Digitalisaatio

Digitalisaatiolla Suomi ketteräksi

Digitalisaatio on luultavasti käytetyin termi kun kuvataan megatrendejä ja toiminnan tehostamista. Se tarkoittaa prosessien ja palveluiden sähköistämistä siten, että palvelut ovat saatavilla vuorokauden ajasta riippumatta, kaikkialta ja millaisella päätelaitteella tahansa.

Monelle tuttu esimerkki digitalisaatiosta on vakuutusyhtiön verkkopalvelu. Vakuutukset voi ostaa verkosta ja yleensä palvelu on integroitu reaaliajassa muihin järjestelmiin. Esimerkiksi autovakuutusta hankkiessa sovellus on yhteydessä Trafin tietokantaan, ettei kaikkia auton tietoja tarvitse itse naputella rekisteriotteesta nettilomakkeeseen.

Olennaista onnistuneessa digitalisaatiossa on ymmärtää, että pelkkä paperiprosessin siirto nettilomakkeeksi ei riitä, vaan koko prosessi pitää pystyä miettimään uudelleen joustavammaksi, sekä hyödyntää kaikkia niitä rajapintoja, joiden kautta loppukäyttäjän käyttökokemus saadaan mahdollisimman hyväksi. Käyttäjä pystyy vaihtamaan palveluntarjoajaa verkossa helposti ja se valikoituu ennen kaikkea käyttökokemuksen ja nopeuden mukaan.

Hyvin rakennettu verkkopalvelu onkin aina myös kilpailuetu. Kuluttaja saa vahinkoilmoitusta vastaan rahat tilille myös erilaisia kuponkeja täyttämällä, mutta nopeat ja tehokkaat automatisoidut prosessit – jotka eivät myöskään sido henkilötyötä – johtavat kustannusten alenemiseen ja parempaan asiakastyytyväisyyteen.

Tietoturva kansallisen palveluarkkitehtuurin keskiössä

Sipilän hallituksen tavoitteiden mukaisesti Suomi ottaa kymmenessä vuodessa tuottavuusloikan digitalisaation avulla. Julkishallinnon palveluiden digitalisoinnin myötä kansalaisia keskitytään palvelemaan sähköisten kanavien kautta.

Palveluiden digitalisoinnin edetessä esiin nousee luonnollisesti kysymyksiä tietoturvan ja tietosuojan tasosta. Palveluarkkitehtuurin käyttöönoton myötä kansalaiselle luvataan ”palvelulupauksena” ainakin kolme asiaa:

  1. Julkisen hallinnon palveluissa sitoudutaan kysymään samaa tietoa kansalaisilta ja yrityksiltä vain kerran.
  2. Palveluarkkitehtuurin kautta vahvistetaan kansalaisten oikeutta valvoa ja päättää itseään koskevien tietojen käytöstä.
  3. Varmistetaan tietojen sujuva siirtyminen viranomaisten välillä.

Verkkopalveluiden osalta on huomioitava myös mobiliteetin ja pilvipalveluiden vaikutus tietoturvan painopistealueisiin. Aikaisemmin, kun palvelut sijaitsivat omassa konesalissa, voitiin tietoturvaan panostaa hankkimalla riittävä määrä rautaa rajalle pitämään sivulliset poissa. Nyt käyttäjän digitaalinen identiteetti on kaiken keskiössä ja sen asianmukainen käsittely määrittelee palvelun luotettavuuden. Tällä hetkellä vahvoja tunnisteita tavallisen kansalaisen näkökulmasta ovat käytännössä vain pankkitunnisteet ja mobiilivarmenne, mutta tulevaisuudessa esimerkiksi kansallisen palveluarkkitehtuurin mukana syntyvä julkishallinnon tunnistamisen palvelu keskittyy tämän asian ratkaisemiseen.

Ja jos jotain digitalisoituvien verkkopalveluiden tietoturvasta pitää vielä erikseen alleviivata, niin esimerkiksi LähiTapiolan Bug Bounty on osoitus siitä, että alamme olla valmiit palveluiden digitaaliseen käyttöön ”ruudun molemmilla puolilla”.

Jukka LauhiaDirector Jukka Lauhia liittyi KPMG:n vahvuuteen Trusteq-yrityskaupan kautta alkuvuodesta 2015. Hän on rakentanut digitaalisen identiteetin ratkaisuja pohjoismaisille asiakkaille lähes 20 vuoden ajan. Trusteq on osa KPMG Advisory -palvelualuetta.

