihteen jälkeen mediassa on ollut paljon keskustelua pankkisektoria ja rahaliikennettä laajasti vaivanneista palvelunestohyökkäyksistä. Hyökkäyksien aiheuttajia spekuloitaessa, eri tahojen kommenteissa ovat vilahdelleet teinipojat, valtiolliset toimijat, kiristys, rahaliikenteen turvallisuus ja monet muut asiat. Selvää on tietysti se, että kaikkeen uutisointiin ja nettikirjoitteluun kannattaa suhtautua riittävällä lähdekritiikillä, ja miettiä kunkin kohteeksi joutuneen organisaation intressejä kertoa ongelmien perimmäisistä syistä.

Mistä tässä koko mediamylläkässä on sitten oikein kyse? Pitäisikö meidän kansalaisten olla huolissamme? Mitä pankkien ja yritysten tulisi tehdä?

Mistä palvelunestohyökkäyksissä on kyse?

Yksinkertaisuudessaan hajautetuissa palvelunestohyökkäyksissä (DDoS) on kyse siitä, että eri puolilta maailmaa lähetetään paljon liikennettä ja yhteydenottopyyntöjä tiettyyn kohteeseen, esimerkiksi verkkopankin etusivulle.

Täysin luotettavaa tilastoa DDoS-hyökkäysten yleisyydestä ja syistä on vaikeaa koota. Suhteellisen kiistattomasti voidaan kuitenkin sanoa, että näiden hyökkäysten riski on noussut myös Suomessa jo pelkästään niihin käytettyjen bottiverkkojen kasvusta ja niiden helpommasta saatavuudesta johtuen. Bottiverkko muodostuu suuresta määrästä yksittäisten käyttäjien huonosti suojattuja tietokoneita. Näitä tietokoneita käytetään lähettämään liikennettä valittuun kohteeseen.

Pitäisikö palvelunestohyökkäyksistä huolestua?

Kyllä ja ei. Lähtökohtaisesti ei, koska palvelunestohyökkäykset aiheuttavat vain ruuhkan palveluun, jolloin sitä ei voida käyttää. Se ei siis tarkoita sitä, että esimerkiksi pankin järjestelmiin olisi murtauduttu. Tilanne ei kuitenkaan välttämättä ole näin yksinkertainen eikä siihen ole syytä suhtautua liian kepeästi:

  • Palvelunestohyökkäyksen tapahtuessa on muistettava, että se saattaa olla tapa peitellä hyökkäystä edeltänyttä varsinaista tietomurtoa. Tällöin pääasiallisena tavoitteena on hyökkääjän omien jälkien peittäminen kaatamalla palvelu ja hävittämällä sen mukana mahdolliset muistijäljet ja lokitiedot. Tästä syystä palvelunestohyökkäyksen kohteeksi jouduttuaan, kannattaa kiinnittää erityistä huomiota hyökkäyksen mahdollisen motiivin selvittämiseen, ja etsiä jälkiä muista verkkohyökkäyksistä tai murron yrityksistä.
  • Toinen huolenaihe liittyy hyökkäyksissä käytettäviin murrettuihin yksittäisten käyttäjien koneisiin, joista hyökkäyksessä käytetty bottiverkko muodostuu. Koska käyttäjien (ei siis pankin) järjestelmiin on murtauduttu, voidaan näitä koneita käyttää muuhunkin, kuin lähettämään liikennettä valittuun kohteeseen. Yksittäisen käyttäjän maksutapahtumia voidaan esimerkiksi manipuloida käyttäjän asioidessa verkkopankissa ohjaamalla hänen rahojaan hyökkääjän valitsemalle tilille. Murrettujen koneiden määrän kasvaessa tuhansiksi, voivat myös hyökkäysten vaikutukset kasvaa merkittäviksi.

Suurin huolenaihe on kuitenkin mielestäni siinä, että vaikka finanssisektorin järjestelmät ovat yleensä kriittisen infrastruktuurin järjestelmistä parhaiten suojattuja, silti niillekin pystytään aiheuttamaan näin suurta ja pitkäkestoista haittaa ilmeisesti muutamien ei-ammattimaisten toimijoiden toimesta.

Miten suomalainen yhteiskunta kestäisi paremmin organisoituja ammattimaisia hyökkäyksiä, kun yhteiskunnan parhaiten suojatut järjestelmät ovat nekin näin hataralla pohjalla? Vastaus tähän kysymykseen valitettavasti on: ”Erittäin huonosti.” Ja tästä on syytä olla huolissaan.

Tulevaisuuden uhat eivät ole vain fyysisessä maailmassa – Mitä pitäisi tehdä?

