Digitalisaatio

Digitalisaatiolla Suomi ketteräksi

Digitalisaatio on luultavasti käytetyin termi kun kuvataan megatrendejä ja toiminnan tehostamista. Se tarkoittaa prosessien ja palveluiden sähköistämistä siten, että palvelut ovat saatavilla vuorokauden ajasta riippumatta, kaikkialta ja millaisella päätelaitteella tahansa.

Monelle tuttu esimerkki digitalisaatiosta on vakuutusyhtiön verkkopalvelu. Vakuutukset voi ostaa verkosta ja yleensä palvelu on integroitu reaaliajassa muihin järjestelmiin. Esimerkiksi autovakuutusta hankkiessa sovellus on yhteydessä Trafin tietokantaan, ettei kaikkia auton tietoja tarvitse itse naputella rekisteriotteesta nettilomakkeeseen.

Olennaista onnistuneessa digitalisaatiossa on ymmärtää, että pelkkä paperiprosessin siirto nettilomakkeeksi ei riitä, vaan koko prosessi pitää pystyä miettimään uudelleen joustavammaksi, sekä hyödyntää kaikkia niitä rajapintoja, joiden kautta loppukäyttäjän käyttökokemus saadaan mahdollisimman hyväksi. Käyttäjä pystyy vaihtamaan palveluntarjoajaa verkossa helposti ja se valikoituu ennen kaikkea käyttökokemuksen ja nopeuden mukaan.

Hyvin rakennettu verkkopalvelu onkin aina myös kilpailuetu. Kuluttaja saa vahinkoilmoitusta vastaan rahat tilille myös erilaisia kuponkeja täyttämällä, mutta nopeat ja tehokkaat automatisoidut prosessit – jotka eivät myöskään sido henkilötyötä – johtavat kustannusten alenemiseen ja parempaan asiakastyytyväisyyteen.

Tietoturva kansallisen palveluarkkitehtuurin keskiössä

Sipilän hallituksen tavoitteiden mukaisesti Suomi ottaa kymmenessä vuodessa tuottavuusloikan digitalisaation avulla. Julkishallinnon palveluiden digitalisoinnin myötä kansalaisia keskitytään palvelemaan sähköisten kanavien kautta.

Palveluiden digitalisoinnin edetessä esiin nousee luonnollisesti kysymyksiä tietoturvan ja tietosuojan tasosta. Palveluarkkitehtuurin käyttöönoton myötä kansalaiselle luvataan ”palvelulupauksena” ainakin kolme asiaa:

  1. Julkisen hallinnon palveluissa sitoudutaan kysymään samaa tietoa kansalaisilta ja yrityksiltä vain kerran.
  2. Palveluarkkitehtuurin kautta vahvistetaan kansalaisten oikeutta valvoa ja päättää itseään koskevien tietojen käytöstä.
  3. Varmistetaan tietojen sujuva siirtyminen viranomaisten välillä.

Verkkopalveluiden osalta on huomioitava myös mobiliteetin ja pilvipalveluiden vaikutus tietoturvan painopistealueisiin. Aikaisemmin, kun palvelut sijaitsivat omassa konesalissa, voitiin tietoturvaan panostaa hankkimalla riittävä määrä rautaa rajalle pitämään sivulliset poissa. Nyt käyttäjän digitaalinen identiteetti on kaiken keskiössä ja sen asianmukainen käsittely määrittelee palvelun luotettavuuden. Tällä hetkellä vahvoja tunnisteita tavallisen kansalaisen näkökulmasta ovat käytännössä vain pankkitunnisteet ja mobiilivarmenne, mutta tulevaisuudessa esimerkiksi kansallisen palveluarkkitehtuurin mukana syntyvä julkishallinnon tunnistamisen palvelu keskittyy tämän asian ratkaisemiseen.

Ja jos jotain digitalisoituvien verkkopalveluiden tietoturvasta pitää vielä erikseen alleviivata, niin esimerkiksi LähiTapiolan Bug Bounty on osoitus siitä, että alamme olla valmiit palveluiden digitaaliseen käyttöön ”ruudun molemmilla puolilla”.

Jukka LauhiaDirector Jukka Lauhia liittyi KPMG:n vahvuuteen Trusteq-yrityskaupan kautta alkuvuodesta 2015. Hän on rakentanut digitaalisen identiteetin ratkaisuja pohjoismaisille asiakkaille lähes 20 vuoden ajan. Trusteq on osa KPMG Advisory -palvelualuetta.

Kyberturvallisuus kunnissa

Ovatko kunnat vastuussa Suomen kyberturvallisuudesta?