Kyberturvallisuus kunnissa

Ovatko kunnat vastuussa Suomen kyberturvallisuudesta?

Kyberturvallisuuden fokus on yleensä kriittisen infrastruktuurin turvaamisessa ja yhteiskunnan elintärkeiden toimintojen ylläpidossa. Merkittävä osuus tästä kriittisestä infrastruktuurista on kuntien tai kuntien liikelaitosten omistuksessa ja vastuulla. Hyvin keskeisessä roolissa ovat muun muassa veden- ja sähkön tuotanto ja jakelu sekä terveydenhuolto. Näiden kaikkien toimintojen tulee toimia häiriöttä, eikä kyseisten järjestelmien toimintaan saisi pystyä vaikuttamaan esimerkiksi kyberrikollisuuden keinoin.

Suomessa on kuluneen vuoden aikana ollut lukuisia IT-järjestelmiin kohdistuneita häiriöitä ja hyökkäyksiä. Julkisuudessa on ollut muun muassa pankki- ja telesektorin ongelmia. Kaiken työssä näkemäni ja kokemani perusteella kuntien kriittisen infrastruktuurin tietojärjestelmien turvallisuuden tila on huolestuttavan heikolla tasolla, joten häiriöt ja tietomurrot ovat hyvin todennäköisiä.

Kuntien hallussa paljon arkaluontoista tietoa

Kuntien hallussa on paljon tietoa, kuten esimerkiksi potilastietoja, joiden suojaamiseen on lakisääteisiä velvoitteita. Loppukesästä julkisuudessa oli Ashley Madison -tietovuoto, jossa palveluun liittyviä tietoja käytettiin palveluntarjoajan ja käyttäjien kiristämiseen ja lopulta tiedot julkaistiin. Ihmisten yksityiselämään liittyvien tietojen julkaiseminen on tiettävästi johtanut lukuisiin avioeroihin ja jopa itsemurhiin. Voisiko sama tapahtua potilastietojen osalta?

Alkuvuodesta puolestaan raportoitiin tapaus, jossa hakkerit olivat aiheuttaneet tietojärjestelmien kautta fyysistä tuhoa saksalaiselle terästehtaalle. Jo vuonna 2011 tunkeutujat häiritsivät Illinoisin vedenjakelua tietojärjestelmien kautta. Sähköverkot, sähkön jakelu ja tuotanto ovat olleet hyökkäyksen kohteena jo useita kertoja ja usein hyökkäykset ovat myös olleet onnistuneita. Miksi näin ei voisi tapahtua Suomessa? Kysymys taitaa enemmänkin olla, että milloin näin tapahtuu.

Tarvitaanko kunnille tietoturvavelvoite?

Kehitystä on tapahtunut siinä suhteessa, että nykyisin tietoturva-asioita mietitään ja tehdään liiketoiminnallisista lähtökohdista, eikä taustalla tarvitse aina olla velvoittavia normeja. Toisaalta monessa paikassa tietoturvatyö nähdään myös kulueränä, jonka takaisinmaksuaikaa on vaikea määritellä ja riskejä helppo vähätellä. Tietoturvatasot eivät toistaiseksi ole suoraan kuntia velvoittavia, mutta käytäntö on lisääntynyt ja keskustelua asiasta käydään. Lisäksi on toki muitakin säädöksiä, jotka velvoittavat kuntia suojaamaan muun muassa henkilötietoja ja potilastietoja riittävällä tavalla.

Tietoturvatasojen epäsuora velvoittavuus tulee muun muassa viranomaisyhteistyön kautta Tuve-verkkoon liittyen. Toinen esimerkki on kuntien yhteinen KY-verkko, josta on liittymä myös valtion VY-verkkoon. KY-verkkoon liittyville verkoille ja järjestelmille asetetaan tietoturvavaatimuksia, joiden toteuttamisen ja toteen näyttämisen pohjana ovat tietoturvatasot. Valtionhallinnossa on työn alla myös varautumisen sekä jatkuvuuden hallinnan VAHTI-ohje, joka voi toimia hyvänä ohjenuorana myös kunnissa.

