Digitalisaatio

Digitalisaatiolla Suomi ketteräksi

Digitalisaatio on luultavasti käytetyin termi kun kuvataan megatrendejä ja toiminnan tehostamista. Se tarkoittaa prosessien ja palveluiden sähköistämistä siten, että palvelut ovat saatavilla vuorokauden ajasta riippumatta, kaikkialta ja millaisella päätelaitteella tahansa.

Monelle tuttu esimerkki digitalisaatiosta on vakuutusyhtiön verkkopalvelu. Vakuutukset voi ostaa verkosta ja yleensä palvelu on integroitu reaaliajassa muihin järjestelmiin. Esimerkiksi autovakuutusta hankkiessa sovellus on yhteydessä Trafin tietokantaan, ettei kaikkia auton tietoja tarvitse itse naputella rekisteriotteesta nettilomakkeeseen.

Olennaista onnistuneessa digitalisaatiossa on ymmärtää, että pelkkä paperiprosessin siirto nettilomakkeeksi ei riitä, vaan koko prosessi pitää pystyä miettimään uudelleen joustavammaksi, sekä hyödyntää kaikkia niitä rajapintoja, joiden kautta loppukäyttäjän käyttökokemus saadaan mahdollisimman hyväksi. Käyttäjä pystyy vaihtamaan palveluntarjoajaa verkossa helposti ja se valikoituu ennen kaikkea käyttökokemuksen ja nopeuden mukaan.

Hyvin rakennettu verkkopalvelu onkin aina myös kilpailuetu. Kuluttaja saa vahinkoilmoitusta vastaan rahat tilille myös erilaisia kuponkeja täyttämällä, mutta nopeat ja tehokkaat automatisoidut prosessit – jotka eivät myöskään sido henkilötyötä – johtavat kustannusten alenemiseen ja parempaan asiakastyytyväisyyteen.

Tietoturva kansallisen palveluarkkitehtuurin keskiössä

Sipilän hallituksen tavoitteiden mukaisesti Suomi ottaa kymmenessä vuodessa tuottavuusloikan digitalisaation avulla. Julkishallinnon palveluiden digitalisoinnin myötä kansalaisia keskitytään palvelemaan sähköisten kanavien kautta.

Palveluiden digitalisoinnin edetessä esiin nousee luonnollisesti kysymyksiä tietoturvan ja tietosuojan tasosta. Palveluarkkitehtuurin käyttöönoton myötä kansalaiselle luvataan ”palvelulupauksena” ainakin kolme asiaa:

  1. Julkisen hallinnon palveluissa sitoudutaan kysymään samaa tietoa kansalaisilta ja yrityksiltä vain kerran.
  2. Palveluarkkitehtuurin kautta vahvistetaan kansalaisten oikeutta valvoa ja päättää itseään koskevien tietojen käytöstä.
  3. Varmistetaan tietojen sujuva siirtyminen viranomaisten välillä.

Verkkopalveluiden osalta on huomioitava myös mobiliteetin ja pilvipalveluiden vaikutus tietoturvan painopistealueisiin. Aikaisemmin, kun palvelut sijaitsivat omassa konesalissa, voitiin tietoturvaan panostaa hankkimalla riittävä määrä rautaa rajalle pitämään sivulliset poissa. Nyt käyttäjän digitaalinen identiteetti on kaiken keskiössä ja sen asianmukainen käsittely määrittelee palvelun luotettavuuden. Tällä hetkellä vahvoja tunnisteita tavallisen kansalaisen näkökulmasta ovat käytännössä vain pankkitunnisteet ja mobiilivarmenne, mutta tulevaisuudessa esimerkiksi kansallisen palveluarkkitehtuurin mukana syntyvä julkishallinnon tunnistamisen palvelu keskittyy tämän asian ratkaisemiseen.

Ja jos jotain digitalisoituvien verkkopalveluiden tietoturvasta pitää vielä erikseen alleviivata, niin esimerkiksi LähiTapiolan Bug Bounty on osoitus siitä, että alamme olla valmiit palveluiden digitaaliseen käyttöön ”ruudun molemmilla puolilla”.