Kyberturvallisuuden fokus on yleensä kriittisen infrastruktuurin turvaamisessa ja yhteiskunnan elintärkeiden toimintojen ylläpidossa. Merkittävä osuus tästä kriittisestä infrastruktuurista on kuntien tai kuntien liikelaitosten omistuksessa ja vastuulla. Hyvin keskeisessä roolissa ovat muun muassa veden- ja sähkön tuotanto ja jakelu sekä terveydenhuolto. Näiden kaikkien toimintojen tulee toimia häiriöttä, eikä kyseisten järjestelmien toimintaan saisi pystyä vaikuttamaan esimerkiksi kyberrikollisuuden keinoin.

Suomessa on kuluneen vuoden aikana ollut lukuisia IT-järjestelmiin kohdistuneita häiriöitä ja hyökkäyksiä. Julkisuudessa on ollut muun muassa pankki- ja telesektorin ongelmia. Kaiken työssä näkemäni ja kokemani perusteella kuntien kriittisen infrastruktuurin tietojärjestelmien turvallisuuden tila on huolestuttavan heikolla tasolla, joten häiriöt ja tietomurrot ovat hyvin todennäköisiä.

Kuntien hallussa paljon arkaluontoista tietoa

Kuntien hallussa on paljon tietoa, kuten esimerkiksi potilastietoja, joiden suojaamiseen on lakisääteisiä velvoitteita. Loppukesästä julkisuudessa oli Ashley Madison -tietovuoto, jossa palveluun liittyviä tietoja käytettiin palveluntarjoajan ja käyttäjien kiristämiseen ja lopulta tiedot julkaistiin. Ihmisten yksityiselämään liittyvien tietojen julkaiseminen on tiettävästi johtanut lukuisiin avioeroihin ja jopa itsemurhiin. Voisiko sama tapahtua potilastietojen osalta?

Alkuvuodesta puolestaan raportoitiin tapaus, jossa hakkerit olivat aiheuttaneet tietojärjestelmien kautta fyysistä tuhoa saksalaiselle terästehtaalle. Jo vuonna 2011 tunkeutujat häiritsivät Illinoisin vedenjakelua tietojärjestelmien kautta. Sähköverkot, sähkön jakelu ja tuotanto ovat olleet hyökkäyksen kohteena jo useita kertoja ja usein hyökkäykset ovat myös olleet onnistuneita. Miksi näin ei voisi tapahtua Suomessa? Kysymys taitaa enemmänkin olla, että milloin näin tapahtuu.

Tarvitaanko kunnille tietoturvavelvoite?

Kehitystä on tapahtunut siinä suhteessa, että nykyisin tietoturva-asioita mietitään ja tehdään liiketoiminnallisista lähtökohdista, eikä taustalla tarvitse aina olla velvoittavia normeja. Toisaalta monessa paikassa tietoturvatyö nähdään myös kulueränä, jonka takaisinmaksuaikaa on vaikea määritellä ja riskejä helppo vähätellä. Tietoturvatasot eivät toistaiseksi ole suoraan kuntia velvoittavia, mutta käytäntö on lisääntynyt ja keskustelua asiasta käydään. Lisäksi on toki muitakin säädöksiä, jotka velvoittavat kuntia suojaamaan muun muassa henkilötietoja ja potilastietoja riittävällä tavalla.

Tietoturvatasojen epäsuora velvoittavuus tulee muun muassa viranomaisyhteistyön kautta Tuve-verkkoon liittyen. Toinen esimerkki on kuntien yhteinen KY-verkko, josta on liittymä myös valtion VY-verkkoon. KY-verkkoon liittyville verkoille ja järjestelmille asetetaan tietoturvavaatimuksia, joiden toteuttamisen ja toteen näyttämisen pohjana ovat tietoturvatasot. Valtionhallinnossa on työn alla myös varautumisen sekä jatkuvuuden hallinnan VAHTI-ohje, joka voi toimia hyvänä ohjenuorana myös kunnissa.

Tietoturvallisuuteen liittyvät asiat ja vaatimukset on järkevää pitää mielessä ja huomioida jo hankintojen, palveluiden digitalisaation ja toiminnan sekä prosessien kehittämisen alkuvaiheessa. Näin uusista palveluista ja ratkaisuista saadaan turvallisia ja vikasietoisia jo käyttöönottovaiheessa.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Kyberturvallisuus – selviäisikö siitä vakuuttamalla?

Kyberturvallisuus ja tietosuoja ovat molemmat asioita, joihin liittyy paljon epätietoisuutta, riskejä ja monimutkaisia toimenpiteitä. Mitä jos vain ostaisin vakuutuksen?