Tietoturvallisuuteen liittyvät asiat ja vaatimukset on järkevää pitää mielessä ja huomioida jo hankintojen, palveluiden digitalisaation ja toiminnan sekä prosessien kehittämisen alkuvaiheessa. Näin uusista palveluista ja ratkaisuista saadaan turvallisia ja vikasietoisia jo käyttöönottovaiheessa.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Pohjoismaiset yritykset vuotavat tietoa kuin seula

Suomea pidetään tietoturvallisena maana ja usein  kuulee eri tahojen toteavan, miten Suomessa on maailman puhtaimmat verkot. Tällä lausunnolla viitataan yleensä siihen, että suomalaisilta työasemilta ja kotitietokoneilta löytyy vähiten tunnettuja haittaohjelmia. Tämä on varmasti totta, mutta antaa virheellisen turvallisuuden tunteen. Suurin haaste on se, että iso osa ongelmista ei ole tunnettuja, eivätkä ne siten näy tilastoissa eivätkä organisaatioiden perinteisten suojausjärjestelmien hälytyksissä.

Totuus on, että suomalaiset ja muut pohjoismaiset yritykset vuotavat tietoja kuin seula. Tilanne on samankaltainen muuallakin, mutta tutkittua tietoa meillä on tällä hetkellä Suomen, Ruotsin ja Tanskan osalta.

Hyvin monessa suuressa organisaatiossa on meneillään sellaisia asioita, jotka eivät jää perinteisten tietoturvakontrollien haaviin ja jotka eivät ole organisaatioiden edun mukaisia. Käytännössä yritysten sisäisistä järjestelmistä lähtee selittämättömiä salattuja yhteyksiä eripuolille maailmaa. Useissa tapauksissa näiden yhteyksien kautta liikkuu merkittävä määrä tietoa. Tiedon sisältöä ja luonnetta voi vain arvailla, mutta se voi olla esimerkiksi yrityssalaisuuksia, henkilötietoja tai muuta vastaavaa suojattavaa tietoa.

Miten välttää tietovuodot?

  1. Tunnista tosiasiat. Puhtaat verkot ovat myytti, jonka suomaan turvallisuuden tunteeseen ei ole varaa tuudittautua.
  2. Pyri suojautumaan. Rakenna suojaukset niin hyvin kuin mahdollista ja testaa suojaustoimenpiteiden toimivuus.
  3. Varaudu pahimpaan. Suojaukset eivät ole aukottomia vaan ne on aina mahdollista ohittaa.
  4. Havaitse ja reagoi. Organisaation tulee pystyä tunnistamaan järjestelmissä tapahtuvat ei-toivotut tapahtumat, sillä muutoin niihin ei voida reagoida.
  5. Mahdollista tutkinta. Tyypillisesti havaittujen tietomurtojen tutkinta on mahdotonta, koska organisaatioilla ei ole riittäviä loki- ja muita tietoja tai niihin ei voida luottaa.

Käy lukemassa myös edelliset blogini ”Palvelunestohyökkäykset – Uhat siirtyvät verkosta arkeen” ja ”Kyberturvallisuus – selviäisikö siitä vakuuttamalla?”.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Kuva: Perspecsys Photos / Flickr (Picture has been cropped)

Palvelunestohyökkäykset – Uhat siirtyvät verkosta arkeen

Vuoden vaihteen jälkeen mediassa on ollut paljon keskustelua pankkisektoria ja rahaliikennettä laajasti vaivanneista palvelunestohyökkäyksistä. Hyökkäyksien aiheuttajia spekuloitaessa, eri tahojen kommenteissa ovat vilahdelleet teinipojat, valtiolliset toimijat, kiristys, rahaliikenteen turvallisuus ja monet muut asiat. Selvää on tietysti se, että kaikkeen uutisointiin ja nettikirjoitteluun kannattaa suhtautua riittävällä lähdekritiikillä, ja miettiä kunkin kohteeksi joutuneen organisaation intressejä kertoa ongelmien perimmäisistä syistä.

Mistä tässä koko mediamylläkässä on sitten oikein kyse? Pitäisikö meidän kansalaisten olla huolissamme? Mitä pankkien ja yritysten tulisi tehdä?

Mistä palvelunestohyökkäyksissä on kyse?

Yksinkertaisuudessaan hajautetuissa palvelunestohyökkäyksissä (DDoS) on kyse siitä, että eri puolilta maailmaa lähetetään paljon liikennettä ja yhteydenottopyyntöjä tiettyyn kohteeseen, esimerkiksi verkkopankin etusivulle.