Jukka LauhiaDirector Jukka Lauhia liittyi KPMG:n vahvuuteen Trusteq-yrityskaupan kautta alkuvuodesta 2015. Hän on rakentanut digitaalisen identiteetin ratkaisuja pohjoismaisille asiakkaille lähes 20 vuoden ajan. Trusteq on osa KPMG Advisory -palvelualuetta.

Pohjoismaiset yritykset vuotavat tietoa kuin seula

Suomea pidetään tietoturvallisena maana ja usein  kuulee eri tahojen toteavan, miten Suomessa on maailman puhtaimmat verkot. Tällä lausunnolla viitataan yleensä siihen, että suomalaisilta työasemilta ja kotitietokoneilta löytyy vähiten tunnettuja haittaohjelmia. Tämä on varmasti totta, mutta antaa virheellisen turvallisuuden tunteen. Suurin haaste on se, että iso osa ongelmista ei ole tunnettuja, eivätkä ne siten näy tilastoissa eivätkä organisaatioiden perinteisten suojausjärjestelmien hälytyksissä.

Totuus on, että suomalaiset ja muut pohjoismaiset yritykset vuotavat tietoja kuin seula. Tilanne on samankaltainen muuallakin, mutta tutkittua tietoa meillä on tällä hetkellä Suomen, Ruotsin ja Tanskan osalta.

Hyvin monessa suuressa organisaatiossa on meneillään sellaisia asioita, jotka eivät jää perinteisten tietoturvakontrollien haaviin ja jotka eivät ole organisaatioiden edun mukaisia. Käytännössä yritysten sisäisistä järjestelmistä lähtee selittämättömiä salattuja yhteyksiä eripuolille maailmaa. Useissa tapauksissa näiden yhteyksien kautta liikkuu merkittävä määrä tietoa. Tiedon sisältöä ja luonnetta voi vain arvailla, mutta se voi olla esimerkiksi yrityssalaisuuksia, henkilötietoja tai muuta vastaavaa suojattavaa tietoa.

Miten välttää tietovuodot?

  1. Tunnista tosiasiat. Puhtaat verkot ovat myytti, jonka suomaan turvallisuuden tunteeseen ei ole varaa tuudittautua.
  2. Pyri suojautumaan. Rakenna suojaukset niin hyvin kuin mahdollista ja testaa suojaustoimenpiteiden toimivuus.
  3. Varaudu pahimpaan. Suojaukset eivät ole aukottomia vaan ne on aina mahdollista ohittaa.
  4. Havaitse ja reagoi. Organisaation tulee pystyä tunnistamaan järjestelmissä tapahtuvat ei-toivotut tapahtumat, sillä muutoin niihin ei voida reagoida.
  5. Mahdollista tutkinta. Tyypillisesti havaittujen tietomurtojen tutkinta on mahdotonta, koska organisaatioilla ei ole riittäviä loki- ja muita tietoja tai niihin ei voida luottaa.

Käy lukemassa myös edelliset blogini ”Palvelunestohyökkäykset – Uhat siirtyvät verkosta arkeen” ja ”Kyberturvallisuus – selviäisikö siitä vakuuttamalla?”.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Kuva: Perspecsys Photos / Flickr (Picture has been cropped)

Kyberturvallisuus – selviäisikö siitä vakuuttamalla?

Kyberturvallisuus ja tietosuoja ovat molemmat asioita, joihin liittyy paljon epätietoisuutta, riskejä ja monimutkaisia toimenpiteitä. Mitä jos vain ostaisin vakuutuksen?

Kybervakuuttaminen on kasvava markkinatrendi ja eräs yritysten liiketoiminnallisen varautumisen kuumista puheenaiheista. Yhdysvaltain kybervakuutusmarkkinan on arvioitu kasvavan jopa 2 miljardin dollarin arvoiseksi vielä vuonna 2014. Euroopan kybervakuutusmarkkina on edelleen huomattavasti pienempi, mutta sen arvioitu kasvuvauhti vuositasolla on jopa 50-100 prosenttia saaden lisäpontta muun muassa EU:n tulevan tietosuoja-asetuksen velvoitteiden ja sanktiopotentiaalin myötä.