Hyvin tiivistetysti ja yksinkertaistettuna:

  • Pankkien tulisi varmistaa, että niiden IT-arkkitehtuuri estää palvelunestohyökkäyksille altistumisen tai ainakin minimoi ja rajaa niiden vaikutukset. Varmenneliikenteen tulee käyttää eri reittejä ja laitteita kuin hyökkäyksille tyypillisesti alttiit kohteet kuten verkkopankit ja www-sivut.
  • Yksityisten käyttäjien tulisi suojata omat koneensa asiallisesti, jotta niitä ei voida käyttää osana tämän tyyppisiä hyökkäyksiä.
  • Yksityisten asiakkaiden tulisi käyttää pankissa maksutapahtumien varmennusta esimerkiksi tekstiviestillä tai jollakin muulla tavalla, joka ei ole riippuvainen käyttäjän koneen suojauksesta. Myös pankkien tulisi tarjota tätä mahdollisuutta aktiivisesti asiakkailleen.
  • Muiden kriittisen infrastruktuurin yritysten, kuten energia-, vedenjakelu- ja kaupanalan yritysten tulisi varmistaa omien järjestelmiensä suojausten toimivuus, sillä tyypillisesti ne ovat olleet huonommin suojattuja sekä vähemmän säänneltyjä ja valvottuja verrattuna pankkien järjestelmiin.
  • Yhteiskunnan tulisi ymmärtää kyberturvallisuuden merkitys ja siihen tulisi panostaa huomattavasti nykyistä enemmän.

Tulevaisuuden uhat eivät ole vain fyysisessä maailmassa, vaan niitä piilee myös kybermaailmassa. Kybermaailman hyökkäysten ja uhkien vaikutukset näkyvät kuitenkin jo nyt siinä fyysisessä maailmassa ja palveluissa, joita me päivittäin käytämme, ja joiden toiminnasta olemme koko ajan entistä riippuvaisempia.

DDoS-hyökkäyksiltä suojautumista käsitellään myös Hacking Thourgh Complexity -blogissa:
Mitä keinoja palvelunestohyökkäyksiä vastaan?
Palvelunestohyökkäykset vaarantavat koko Internetin toimintaa
Pankkitroijalainen tyhjentää tilejä Suomessakin – ja näin se toimii

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Kuva: Littlefishyjes / Flickr (Picture has been cropped)

Kyberturvallisuus – selviäisikö siitä vakuuttamalla?

Kyberturvallisuus ja tietosuoja ovat molemmat asioita, joihin liittyy paljon epätietoisuutta, riskejä ja monimutkaisia toimenpiteitä. Mitä jos vain ostaisin vakuutuksen?

Kybervakuuttaminen on kasvava markkinatrendi ja eräs yritysten liiketoiminnallisen varautumisen kuumista puheenaiheista. Yhdysvaltain kybervakuutusmarkkinan on arvioitu kasvavan jopa 2 miljardin dollarin arvoiseksi vielä vuonna 2014. Euroopan kybervakuutusmarkkina on edelleen huomattavasti pienempi, mutta sen arvioitu kasvuvauhti vuositasolla on jopa 50-100 prosenttia saaden lisäpontta muun muassa EU:n tulevan tietosuoja-asetuksen velvoitteiden ja sanktiopotentiaalin myötä.

Kyberriskin hinnoittelu haastavaa

Kyberhyökkäyksen aiheuttamien liiketoiminnallisten vahinkojen määrittely ja korvaaminen on usein monimutkaista. Samasta syystä sekä vakuutuksen ostaminen että sen myyminen ja hinnoittelu on haastavaa. Perinteisten riskien taloudelliset vaikutukset ja todennäköisyydet ovat huomattavasti paremmin molempien osapuolten tiedossa ja ymmärrettävissä.

Valistunut lukija jo varmaan arvaakin, että kyberturvallisuudesta ei selviä pelkällä vakuutuksen ostamisella. Vastaavalla tavalla kuin esimerkiksi palovakuutuksessa, myös kybervakuutuksessa vakuutuksen ottajalla on velvollisuuksia huolehtia asianmukaisesta suojauksesta ja vahinkojen rajoittamisesta. Palovakuutuskaan ei korvaa palanutta tuotantotilaa ellei sen rakenne ja käyttö ole ollut vakuutusehtojen ja rakennusmääräysten mukaisia.