Täysin luotettavaa tilastoa DDoS-hyökkäysten yleisyydestä ja syistä on vaikeaa koota. Suhteellisen kiistattomasti voidaan kuitenkin sanoa, että näiden hyökkäysten riski on noussut myös Suomessa jo pelkästään niihin käytettyjen bottiverkkojen kasvusta ja niiden helpommasta saatavuudesta johtuen. Bottiverkko muodostuu suuresta määrästä yksittäisten käyttäjien huonosti suojattuja tietokoneita. Näitä tietokoneita käytetään lähettämään liikennettä valittuun kohteeseen.

Pitäisikö palvelunestohyökkäyksistä huolestua?

Kyllä ja ei. Lähtökohtaisesti ei, koska palvelunestohyökkäykset aiheuttavat vain ruuhkan palveluun, jolloin sitä ei voida käyttää. Se ei siis tarkoita sitä, että esimerkiksi pankin järjestelmiin olisi murtauduttu. Tilanne ei kuitenkaan välttämättä ole näin yksinkertainen eikä siihen ole syytä suhtautua liian kepeästi:

  • Palvelunestohyökkäyksen tapahtuessa on muistettava, että se saattaa olla tapa peitellä hyökkäystä edeltänyttä varsinaista tietomurtoa. Tällöin pääasiallisena tavoitteena on hyökkääjän omien jälkien peittäminen kaatamalla palvelu ja hävittämällä sen mukana mahdolliset muistijäljet ja lokitiedot. Tästä syystä palvelunestohyökkäyksen kohteeksi jouduttuaan, kannattaa kiinnittää erityistä huomiota hyökkäyksen mahdollisen motiivin selvittämiseen, ja etsiä jälkiä muista verkkohyökkäyksistä tai murron yrityksistä.
  • Toinen huolenaihe liittyy hyökkäyksissä käytettäviin murrettuihin yksittäisten käyttäjien koneisiin, joista hyökkäyksessä käytetty bottiverkko muodostuu. Koska käyttäjien (ei siis pankin) järjestelmiin on murtauduttu, voidaan näitä koneita käyttää muuhunkin, kuin lähettämään liikennettä valittuun kohteeseen. Yksittäisen käyttäjän maksutapahtumia voidaan esimerkiksi manipuloida käyttäjän asioidessa verkkopankissa ohjaamalla hänen rahojaan hyökkääjän valitsemalle tilille. Murrettujen koneiden määrän kasvaessa tuhansiksi, voivat myös hyökkäysten vaikutukset kasvaa merkittäviksi.

Suurin huolenaihe on kuitenkin mielestäni siinä, että vaikka finanssisektorin järjestelmät ovat yleensä kriittisen infrastruktuurin järjestelmistä parhaiten suojattuja, silti niillekin pystytään aiheuttamaan näin suurta ja pitkäkestoista haittaa ilmeisesti muutamien ei-ammattimaisten toimijoiden toimesta.

Miten suomalainen yhteiskunta kestäisi paremmin organisoituja ammattimaisia hyökkäyksiä, kun yhteiskunnan parhaiten suojatut järjestelmät ovat nekin näin hataralla pohjalla? Vastaus tähän kysymykseen valitettavasti on: ”Erittäin huonosti.” Ja tästä on syytä olla huolissaan.

Tulevaisuuden uhat eivät ole vain fyysisessä maailmassa – Mitä pitäisi tehdä?

Hyvin tiivistetysti ja yksinkertaistettuna:

  • Pankkien tulisi varmistaa, että niiden IT-arkkitehtuuri estää palvelunestohyökkäyksille altistumisen tai ainakin minimoi ja rajaa niiden vaikutukset. Varmenneliikenteen tulee käyttää eri reittejä ja laitteita kuin hyökkäyksille tyypillisesti alttiit kohteet kuten verkkopankit ja www-sivut.
  • Yksityisten käyttäjien tulisi suojata omat koneensa asiallisesti, jotta niitä ei voida käyttää osana tämän tyyppisiä hyökkäyksiä.
  • Yksityisten asiakkaiden tulisi käyttää pankissa maksutapahtumien varmennusta esimerkiksi tekstiviestillä tai jollakin muulla tavalla, joka ei ole riippuvainen käyttäjän koneen suojauksesta. Myös pankkien tulisi tarjota tätä mahdollisuutta aktiivisesti asiakkailleen.
  • Muiden kriittisen infrastruktuurin yritysten, kuten energia-, vedenjakelu- ja kaupanalan yritysten tulisi varmistaa omien järjestelmiensä suojausten toimivuus, sillä tyypillisesti ne ovat olleet huonommin suojattuja sekä vähemmän säänneltyjä ja valvottuja verrattuna pankkien järjestelmiin.
  • Yhteiskunnan tulisi ymmärtää kyberturvallisuuden merkitys ja siihen tulisi panostaa huomattavasti nykyistä enemmän.