Kyberriskin hinnoittelu haastavaa

Kyberhyökkäyksen aiheuttamien liiketoiminnallisten vahinkojen määrittely ja korvaaminen on usein monimutkaista. Samasta syystä sekä vakuutuksen ostaminen että sen myyminen ja hinnoittelu on haastavaa. Perinteisten riskien taloudelliset vaikutukset ja todennäköisyydet ovat huomattavasti paremmin molempien osapuolten tiedossa ja ymmärrettävissä.

Valistunut lukija jo varmaan arvaakin, että kyberturvallisuudesta ei selviä pelkällä vakuutuksen ostamisella. Vastaavalla tavalla kuin esimerkiksi palovakuutuksessa, myös kybervakuutuksessa vakuutuksen ottajalla on velvollisuuksia huolehtia asianmukaisesta suojauksesta ja vahinkojen rajoittamisesta. Palovakuutuskaan ei korvaa palanutta tuotantotilaa ellei sen rakenne ja käyttö ole ollut vakuutusehtojen ja rakennusmääräysten mukaisia.

Kybervakuutus yksi riskienhallinnan keinoista

Kybervakuutuksiin kannattaa kuitenkin tutustua, sillä ne alkavat olla osa yritysten riskienhallinnan keinovalikoimaa. Kybervakuutukset voivat korvata esimerkiksi välittömiä tietoturvahyökkäyksen aiheuttamia toimintakustannuksia, tulonmenetyksiä sekä kiristystä kuten tietovuodolla uhkaamista. Vakuutukset saattavat korvata myös merkittäviä liiketoiminnan katkoksia, inhimillisiä virheitä, immateriaalioikeuksien tai tavaramerkin loukkauksia, kolmansien osapuolten kärsimiä vahinkoja kuten tietomurron aiheuttamia vahinkoja sekä liiketoimintakriittisen tai luottamuksellisen tiedon ja yritysmaineen menetyksiä. Joihinkin vakuutuksiin sisältyy myös tietty määrä asiantuntijaorganisaation tekemää konsultointia tai vahinkotapauksessa tietomurron tutkintatyötä.

5 vinkkiä kybervakuuttamiseen

  1. Selvitä, mitä vakuutuksia on tarjolla, mitä ne kattavat, ja millaisia ehtoja ja rajoituksia niissä on.
  2. Varmista, että oman organisaation tietoturva- ja tietosuojakäytännöt ovat normien ja hyvien käytäntöjen sekä vakuutusehtojen mukaiset.
  3. Panosta erityisesti havainnointi- ja reagointikykyyn, jotta mahdolliset tietomurrot ja tietovuodot voidaan havaita ajoissa ja niihin voidaan reagoida.
  4. Tunnista suojattavat asiat ja kohteet. Suojataanko tiedon luottamuksellisuutta vai prosessia ohjaavien IT-järjestelmien jatkuvuutta?
  5. Käytä vakuutusta yhtenä osana riskienhallintaa, ja muista, että se ei yksinään ratkaise kyberturvallisuutta – valitettavasti.

Lue myös edelliset blogitekstini ”Miljardi vuodettua salasanaa – pitäisikö huolestua?” ja ”Sinisilmäisyys tietoturvassa johtaa skandaaleihin ja maineen menetykseen”.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Kuva: Chris Potter / Flickr (Picture has been cropped)

Miljardi vuodettua salasanaa – pitäisikö huolestua?

Elokuun alussa Hold Security julkisti tiedot väitetystä salasanamurrosta, jossa 420 000 eri verkkopalvelusta kaapattiin yhteensä arviolta puolesta miljardista reiluun miljardiin käyttäjätunnus-salasana-yhdistelmää. Hurja määrä, pitäisikö tästä olla huolestunut? Ei, mikäli salasanoihin liittyvät yksinkertaiset perusasiat ovat sinulla ja organisaatiollasi kunnossa. Eri verkkopalveluja tullaan murtamaan nyt ja jatkossa – se kuuluu tähän päivään.