Kybervakuuttaminen on kasvava markkinatrendi ja eräs yritysten liiketoiminnallisen varautumisen kuumista puheenaiheista. Yhdysvaltain kybervakuutusmarkkinan on arvioitu kasvavan jopa 2 miljardin dollarin arvoiseksi vielä vuonna 2014. Euroopan kybervakuutusmarkkina on edelleen huomattavasti pienempi, mutta sen arvioitu kasvuvauhti vuositasolla on jopa 50-100 prosenttia saaden lisäpontta muun muassa EU:n tulevan tietosuoja-asetuksen velvoitteiden ja sanktiopotentiaalin myötä.

Kyberriskin hinnoittelu haastavaa

Kyberhyökkäyksen aiheuttamien liiketoiminnallisten vahinkojen määrittely ja korvaaminen on usein monimutkaista. Samasta syystä sekä vakuutuksen ostaminen että sen myyminen ja hinnoittelu on haastavaa. Perinteisten riskien taloudelliset vaikutukset ja todennäköisyydet ovat huomattavasti paremmin molempien osapuolten tiedossa ja ymmärrettävissä.

Valistunut lukija jo varmaan arvaakin, että kyberturvallisuudesta ei selviä pelkällä vakuutuksen ostamisella. Vastaavalla tavalla kuin esimerkiksi palovakuutuksessa, myös kybervakuutuksessa vakuutuksen ottajalla on velvollisuuksia huolehtia asianmukaisesta suojauksesta ja vahinkojen rajoittamisesta. Palovakuutuskaan ei korvaa palanutta tuotantotilaa ellei sen rakenne ja käyttö ole ollut vakuutusehtojen ja rakennusmääräysten mukaisia.

Kybervakuutus yksi riskienhallinnan keinoista

Kybervakuutuksiin kannattaa kuitenkin tutustua, sillä ne alkavat olla osa yritysten riskienhallinnan keinovalikoimaa. Kybervakuutukset voivat korvata esimerkiksi välittömiä tietoturvahyökkäyksen aiheuttamia toimintakustannuksia, tulonmenetyksiä sekä kiristystä kuten tietovuodolla uhkaamista. Vakuutukset saattavat korvata myös merkittäviä liiketoiminnan katkoksia, inhimillisiä virheitä, immateriaalioikeuksien tai tavaramerkin loukkauksia, kolmansien osapuolten kärsimiä vahinkoja kuten tietomurron aiheuttamia vahinkoja sekä liiketoimintakriittisen tai luottamuksellisen tiedon ja yritysmaineen menetyksiä. Joihinkin vakuutuksiin sisältyy myös tietty määrä asiantuntijaorganisaation tekemää konsultointia tai vahinkotapauksessa tietomurron tutkintatyötä.

5 vinkkiä kybervakuuttamiseen

  1. Selvitä, mitä vakuutuksia on tarjolla, mitä ne kattavat, ja millaisia ehtoja ja rajoituksia niissä on.
  2. Varmista, että oman organisaation tietoturva- ja tietosuojakäytännöt ovat normien ja hyvien käytäntöjen sekä vakuutusehtojen mukaiset.
  3. Panosta erityisesti havainnointi- ja reagointikykyyn, jotta mahdolliset tietomurrot ja tietovuodot voidaan havaita ajoissa ja niihin voidaan reagoida.
  4. Tunnista suojattavat asiat ja kohteet. Suojataanko tiedon luottamuksellisuutta vai prosessia ohjaavien IT-järjestelmien jatkuvuutta?
  5. Käytä vakuutusta yhtenä osana riskienhallintaa, ja muista, että se ei yksinään ratkaise kyberturvallisuutta – valitettavasti.

Lue myös edelliset blogitekstini ”Miljardi vuodettua salasanaa – pitäisikö huolestua?” ja ”Sinisilmäisyys tietoturvassa johtaa skandaaleihin ja maineen menetykseen”.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Kuva: Chris Potter / Flickr (Picture has been cropped)

Miljardi vuodettua salasanaa – pitäisikö huolestua?

Elokuun alussa Hold Security julkisti tiedot väitetystä salasanamurrosta, jossa 420 000 eri verkkopalvelusta kaapattiin yhteensä arviolta puolesta miljardista reiluun miljardiin käyttäjätunnus-salasana-yhdistelmää. Hurja määrä, pitäisikö tästä olla huolestunut? Ei, mikäli salasanoihin liittyvät yksinkertaiset perusasiat ovat sinulla ja organisaatiollasi kunnossa. Eri verkkopalveluja tullaan murtamaan nyt ja jatkossa – se kuuluu tähän päivään.