Tulevaisuuden uhat eivät ole vain fyysisessä maailmassa, vaan niitä piilee myös kybermaailmassa. Kybermaailman hyökkäysten ja uhkien vaikutukset näkyvät kuitenkin jo nyt siinä fyysisessä maailmassa ja palveluissa, joita me päivittäin käytämme, ja joiden toiminnasta olemme koko ajan entistä riippuvaisempia.

DDoS-hyökkäyksiltä suojautumista käsitellään myös Hacking Thourgh Complexity -blogissa:
Mitä keinoja palvelunestohyökkäyksiä vastaan?
Palvelunestohyökkäykset vaarantavat koko Internetin toimintaa
Pankkitroijalainen tyhjentää tilejä Suomessakin – ja näin se toimii

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Kuva: Littlefishyjes / Flickr (Picture has been cropped)

Kyberturvallisuus – selviäisikö siitä vakuuttamalla?

Kyberturvallisuus ja tietosuoja ovat molemmat asioita, joihin liittyy paljon epätietoisuutta, riskejä ja monimutkaisia toimenpiteitä. Mitä jos vain ostaisin vakuutuksen?

Kybervakuuttaminen on kasvava markkinatrendi ja eräs yritysten liiketoiminnallisen varautumisen kuumista puheenaiheista. Yhdysvaltain kybervakuutusmarkkinan on arvioitu kasvavan jopa 2 miljardin dollarin arvoiseksi vielä vuonna 2014. Euroopan kybervakuutusmarkkina on edelleen huomattavasti pienempi, mutta sen arvioitu kasvuvauhti vuositasolla on jopa 50-100 prosenttia saaden lisäpontta muun muassa EU:n tulevan tietosuoja-asetuksen velvoitteiden ja sanktiopotentiaalin myötä.

Kyberriskin hinnoittelu haastavaa

Kyberhyökkäyksen aiheuttamien liiketoiminnallisten vahinkojen määrittely ja korvaaminen on usein monimutkaista. Samasta syystä sekä vakuutuksen ostaminen että sen myyminen ja hinnoittelu on haastavaa. Perinteisten riskien taloudelliset vaikutukset ja todennäköisyydet ovat huomattavasti paremmin molempien osapuolten tiedossa ja ymmärrettävissä.

Valistunut lukija jo varmaan arvaakin, että kyberturvallisuudesta ei selviä pelkällä vakuutuksen ostamisella. Vastaavalla tavalla kuin esimerkiksi palovakuutuksessa, myös kybervakuutuksessa vakuutuksen ottajalla on velvollisuuksia huolehtia asianmukaisesta suojauksesta ja vahinkojen rajoittamisesta. Palovakuutuskaan ei korvaa palanutta tuotantotilaa ellei sen rakenne ja käyttö ole ollut vakuutusehtojen ja rakennusmääräysten mukaisia.

Kybervakuutus yksi riskienhallinnan keinoista

Kybervakuutuksiin kannattaa kuitenkin tutustua, sillä ne alkavat olla osa yritysten riskienhallinnan keinovalikoimaa. Kybervakuutukset voivat korvata esimerkiksi välittömiä tietoturvahyökkäyksen aiheuttamia toimintakustannuksia, tulonmenetyksiä sekä kiristystä kuten tietovuodolla uhkaamista. Vakuutukset saattavat korvata myös merkittäviä liiketoiminnan katkoksia, inhimillisiä virheitä, immateriaalioikeuksien tai tavaramerkin loukkauksia, kolmansien osapuolten kärsimiä vahinkoja kuten tietomurron aiheuttamia vahinkoja sekä liiketoimintakriittisen tai luottamuksellisen tiedon ja yritysmaineen menetyksiä. Joihinkin vakuutuksiin sisältyy myös tietty määrä asiantuntijaorganisaation tekemää konsultointia tai vahinkotapauksessa tietomurron tutkintatyötä.