Kybervakuutus yksi riskienhallinnan keinoista

Kybervakuutuksiin kannattaa kuitenkin tutustua, sillä ne alkavat olla osa yritysten riskienhallinnan keinovalikoimaa. Kybervakuutukset voivat korvata esimerkiksi välittömiä tietoturvahyökkäyksen aiheuttamia toimintakustannuksia, tulonmenetyksiä sekä kiristystä kuten tietovuodolla uhkaamista. Vakuutukset saattavat korvata myös merkittäviä liiketoiminnan katkoksia, inhimillisiä virheitä, immateriaalioikeuksien tai tavaramerkin loukkauksia, kolmansien osapuolten kärsimiä vahinkoja kuten tietomurron aiheuttamia vahinkoja sekä liiketoimintakriittisen tai luottamuksellisen tiedon ja yritysmaineen menetyksiä. Joihinkin vakuutuksiin sisältyy myös tietty määrä asiantuntijaorganisaation tekemää konsultointia tai vahinkotapauksessa tietomurron tutkintatyötä.

5 vinkkiä kybervakuuttamiseen

  1. Selvitä, mitä vakuutuksia on tarjolla, mitä ne kattavat, ja millaisia ehtoja ja rajoituksia niissä on.
  2. Varmista, että oman organisaation tietoturva- ja tietosuojakäytännöt ovat normien ja hyvien käytäntöjen sekä vakuutusehtojen mukaiset.
  3. Panosta erityisesti havainnointi- ja reagointikykyyn, jotta mahdolliset tietomurrot ja tietovuodot voidaan havaita ajoissa ja niihin voidaan reagoida.
  4. Tunnista suojattavat asiat ja kohteet. Suojataanko tiedon luottamuksellisuutta vai prosessia ohjaavien IT-järjestelmien jatkuvuutta?
  5. Käytä vakuutusta yhtenä osana riskienhallintaa, ja muista, että se ei yksinään ratkaise kyberturvallisuutta – valitettavasti.

Lue myös edelliset blogitekstini ”Miljardi vuodettua salasanaa – pitäisikö huolestua?” ja ”Sinisilmäisyys tietoturvassa johtaa skandaaleihin ja maineen menetykseen”.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Kuva: Chris Potter / Flickr (Picture has been cropped)

Ukrainan kriisi kertoo siirtyvätkö kansainväliset kriisit ja sodankäynti verkkoon

Ukrainan kriisi kertoo, siirtyvätkö kansainväliset kriisit ja sodankäynti verkkoon

Viime vuosina on ennustettu, että kansainväliset kriisit ja sodat tapahtuvat tulevaisuudessa tietoverkossa kybersotana. Yksi esimerkki heräämisestä tähän todellisuuteen oli Suomen kyberturvallisuusstrategian julkaisu. Nyt, kun Ukrainan Krimin kriisi on ollut käynnissä jo hyvän aikaa, on mahdollista tarkastella, onko näin todellisuudessa tapahtunut. Vai onko kyseessä ollut vain ilman todellisuuspohjaa oleva spekulointi?

Sotavoimia ei ole kriisissä toistaiseksi käytetty, mutta uhka ei ole kuitenkaan poistunut. Sotilaallisen väliintulon uhka on ollut tapa painostaa Ukrainaa. Toisaalta se on myös rajoittanut Naton, EU:n ja Yhdysvaltojen halukuutta puuttua tilanteeseen sotilaallisesti. Tähän asti kyseessä on ollut mediapeli, politikointi ja muu vaikuttaminen. Entä se kybersodankäynti?

Ukrainassa tapahtuu paljon kyberrintamalla

Toistaiseksi ei ole uutisoitu mitään sellaisia kyberhyökkäyksiä, joilla olisi ollut merkittävää ja laaja-alaista vaikutusta jonkun maan tai maanosan kykyyn tuottaa kansalaisten peruspalveluja tai joka olisi vaikuttanut näkyvästi toisen maan sotilaalliseen suorituskykyyn. Toistaiseksi tällaisia vaikutuksia ei ehkä ole haluttukaan aiheuttaa. Samalla tavalla kuin perinteistäkään sotilaallista voimaa ei ole haluttu käyttää. Paljon on silti tapahtunut myös kyberrintamalla. Alla muutamia esimerkkejä:

Näiden ja muiden julkisuudessa olleiden esimerkkien valossa voidaan todeta, että kriisin tässä vaiheessa kyberhyökkäyksiä on käytetty lähinnä tiedusteluun sekä eri ryhmien vastustajakseen katsomien tahojen pienimuotoiseen häirintään. Snake-haittaohjelma ukrainalaisissa järjestelmissä on hyvä esimerkki siitä, että Venäjällä olisi kykyä tehdä muutakin kuin tiedustella. Toistaiseksi tätä kykyä ei ole näkyvästi käytetty. Toivottavasti sitä tai perinteistä sotavoimaa ei myöskään tulla käyttämään tämän tai muidenkaan kriisien yhteydessä.