Yleisten tietomurtojen pohjalta ei tule painaa paniikkinappulaa varsinkaan jos murto ei ole kohdistunut sinuun tai organisaatioosi. Yllä mainittu salasanamurto toimii hyvänä esimerkkinä siitä, miten jäitä kannattaa pistää hattuun tällaisten tapausten yhteydessä. Kyseisen tietomurron yhteydessä organisaatioille alettiin kaupitella maksullisia palveluja, joiden avulla organisaatio voi tarkistaa, onko kaapattujen salasanojen joukossa heille kuuluvia tunnuksia. Vastaavanlaisten tietomurtojen yleistyessä, tapahtumat houkuttelevat helposti eri tarjoajia rahastamaan organisaatioita uutisten aiheuttamalla hysterialla.

Miten minimoit tietomurron riskin?

Organisaation näkökulmasta salasanojen vuotamisen riskiä pienennetään edelleen yksinkertaisin ja perinteisin keinoin: määrittelemällä salasanapolitiikka, kieltämällä samojen salasanojen käyttö organisaation ja yleisten verkkopalvelujen välillä sekä kouluttamalla henkilöstöä säännöllisesti.

Oman haasteensa kuvioon tuo organisaatioiden lisääntyvät pilvipohjaiset palvelut. Erityisesti palvelun ollessa liiketoimintakriittinen, on syytä välttää käyttäjähallinnan ulkoistamista pilvipalvelun tarjoajalle. Organisaation tulee muodostaa vähintään selkeä sisäinen politiikka asiasta sekä määritellä tarkasti sopimusehdot palvelusopimuksessa. Näin reagointinopeus ja -vastuu säilyvät salasanavuototilanteessa organisaatiolla itsellään. Muussa tapauksessa riskinä saattaa olla se, että yrityksen järjestelmissä ja ulkoisissa työkäyttöön liittyvissä palveluissa käytetään samoja salasanoja tai käyttäjät eivät suojaa ulkoisissa palveluissa olevia yritysten tietoja riittävän vahvoilla salasanoilla.

Mitkä ovat kriittisimmät salasanat yksityishenkilöille?

Myös yksityishenkilöille salasanojen hallinta aiheuttaa tunnetusti harmaita hiuksia. Useimmat salasanoista ja käyttäjätunnuksista johtuvat tietovuodot liittyvätkin juuri yksityisten henkilöiden käyttämiin vapaa-aikaan liittyviin palveluihin. Internet on täynnä kirjautumista vaativia palveluja ja periaatteessa niiden salasanoja tulisi vaihtaa jatkuvasti. Taakkaa helpottaakseen palvelut kannattaa jakaa kolmeen eri luokkaan niiden tarjoaman sisällön perusteella:

  1. Rahaan, henkilötietoihin tai muuhun arkaluontoisiin tietoihin liittyvät palvelut, kuten esimerkiksi PayPal-maksujenvälitysjärjestelmä. Käytä näissä palveluissa vahvoja erillisiä salasanoja ja vaihda ne säännöllisesti.
  2. Yksityisyyteen ja luottamuksellisuuteen vaativat palvelut, kuten Facebook ja Twitter. Käytä palveluiden välillä eri salasanaa ja pyri vaihtamaan niitä aika ajoin.
  3. Satunnaiset ja sisällöltään esimerkiksi hupia sisältävät sivustot, joissa ulkopuolisen pääsy ei käytännössä aiheuta henkilölle merkittävää haittaa. Näissä palveluissa voit käyttää samaa salasanaa

Jos sinulla on vaikeuksia muistaa salasanoja käyttämiisi palveluihin, yksi ratkaisu on ulkoistaa ongelma ja käyttää erillistä ohjelmistoa salasanojen hallinnointiin. Tällaisiin ohjelmiin voit tallentaa yhden pääsalasanan taakse kaikki käyttämäsi salasanat, jolloin käytännössä yhden salasanan muistaminen riittää. Toisaalta kaikki munat ovat tässä tapauksessa samassa korissa, joten kyseiseen palveluntarjoajaan ja tuotteeseen on tällöin syytä tutustua huolella ja siihen on pystyttävä luottamaan. Yksityishenkilönäkin kannattaa tarkistaa tällaisten palveluiden osalta, onko niillä tietoturvallisuuden hyvistä käytännöistä kertovia sertifiointeja tai ISAE-lausuntoja.