5 vinkkiä kybervakuuttamiseen

  1. Selvitä, mitä vakuutuksia on tarjolla, mitä ne kattavat, ja millaisia ehtoja ja rajoituksia niissä on.
  2. Varmista, että oman organisaation tietoturva- ja tietosuojakäytännöt ovat normien ja hyvien käytäntöjen sekä vakuutusehtojen mukaiset.
  3. Panosta erityisesti havainnointi- ja reagointikykyyn, jotta mahdolliset tietomurrot ja tietovuodot voidaan havaita ajoissa ja niihin voidaan reagoida.
  4. Tunnista suojattavat asiat ja kohteet. Suojataanko tiedon luottamuksellisuutta vai prosessia ohjaavien IT-järjestelmien jatkuvuutta?
  5. Käytä vakuutusta yhtenä osana riskienhallintaa, ja muista, että se ei yksinään ratkaise kyberturvallisuutta – valitettavasti.

Lue myös edelliset blogitekstini ”Miljardi vuodettua salasanaa – pitäisikö huolestua?” ja ”Sinisilmäisyys tietoturvassa johtaa skandaaleihin ja maineen menetykseen”.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Kuva: Chris Potter / Flickr (Picture has been cropped)

Miljardi vuodettua salasanaa – pitäisikö huolestua?

Elokuun alussa Hold Security julkisti tiedot väitetystä salasanamurrosta, jossa 420 000 eri verkkopalvelusta kaapattiin yhteensä arviolta puolesta miljardista reiluun miljardiin käyttäjätunnus-salasana-yhdistelmää. Hurja määrä, pitäisikö tästä olla huolestunut? Ei, mikäli salasanoihin liittyvät yksinkertaiset perusasiat ovat sinulla ja organisaatiollasi kunnossa. Eri verkkopalveluja tullaan murtamaan nyt ja jatkossa – se kuuluu tähän päivään.

Yleisten tietomurtojen pohjalta ei tule painaa paniikkinappulaa varsinkaan jos murto ei ole kohdistunut sinuun tai organisaatioosi. Yllä mainittu salasanamurto toimii hyvänä esimerkkinä siitä, miten jäitä kannattaa pistää hattuun tällaisten tapausten yhteydessä. Kyseisen tietomurron yhteydessä organisaatioille alettiin kaupitella maksullisia palveluja, joiden avulla organisaatio voi tarkistaa, onko kaapattujen salasanojen joukossa heille kuuluvia tunnuksia. Vastaavanlaisten tietomurtojen yleistyessä, tapahtumat houkuttelevat helposti eri tarjoajia rahastamaan organisaatioita uutisten aiheuttamalla hysterialla.

Miten minimoit tietomurron riskin?

Organisaation näkökulmasta salasanojen vuotamisen riskiä pienennetään edelleen yksinkertaisin ja perinteisin keinoin: määrittelemällä salasanapolitiikka, kieltämällä samojen salasanojen käyttö organisaation ja yleisten verkkopalvelujen välillä sekä kouluttamalla henkilöstöä säännöllisesti.

Oman haasteensa kuvioon tuo organisaatioiden lisääntyvät pilvipohjaiset palvelut. Erityisesti palvelun ollessa liiketoimintakriittinen, on syytä välttää käyttäjähallinnan ulkoistamista pilvipalvelun tarjoajalle. Organisaation tulee muodostaa vähintään selkeä sisäinen politiikka asiasta sekä määritellä tarkasti sopimusehdot palvelusopimuksessa. Näin reagointinopeus ja -vastuu säilyvät salasanavuototilanteessa organisaatiolla itsellään. Muussa tapauksessa riskinä saattaa olla se, että yrityksen järjestelmissä ja ulkoisissa työkäyttöön liittyvissä palveluissa käytetään samoja salasanoja tai käyttäjät eivät suojaa ulkoisissa palveluissa olevia yritysten tietoja riittävän vahvoilla salasanoilla.

Mitkä ovat kriittisimmät salasanat yksityishenkilöille?