Yleisten tietomurtojen pohjalta ei tule painaa paniikkinappulaa varsinkaan jos murto ei ole kohdistunut sinuun tai organisaatioosi. Yllä mainittu salasanamurto toimii hyvänä esimerkkinä siitä, miten jäitä kannattaa pistää hattuun tällaisten tapausten yhteydessä. Kyseisen tietomurron yhteydessä organisaatioille alettiin kaupitella maksullisia palveluja, joiden avulla organisaatio voi tarkistaa, onko kaapattujen salasanojen joukossa heille kuuluvia tunnuksia. Vastaavanlaisten tietomurtojen yleistyessä, tapahtumat houkuttelevat helposti eri tarjoajia rahastamaan organisaatioita uutisten aiheuttamalla hysterialla.

Miten minimoit tietomurron riskin?

Organisaation näkökulmasta salasanojen vuotamisen riskiä pienennetään edelleen yksinkertaisin ja perinteisin keinoin: määrittelemällä salasanapolitiikka, kieltämällä samojen salasanojen käyttö organisaation ja yleisten verkkopalvelujen välillä sekä kouluttamalla henkilöstöä säännöllisesti.

Oman haasteensa kuvioon tuo organisaatioiden lisääntyvät pilvipohjaiset palvelut. Erityisesti palvelun ollessa liiketoimintakriittinen, on syytä välttää käyttäjähallinnan ulkoistamista pilvipalvelun tarjoajalle. Organisaation tulee muodostaa vähintään selkeä sisäinen politiikka asiasta sekä määritellä tarkasti sopimusehdot palvelusopimuksessa. Näin reagointinopeus ja -vastuu säilyvät salasanavuototilanteessa organisaatiolla itsellään. Muussa tapauksessa riskinä saattaa olla se, että yrityksen järjestelmissä ja ulkoisissa työkäyttöön liittyvissä palveluissa käytetään samoja salasanoja tai käyttäjät eivät suojaa ulkoisissa palveluissa olevia yritysten tietoja riittävän vahvoilla salasanoilla.

Mitkä ovat kriittisimmät salasanat yksityishenkilöille?

Myös yksityishenkilöille salasanojen hallinta aiheuttaa tunnetusti harmaita hiuksia. Useimmat salasanoista ja käyttäjätunnuksista johtuvat tietovuodot liittyvätkin juuri yksityisten henkilöiden käyttämiin vapaa-aikaan liittyviin palveluihin. Internet on täynnä kirjautumista vaativia palveluja ja periaatteessa niiden salasanoja tulisi vaihtaa jatkuvasti. Taakkaa helpottaakseen palvelut kannattaa jakaa kolmeen eri luokkaan niiden tarjoaman sisällön perusteella:

  1. Rahaan, henkilötietoihin tai muuhun arkaluontoisiin tietoihin liittyvät palvelut, kuten esimerkiksi PayPal-maksujenvälitysjärjestelmä. Käytä näissä palveluissa vahvoja erillisiä salasanoja ja vaihda ne säännöllisesti.
  2. Yksityisyyteen ja luottamuksellisuuteen vaativat palvelut, kuten Facebook ja Twitter. Käytä palveluiden välillä eri salasanaa ja pyri vaihtamaan niitä aika ajoin.
  3. Satunnaiset ja sisällöltään esimerkiksi hupia sisältävät sivustot, joissa ulkopuolisen pääsy ei käytännössä aiheuta henkilölle merkittävää haittaa. Näissä palveluissa voit käyttää samaa salasanaa

Jos sinulla on vaikeuksia muistaa salasanoja käyttämiisi palveluihin, yksi ratkaisu on ulkoistaa ongelma ja käyttää erillistä ohjelmistoa salasanojen hallinnointiin. Tällaisiin ohjelmiin voit tallentaa yhden pääsalasanan taakse kaikki käyttämäsi salasanat, jolloin käytännössä yhden salasanan muistaminen riittää. Toisaalta kaikki munat ovat tässä tapauksessa samassa korissa, joten kyseiseen palveluntarjoajaan ja tuotteeseen on tällöin syytä tutustua huolella ja siihen on pystyttävä luottamaan. Yksityishenkilönäkin kannattaa tarkistaa tällaisten palveluiden osalta, onko niillä tietoturvallisuuden hyvistä käytännöistä kertovia sertifiointeja tai ISAE-lausuntoja.