Selvää on, että sodankäynti on siirtynyt mediaan ja tietoverkkoon.

Käy lukemassa myös viimeisimmät blogitekstini ”Myytinmurtajat – kohteena suomalainen kyberturvallisuus” ja ”Teollinen internet – uusi tietoturvapainajainen”.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Leijonien menestys Sotshissa on organisaatioille tietoturvariski

Viime viikon torstaina käynnistyivät pitkään odotetut olympialaiset Suomen jääkiekon osalta. Viimeaikaisten urheilutapahtumien myötä olemme törmänneet aivan uudenlaisiin tietoturvallisuuden haasteisiin.

Tietoturvallisuuden kannalta haasteellinen tilanne aiheutui Tampereen kaupungin työntekijöiden seuratessa YLE Areena -palvelun välittämää suoratoistolähetystä Suomen Leijonien avausottelusta. Ottelua katsoessaan työntekijät saattoivat huomaamattaan häiritä potilastietojärjestelmien käyttöä. Luultavasti vähintään 100 000 suomalaista seurasi samaista ottelua internetistä työpaikoillaan ja eri oppilaitosten verkoissa. Se on tietysti sinänsä hyvä uutinen ja toimii erinomaisena esimerkkinä tekniikan hyötypotentiaalin käyttöönotosta ja siitä, miten eri mediaratkaisut kehittyvät käyttäjäläheisemmiksi.

Suoratoistoon liittyy monenlaisia uhkia

Aihetta olisi mahdollista lähestyä kysymällä, onko tällainen työajan käyttö sallittua ja sopivaa? Jättämällä humoristiseksi tarkoitetut viisastelut sikseen, voimme syventyä itse ongelmaan ja kysyä miten julkishallinnon, eri yhtiöiden ja kansallisen koulutusjärjestelmämme tietohallinnot ovat varautuneet tämän kaltaiseen toimintaa haittaavaan liikenteeseen? Ilmiöhän voitaisiin määritellä myös aivan uudenlaiseksi hyökkäystavaksi – nimetään se tässä tapauksessa vaikkapa ”Internal Distributed Denial of Services” (IDDS), jossa hajautetusti organisaation sisältä pyritään estämään oman verkon palveluiden saatavuus.

Tämän kaltaisessa yleisen massan omavaltaisessa toiminnassa, joka luultavasti rikkoo organisaation tietoturvapolitiikkaa, on myös muita suuria riskejä. Tässä tapauksessa YLE tarjoaa luotettavan palvelunsa kautta suoratoistoa olympiakisoista, mutta kuinka moni suomalainen etsii internetistä hakuammunnalla erilaisia suoratoistosivustoja nähdäkseen maksullisten kanavien lähetyksiä paikallisten urheilusarjojemme finaaleista tai formulasankarimme suorituksista? Ei tarvitse olla suurikaan skeptikko epäilläkseen Googlen ja sosiaalisten medioiden kautta löytyvien sivustojen turvallisuutta erilaisten haittaohjelmien välittäjinä.

Monissa tapauksissa verkkojen käyttö on jo valmiiksi niin äärirajoilla, että tahattomasti aikaansaatu ”IDDS” on lähellä. Kuinka monessa organisaatiossa tänä päivänä varaudutaan juuri tällaisiin yllättäviin piikkeihin tietoliikenneverkon käytössä? Tulisiko organisaatioiden suunnitella jatkossa IT-arkkitehtuuriaan entistä tarkemmin liiketoimintakriittisten järjestelmien ja sovellusten tietoliikennetarpeiden mukaan? Eli luoda periaatteet sille, mihin tarkoitukseen, millä prioriteetilla ja millä aikavälillä tietoliikenneverkkoa saa käyttää – ja kuka tai mikä sitä saa käyttää?

Bring your own network!

Mikäli paniikkinappulaa on jo painettu, on olemassa myös eräs nopea ja kustannustehokas ensiratkaisu. Jos organisaatiolla on toimiva Bring your own device (BYOD) -politiikka ja olympialaisten seuraaminen on virallisesti sallittua työajalla, tulisi työntekijöiden hoitaa mahdollinen suoratoisto omien mobiililaitteidensa kautta käyttäen muita kuin organisaation verkkoa. Näin poistettaisiin riski (liike)toimintakriittisten järjestelmien hidastumisesta sekä uhka mahdollisista haittaohjelmista. Asian voisi myös ilmaista kauniisti toteamalla: Bring your own network!