Vaikka tietomurrot tulevat varmasti yleistymään entisestään ja tuhot voivat olla pahimmassa tapauksessa merkittäviä, voi oman organisaation ulkopuolelle kohdistuvien tietomurtojen aiheuttamia välillisiä riskejä pienentää hyvinkin yksinkertaisten ja tuttujen keinojen avulla. Tärkeintä on tiedostaa uhat ja varautua ja valmistautua niihin ajoissa. Näin voidaan välttää paniikkinappulan painamista ja siitä mahdollisesti seuraavia väärien ratkaisujen tekemistä. Tutut ja helpot keinot kannattaa muistaa myös yksityishenkilötasolla, jolloin välttyy parhaimmillaan taloudellisilta menetyksiltä ja yksityisten tietojen joutumiselta vääriin käsiin.

Käy lukemassa myös edelliset blogimme ”Sinisilmäisyys tietoturvassa johtaa skandaaleihin ja maineen menetykseen” ja ”Ukrainan kriisi kertoo, siirtyvätkö kansainväliset kriisit ja sodankäynti verkkoon”.

Mika Laaksonen Blogin on kirjoittanut KPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen, joka tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella yhteistyössä Olli Knuutin kanssa, joka toimii asiantuntijana tietoturvan ja liiketoiminnan jatkuvuuden alueilla. 

Voit tutustua myös Mikan ja Ollin osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Sinisilmäisyys tietoturvassa johtaa skandaaleihin ja maineen menetykseen

Viimeisten vuosien aikana organisaatioiden tietoisuus ulkoisista tietoturvauhista on kasvanut ja niihin on myös panostettu merkittävästi. Valitettavasti tämä kehitys saattaa aiheuttaa sokeutta kaikkein perinteisimmille uhille, jotka sijaitsevat lähempänä kuin usein muistammekaan.

Viime viikolla Helsingin Sanomat uutisoi tanskalaisen juorulehden tapauksesta, jossa tanskalaisten kuninkaallisten ja julkisuuden henkilöiden luottokortti- ja henkilötietoja oli vuodettu säännöllisesti lehden käyttöön usean eri organisaation toimesta. Näihin lukeutuivat mm. luottokorttiyhtiö, lentoyhtiö ja sairaala. Juorulehden intressinä oli saada tietoa julkkisten ostoksista, matkoista ja muista tekemisistä. Tietojen vuotajien intressinä oli raha.

Tapauksen tultua julkisuuteen ja juorulehden painiessa oman skandaalinsa parissa, tulilinjalla ovat myös edellä mainittuihin tietovuotoihin osallistuneet organisaatiot. Selvää on, että kyseessä ei ole henkilötietojen asiallinen käyttö. Mikäli EU:n tuleva tietosuoja-asetus olisi jo voimassa, organisaatioita uhkaisivat hyvin merkittävät taloudelliset sanktiot, jotka asetuksen luonnoksen mukaan voisivat olla jopa 5 prosenttia yrityksen maailmanlaajuisesta liikevaihdosta tai 100 miljoonaa euroa. Tulevaisuus näyttää, millaisia sanktioita näille tahoille langetetaan suurten mainemenetysten lisäksi.

Määrittele, valvo ja hallinnoi suunnitelmallisesti

Tapaus osoittaa hyvin sen, että arkaluontoista ja salaista tietoa tulisi suojella yhtä lailla organisaation sisällä kuin sen ulkopuolellakin. Tietoturva- ja tietosuojapolitiikat sekä henkilöstön tietoisuuden lisääminen ovat tärkeä pohja työlle, mutta ne eivät vielä itsessään riitä estämään tahallisia tietovuotoja, joiden motiivina on usein raha, kosto tai ideologia.