Myös yksityishenkilöille salasanojen hallinta aiheuttaa tunnetusti harmaita hiuksia. Useimmat salasanoista ja käyttäjätunnuksista johtuvat tietovuodot liittyvätkin juuri yksityisten henkilöiden käyttämiin vapaa-aikaan liittyviin palveluihin. Internet on täynnä kirjautumista vaativia palveluja ja periaatteessa niiden salasanoja tulisi vaihtaa jatkuvasti. Taakkaa helpottaakseen palvelut kannattaa jakaa kolmeen eri luokkaan niiden tarjoaman sisällön perusteella:

  1. Rahaan, henkilötietoihin tai muuhun arkaluontoisiin tietoihin liittyvät palvelut, kuten esimerkiksi PayPal-maksujenvälitysjärjestelmä. Käytä näissä palveluissa vahvoja erillisiä salasanoja ja vaihda ne säännöllisesti.
  2. Yksityisyyteen ja luottamuksellisuuteen vaativat palvelut, kuten Facebook ja Twitter. Käytä palveluiden välillä eri salasanaa ja pyri vaihtamaan niitä aika ajoin.
  3. Satunnaiset ja sisällöltään esimerkiksi hupia sisältävät sivustot, joissa ulkopuolisen pääsy ei käytännössä aiheuta henkilölle merkittävää haittaa. Näissä palveluissa voit käyttää samaa salasanaa

Jos sinulla on vaikeuksia muistaa salasanoja käyttämiisi palveluihin, yksi ratkaisu on ulkoistaa ongelma ja käyttää erillistä ohjelmistoa salasanojen hallinnointiin. Tällaisiin ohjelmiin voit tallentaa yhden pääsalasanan taakse kaikki käyttämäsi salasanat, jolloin käytännössä yhden salasanan muistaminen riittää. Toisaalta kaikki munat ovat tässä tapauksessa samassa korissa, joten kyseiseen palveluntarjoajaan ja tuotteeseen on tällöin syytä tutustua huolella ja siihen on pystyttävä luottamaan. Yksityishenkilönäkin kannattaa tarkistaa tällaisten palveluiden osalta, onko niillä tietoturvallisuuden hyvistä käytännöistä kertovia sertifiointeja tai ISAE-lausuntoja.

Vaikka tietomurrot tulevat varmasti yleistymään entisestään ja tuhot voivat olla pahimmassa tapauksessa merkittäviä, voi oman organisaation ulkopuolelle kohdistuvien tietomurtojen aiheuttamia välillisiä riskejä pienentää hyvinkin yksinkertaisten ja tuttujen keinojen avulla. Tärkeintä on tiedostaa uhat ja varautua ja valmistautua niihin ajoissa. Näin voidaan välttää paniikkinappulan painamista ja siitä mahdollisesti seuraavia väärien ratkaisujen tekemistä. Tutut ja helpot keinot kannattaa muistaa myös yksityishenkilötasolla, jolloin välttyy parhaimmillaan taloudellisilta menetyksiltä ja yksityisten tietojen joutumiselta vääriin käsiin.

Käy lukemassa myös edelliset blogimme ”Sinisilmäisyys tietoturvassa johtaa skandaaleihin ja maineen menetykseen” ja ”Ukrainan kriisi kertoo, siirtyvätkö kansainväliset kriisit ja sodankäynti verkkoon”.

Mika Laaksonen Blogin on kirjoittanut KPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen, joka tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella yhteistyössä Olli Knuutin kanssa, joka toimii asiantuntijana tietoturvan ja liiketoiminnan jatkuvuuden alueilla. 

Voit tutustua myös Mikan ja Ollin osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Sinisilmäisyys tietoturvassa johtaa skandaaleihin ja maineen menetykseen

Viimeisten vuosien aikana organisaatioiden tietoisuus ulkoisista tietoturvauhista on kasvanut ja niihin on myös panostettu merkittävästi. Valitettavasti tämä kehitys saattaa aiheuttaa sokeutta kaikkein perinteisimmille uhille, jotka sijaitsevat lähempänä kuin usein muistammekaan.

Viime viikolla Helsingin Sanomat uutisoi tanskalaisen juorulehden tapauksesta, jossa tanskalaisten kuninkaallisten ja julkisuuden henkilöiden luottokortti- ja henkilötietoja oli vuodettu säännöllisesti lehden käyttöön usean eri organisaation toimesta. Näihin lukeutuivat mm. luottokorttiyhtiö, lentoyhtiö ja sairaala. Juorulehden intressinä oli saada tietoa julkkisten ostoksista, matkoista ja muista tekemisistä. Tietojen vuotajien intressinä oli raha.