Suomen Leijonien seuraava peli on keskiviikkona Norja vs. Venäjä -pelin voittajaa vastaan. Pelin tarkkaa ajankohta ei ole vielä tiedossa, mutta kisasivuston mukaan se alkaa joko 10.00, 14.30 tai 19.00. Kahden aikaisemman ajankohdan osuessa Suomen ja Venäjän otteluajaksi, organisaatioiden verkot tulevat olemaan kovilla. Yrityksillä ja julkishallinnon organisaatioilla on siis keskiviikkoaamuun asti aikaa reagoida asiaan tai sitten vain toivoa, että pelin ajankohdaksi tulee iltaohjelman mukainen 19.00. Suomen kyberturvallisuuden seuraavan haasteen määrittelee siis Häkämiestä mukaillen kolme asiaa: 1) ajankohta, 2) oma toimintamme ja 3) Venäjä.

Näissä tunnelmissa toivomme peukut pystyssä sekä Suomen menestystä että elintärkeiden ja liiketoimintakriittisten järjestelmien toimivuutta!

Blogin on kirjoittanut olympiatunnelmissa
Partner Harri Wihuri, joka vastaa liikkeenjohdon konsultoinnin palveluista,
Kristian Backman, joka on tietoturvan ja kokonaisarkkitehtuurin asiantuntija sekä
Olli Knuuti, joka toimii asiantuntijana tietoturvan ja liiketoiminnan jatkuvuuden alueilla.

Myytinmurtajat – kohteena suomalainen kyberturvallisuus

Myytinmurtajat – kohteena suomalainen kyberturvallisuus

Myytti:

Suomea on pidetty turvallisena maana ja suomalaisten tietoverkkojen puhtautta on ylistetty useissa puheissa ja kirjoituksissa. Kansallisen kyberturvallisuusstrategian mukaan Suomi on vuonna 2016 kybertuvallisuuden mallimaa.

Vuoden 2012 aikana maailmalta alkoi kuulua uutisia, miten ulkomaisiin yrityksiin oli murtauduttu tiedossa olevien ja tuntemattomien tahojen toimesta. Erilaisia tietomurtojahan on ollut aina, mutta uutta oli murtojen laajuus, kesto ja systemaattisuus. Keväällä 2013 KPMG käynnisti tutkimusprojektin suunnittelun ja valmistelun. Tavoitteena oli selvittää, ovatko yritysten tietojärjestelmät ja verkot oikeasti turvassa. Hieman tämän jälkeen paljastui, että ulkoministeriössä oli ollut pitkäkestoinen tietomurto, jota ei ollut havaittu. Voisiko samantyyppisiä tietomurtoja olla käynnissä merkittävissä yrityksissäkin?

Todellisuus:

Tutkimuksen mukaan useassa yrityksessä on käynnissä aktiivisia hyökkäyksiä. Näissä hyökkäyksissä ulkopuolisilla tahoilla on pääsy yhteen tai yleensä useampaan organisaation sisäisessä verkossa olevaan työasemaan ja palvelimeen. Käynnissä olevien, aktiivisten murtojen seurauksena yritysten sisäisestä verkosta ja järjestelmistä lähtee ulospäin liikennettä, jonka sisältöä ei ole kyetty selvittämään, koska hyökkääjät ovat salanneet liikenteen. Jokainen voi itse miettiä, mitkä tiedot saattaisivat omassa organisaatiossa kiinnostaa hyökkääjiä. Kenties asiakastiedot? Tai yrityssalaisuudet? Ehkä muiden murtojen kontrolliliikenne?

Mikä neuvoksi?

  • Älä tuudittaudu turvallisuuden tunteeseen luottamalla estäviin tietoturvakontrolleihin – ne eivät kata kaikkia riskejä.
  • Lisää loppukäyttäjien ja ylimmän johdon tietoisuutta nykyaikaisista kyberuhista ja niiden vaikutuksesta.
  • Varmista, että tietoturvan peruskontrollit ovat käytössä ja niitä ylläpidetään. Tietoturva on jatkuva prosessi.
  • Varmista, että käyttäjien päätelaitteita ylläpidetään ja päivitetään asiallisesti. Tämä koskee myös kaikkia sovelluksia, kuten Java-ajoympäristöä, PDF-lukijoita, mediatoistimia, selaimia ja muita koneeseen asennettuja ohjelmia.
  • Paranna kykyä havaita tietoturvan kannalta haitallisia tapahtumia tietoverkoissa ja -järjestelmissä.
  • Paranna kykyä reagoida näihin haitallisiin tapahtumiin.

Tutkimuksen tulosten esittely videoitiin, voit tutustua siihen alla tai YouTube -kanavallamme.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.