Olennaista on määritellä tarkasti, mikä on arkaluonteista tietoa, missä organisaation hallussa olevat luottamukselliset tiedot sijaitsevat, ketkä niihin pääsevät käsiksi ja miten tietojen käsittelyä valvotaan. Lisäksi kattava lokitietojen kerääminen ja niiden seuranta ovat osa tehokasta sisäistä valvontaa väärinkäyttöjen estämiseksi. Henkilötietojen hallinnoinnin suunnitelmallisuus ja asianmukainen järjestäminen, eli mm. henkilötietojen käsittelyn valvonta, ovat osa tulevassa tietosuoja-asetuksessa vaadittavaa niin kutsuttua tilivelvollisuuden periaatteen toteuttamista. Asetuksessa määritetään myös tuntuvat sanktiot tietovuodoista, jos rekisterinpitäjä ei ole toiminut vastuullisesti.

Älä luota sokeasti kumppaneidesi tietoturvaan

Työssämme olemme usein huomanneet, että monet organisaatiot luottavat myös sokeasti alihankkijoidensa tietoturvallisuuteen ja niihin liittyviin toimintatapoihin. Tämä saattaa pohjautua esimerkiksi yhteen turvallisuuden tunteen tuovaan lauseeseen alihankkijasopimusten osana. Alihankkijat saattavat myös kirkkain silmin vakuuttaa, että he luonnollisesti täyttävät kaikki samat tietoturvavaatimukset kuin alihankintaa ostava organisaatio, mutta todellisuus saattaa olla täysin toisenlainen. Monissa tilanteissa alihankkijat käyttävät, prosessoivat tai heillä on pääsy organisaation arkaluonteiseen tietoon, jolloin organisaation maine ja tätä kautta jopa olemassaolo saattaa olla kiinni alihankkijoiden tietoturvallisesta toiminnasta.

Vaikka tietoturvallisuuden taso kasvaa jatkuvasti, nämä tyypilliset ajattelutavat ovat yllättävän juurtuneita. Meillä Suomessa on ollut kunnia elää kulttuurissa, jossa lähtökohtaisesti toisiin ja toisten sanomisiin voi luottaa. Tämä on edelleen kunnioitettava piirre, mutta muistettaessa tietoturvallisuuden kokonaisvaltaisen hoitamisen haasteet, mustaa valkoisella ei välttämättä aina kuitenkaan vielä riitä. Toiminta tulee aidosti varmistaa, kehitystoimenpiteet tunnistaa ja niiden toteutumista valvoa – oli kyseessä sitten oman organisaation tai alihankkijoiden ja yhteistyökumppaneiden toiminta. On hyvä muistaa, että sinisilmäisyys tietoturvassa voi johtaa helposti skandaaleihin ja maineen menestykseen.

Käy lukemassa myös edellisiä kirjoituksiamme ”Ukrainan kriisi kertoo, siirtyvätkö kansainväliset kriisit ja sodankäynti verkkoon” ja ”Leijonien menestys Sotshissa on organisaatioille tietoturvariski”.

Mika Laaksonen Blogin on kirjoittanut KPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen, joka tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella yhteistyössä Olli Knuutin kanssa, joka toimii asiantuntijana tietoturvan ja liiketoiminnan jatkuvuuden alueilla. 

Voit tutustua myös Mikan ja Ollin osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Ukrainan kriisi kertoo siirtyvätkö kansainväliset kriisit ja sodankäynti verkkoon

Ukrainan kriisi kertoo, siirtyvätkö kansainväliset kriisit ja sodankäynti verkkoon

Viime vuosina on ennustettu, että kansainväliset kriisit ja sodat tapahtuvat tulevaisuudessa tietoverkossa kybersotana. Yksi esimerkki heräämisestä tähän todellisuuteen oli Suomen kyberturvallisuusstrategian julkaisu. Nyt, kun Ukrainan Krimin kriisi on ollut käynnissä jo hyvän aikaa, on mahdollista tarkastella, onko näin todellisuudessa tapahtunut. Vai onko kyseessä ollut vain ilman todellisuuspohjaa oleva spekulointi?