Tapauksen tultua julkisuuteen ja juorulehden painiessa oman skandaalinsa parissa, tulilinjalla ovat myös edellä mainittuihin tietovuotoihin osallistuneet organisaatiot. Selvää on, että kyseessä ei ole henkilötietojen asiallinen käyttö. Mikäli EU:n tuleva tietosuoja-asetus olisi jo voimassa, organisaatioita uhkaisivat hyvin merkittävät taloudelliset sanktiot, jotka asetuksen luonnoksen mukaan voisivat olla jopa 5 prosenttia yrityksen maailmanlaajuisesta liikevaihdosta tai 100 miljoonaa euroa. Tulevaisuus näyttää, millaisia sanktioita näille tahoille langetetaan suurten mainemenetysten lisäksi.

Määrittele, valvo ja hallinnoi suunnitelmallisesti

Tapaus osoittaa hyvin sen, että arkaluontoista ja salaista tietoa tulisi suojella yhtä lailla organisaation sisällä kuin sen ulkopuolellakin. Tietoturva- ja tietosuojapolitiikat sekä henkilöstön tietoisuuden lisääminen ovat tärkeä pohja työlle, mutta ne eivät vielä itsessään riitä estämään tahallisia tietovuotoja, joiden motiivina on usein raha, kosto tai ideologia.

Olennaista on määritellä tarkasti, mikä on arkaluonteista tietoa, missä organisaation hallussa olevat luottamukselliset tiedot sijaitsevat, ketkä niihin pääsevät käsiksi ja miten tietojen käsittelyä valvotaan. Lisäksi kattava lokitietojen kerääminen ja niiden seuranta ovat osa tehokasta sisäistä valvontaa väärinkäyttöjen estämiseksi. Henkilötietojen hallinnoinnin suunnitelmallisuus ja asianmukainen järjestäminen, eli mm. henkilötietojen käsittelyn valvonta, ovat osa tulevassa tietosuoja-asetuksessa vaadittavaa niin kutsuttua tilivelvollisuuden periaatteen toteuttamista. Asetuksessa määritetään myös tuntuvat sanktiot tietovuodoista, jos rekisterinpitäjä ei ole toiminut vastuullisesti.

Älä luota sokeasti kumppaneidesi tietoturvaan

Työssämme olemme usein huomanneet, että monet organisaatiot luottavat myös sokeasti alihankkijoidensa tietoturvallisuuteen ja niihin liittyviin toimintatapoihin. Tämä saattaa pohjautua esimerkiksi yhteen turvallisuuden tunteen tuovaan lauseeseen alihankkijasopimusten osana. Alihankkijat saattavat myös kirkkain silmin vakuuttaa, että he luonnollisesti täyttävät kaikki samat tietoturvavaatimukset kuin alihankintaa ostava organisaatio, mutta todellisuus saattaa olla täysin toisenlainen. Monissa tilanteissa alihankkijat käyttävät, prosessoivat tai heillä on pääsy organisaation arkaluonteiseen tietoon, jolloin organisaation maine ja tätä kautta jopa olemassaolo saattaa olla kiinni alihankkijoiden tietoturvallisesta toiminnasta.

Vaikka tietoturvallisuuden taso kasvaa jatkuvasti, nämä tyypilliset ajattelutavat ovat yllättävän juurtuneita. Meillä Suomessa on ollut kunnia elää kulttuurissa, jossa lähtökohtaisesti toisiin ja toisten sanomisiin voi luottaa. Tämä on edelleen kunnioitettava piirre, mutta muistettaessa tietoturvallisuuden kokonaisvaltaisen hoitamisen haasteet, mustaa valkoisella ei välttämättä aina kuitenkaan vielä riitä. Toiminta tulee aidosti varmistaa, kehitystoimenpiteet tunnistaa ja niiden toteutumista valvoa – oli kyseessä sitten oman organisaation tai alihankkijoiden ja yhteistyökumppaneiden toiminta. On hyvä muistaa, että sinisilmäisyys tietoturvassa voi johtaa helposti skandaaleihin ja maineen menestykseen.

Käy lukemassa myös edellisiä kirjoituksiamme ”Ukrainan kriisi kertoo, siirtyvätkö kansainväliset kriisit ja sodankäynti verkkoon” ja ”Leijonien menestys Sotshissa on organisaatioille tietoturvariski”.

Mika Laaksonen Blogin on kirjoittanut KPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen, joka tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella yhteistyössä Olli Knuutin kanssa, joka toimii asiantuntijana tietoturvan ja liiketoiminnan jatkuvuuden alueilla. 

Voit tutustua myös Mikan ja Ollin osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.