Sotavoimia ei ole kriisissä toistaiseksi käytetty, mutta uhka ei ole kuitenkaan poistunut. Sotilaallisen väliintulon uhka on ollut tapa painostaa Ukrainaa. Toisaalta se on myös rajoittanut Naton, EU:n ja Yhdysvaltojen halukuutta puuttua tilanteeseen sotilaallisesti. Tähän asti kyseessä on ollut mediapeli, politikointi ja muu vaikuttaminen. Entä se kybersodankäynti?

Ukrainassa tapahtuu paljon kyberrintamalla

Toistaiseksi ei ole uutisoitu mitään sellaisia kyberhyökkäyksiä, joilla olisi ollut merkittävää ja laaja-alaista vaikutusta jonkun maan tai maanosan kykyyn tuottaa kansalaisten peruspalveluja tai joka olisi vaikuttanut näkyvästi toisen maan sotilaalliseen suorituskykyyn. Toistaiseksi tällaisia vaikutuksia ei ehkä ole haluttukaan aiheuttaa. Samalla tavalla kuin perinteistäkään sotilaallista voimaa ei ole haluttu käyttää. Paljon on silti tapahtunut myös kyberrintamalla. Alla muutamia esimerkkejä:

Näiden ja muiden julkisuudessa olleiden esimerkkien valossa voidaan todeta, että kriisin tässä vaiheessa kyberhyökkäyksiä on käytetty lähinnä tiedusteluun sekä eri ryhmien vastustajakseen katsomien tahojen pienimuotoiseen häirintään. Snake-haittaohjelma ukrainalaisissa järjestelmissä on hyvä esimerkki siitä, että Venäjällä olisi kykyä tehdä muutakin kuin tiedustella. Toistaiseksi tätä kykyä ei ole näkyvästi käytetty. Toivottavasti sitä tai perinteistä sotavoimaa ei myöskään tulla käyttämään tämän tai muidenkaan kriisien yhteydessä.

Selvää on, että sodankäynti on siirtynyt mediaan ja tietoverkkoon.

Käy lukemassa myös viimeisimmät blogitekstini ”Myytinmurtajat – kohteena suomalainen kyberturvallisuus” ja ”Teollinen internet – uusi tietoturvapainajainen”.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Leijonien menestys Sotshissa on organisaatioille tietoturvariski

Viime viikon torstaina käynnistyivät pitkään odotetut olympialaiset Suomen jääkiekon osalta. Viimeaikaisten urheilutapahtumien myötä olemme törmänneet aivan uudenlaisiin tietoturvallisuuden haasteisiin.

Tietoturvallisuuden kannalta haasteellinen tilanne aiheutui Tampereen kaupungin työntekijöiden seuratessa YLE Areena -palvelun välittämää suoratoistolähetystä Suomen Leijonien avausottelusta. Ottelua katsoessaan työntekijät saattoivat huomaamattaan häiritä potilastietojärjestelmien käyttöä. Luultavasti vähintään 100 000 suomalaista seurasi samaista ottelua internetistä työpaikoillaan ja eri oppilaitosten verkoissa. Se on tietysti sinänsä hyvä uutinen ja toimii erinomaisena esimerkkinä tekniikan hyötypotentiaalin käyttöönotosta ja siitä, miten eri mediaratkaisut kehittyvät käyttäjäläheisemmiksi.

Suoratoistoon liittyy monenlaisia uhkia

Aihetta olisi mahdollista lähestyä kysymällä, onko tällainen työajan käyttö sallittua ja sopivaa? Jättämällä humoristiseksi tarkoitetut viisastelut sikseen, voimme syventyä itse ongelmaan ja kysyä miten julkishallinnon, eri yhtiöiden ja kansallisen koulutusjärjestelmämme tietohallinnot ovat varautuneet tämän kaltaiseen toimintaa haittaavaan liikenteeseen? Ilmiöhän voitaisiin määritellä myös aivan uudenlaiseksi hyökkäystavaksi – nimetään se tässä tapauksessa vaikkapa ”Internal Distributed Denial of Services” (IDDS), jossa hajautetusti organisaation sisältä pyritään estämään oman verkon palveluiden saatavuus.

Tämän kaltaisessa yleisen massan omavaltaisessa toiminnassa, joka luultavasti rikkoo organisaation tietoturvapolitiikkaa, on myös muita suuria riskejä. Tässä tapauksessa YLE tarjoaa luotettavan palvelunsa kautta suoratoistoa olympiakisoista, mutta kuinka moni suomalainen etsii internetistä hakuammunnalla erilaisia suoratoistosivustoja nähdäkseen maksullisten kanavien lähetyksiä paikallisten urheilusarjojemme finaaleista tai formulasankarimme suorituksista? Ei tarvitse olla suurikaan skeptikko epäilläkseen Googlen ja sosiaalisten medioiden kautta löytyvien sivustojen turvallisuutta erilaisten haittaohjelmien välittäjinä.

Monissa tapauksissa verkkojen käyttö on jo valmiiksi niin äärirajoilla, että tahattomasti aikaansaatu ”IDDS” on lähellä. Kuinka monessa organisaatiossa tänä päivänä varaudutaan juuri tällaisiin yllättäviin piikkeihin tietoliikenneverkon käytössä? Tulisiko organisaatioiden suunnitella jatkossa IT-arkkitehtuuriaan entistä tarkemmin liiketoimintakriittisten järjestelmien ja sovellusten tietoliikennetarpeiden mukaan? Eli luoda periaatteet sille, mihin tarkoitukseen, millä prioriteetilla ja millä aikavälillä tietoliikenneverkkoa saa käyttää – ja kuka tai mikä sitä saa käyttää?

Bring your own network!

Mikäli paniikkinappulaa on jo painettu, on olemassa myös eräs nopea ja kustannustehokas ensiratkaisu. Jos organisaatiolla on toimiva Bring your own device (BYOD) -politiikka ja olympialaisten seuraaminen on virallisesti sallittua työajalla, tulisi työntekijöiden hoitaa mahdollinen suoratoisto omien mobiililaitteidensa kautta käyttäen muita kuin organisaation verkkoa. Näin poistettaisiin riski (liike)toimintakriittisten järjestelmien hidastumisesta sekä uhka mahdollisista haittaohjelmista. Asian voisi myös ilmaista kauniisti toteamalla: Bring your own network!

Suomen Leijonien seuraava peli on keskiviikkona Norja vs. Venäjä -pelin voittajaa vastaan. Pelin tarkkaa ajankohta ei ole vielä tiedossa, mutta kisasivuston mukaan se alkaa joko 10.00, 14.30 tai 19.00. Kahden aikaisemman ajankohdan osuessa Suomen ja Venäjän otteluajaksi, organisaatioiden verkot tulevat olemaan kovilla. Yrityksillä ja julkishallinnon organisaatioilla on siis keskiviikkoaamuun asti aikaa reagoida asiaan tai sitten vain toivoa, että pelin ajankohdaksi tulee iltaohjelman mukainen 19.00. Suomen kyberturvallisuuden seuraavan haasteen määrittelee siis Häkämiestä mukaillen kolme asiaa: 1) ajankohta, 2) oma toimintamme ja 3) Venäjä.

Näissä tunnelmissa toivomme peukut pystyssä sekä Suomen menestystä että elintärkeiden ja liiketoimintakriittisten järjestelmien toimivuutta!

Blogin on kirjoittanut olympiatunnelmissa
Partner Harri Wihuri, joka vastaa liikkeenjohdon konsultoinnin palveluista,
Kristian Backman, joka on tietoturvan ja kokonaisarkkitehtuurin asiantuntija sekä
Olli Knuuti, joka toimii asiantuntijana tietoturvan ja liiketoiminnan jatkuvuuden alueilla.