Vaikka tietomurrot tulevat varmasti yleistymään entisestään ja tuhot voivat olla pahimmassa tapauksessa merkittäviä, voi oman organisaation ulkopuolelle kohdistuvien tietomurtojen aiheuttamia välillisiä riskejä pienentää hyvinkin yksinkertaisten ja tuttujen keinojen avulla. Tärkeintä on tiedostaa uhat ja varautua ja valmistautua niihin ajoissa. Näin voidaan välttää paniikkinappulan painamista ja siitä mahdollisesti seuraavia väärien ratkaisujen tekemistä. Tutut ja helpot keinot kannattaa muistaa myös yksityishenkilötasolla, jolloin välttyy parhaimmillaan taloudellisilta menetyksiltä ja yksityisten tietojen joutumiselta vääriin käsiin.

Käy lukemassa myös edelliset blogimme ”Sinisilmäisyys tietoturvassa johtaa skandaaleihin ja maineen menetykseen” ja ”Ukrainan kriisi kertoo, siirtyvätkö kansainväliset kriisit ja sodankäynti verkkoon”.

Mika Laaksonen Blogin on kirjoittanut KPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen, joka tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella yhteistyössä Olli Knuutin kanssa, joka toimii asiantuntijana tietoturvan ja liiketoiminnan jatkuvuuden alueilla. 

Voit tutustua myös Mikan ja Ollin osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Sinisilmäisyys tietoturvassa johtaa skandaaleihin ja maineen menetykseen

Viimeisten vuosien aikana organisaatioiden tietoisuus ulkoisista tietoturvauhista on kasvanut ja niihin on myös panostettu merkittävästi. Valitettavasti tämä kehitys saattaa aiheuttaa sokeutta kaikkein perinteisimmille uhille, jotka sijaitsevat lähempänä kuin usein muistammekaan.

Viime viikolla Helsingin Sanomat uutisoi tanskalaisen juorulehden tapauksesta, jossa tanskalaisten kuninkaallisten ja julkisuuden henkilöiden luottokortti- ja henkilötietoja oli vuodettu säännöllisesti lehden käyttöön usean eri organisaation toimesta. Näihin lukeutuivat mm. luottokorttiyhtiö, lentoyhtiö ja sairaala. Juorulehden intressinä oli saada tietoa julkkisten ostoksista, matkoista ja muista tekemisistä. Tietojen vuotajien intressinä oli raha.

Tapauksen tultua julkisuuteen ja juorulehden painiessa oman skandaalinsa parissa, tulilinjalla ovat myös edellä mainittuihin tietovuotoihin osallistuneet organisaatiot. Selvää on, että kyseessä ei ole henkilötietojen asiallinen käyttö. Mikäli EU:n tuleva tietosuoja-asetus olisi jo voimassa, organisaatioita uhkaisivat hyvin merkittävät taloudelliset sanktiot, jotka asetuksen luonnoksen mukaan voisivat olla jopa 5 prosenttia yrityksen maailmanlaajuisesta liikevaihdosta tai 100 miljoonaa euroa. Tulevaisuus näyttää, millaisia sanktioita näille tahoille langetetaan suurten mainemenetysten lisäksi.

Määrittele, valvo ja hallinnoi suunnitelmallisesti

Tapaus osoittaa hyvin sen, että arkaluontoista ja salaista tietoa tulisi suojella yhtä lailla organisaation sisällä kuin sen ulkopuolellakin. Tietoturva- ja tietosuojapolitiikat sekä henkilöstön tietoisuuden lisääminen ovat tärkeä pohja työlle, mutta ne eivät vielä itsessään riitä estämään tahallisia tietovuotoja, joiden motiivina on usein raha, kosto tai ideologia.

Olennaista on määritellä tarkasti, mikä on arkaluonteista tietoa, missä organisaation hallussa olevat luottamukselliset tiedot sijaitsevat, ketkä niihin pääsevät käsiksi ja miten tietojen käsittelyä valvotaan. Lisäksi kattava lokitietojen kerääminen ja niiden seuranta ovat osa tehokasta sisäistä valvontaa väärinkäyttöjen estämiseksi. Henkilötietojen hallinnoinnin suunnitelmallisuus ja asianmukainen järjestäminen, eli mm. henkilötietojen käsittelyn valvonta, ovat osa tulevassa tietosuoja-asetuksessa vaadittavaa niin kutsuttua tilivelvollisuuden periaatteen toteuttamista. Asetuksessa määritetään myös tuntuvat sanktiot tietovuodoista, jos rekisterinpitäjä ei ole toiminut vastuullisesti.

Älä luota sokeasti kumppaneidesi tietoturvaan

Työssämme olemme usein huomanneet, että monet organisaatiot luottavat myös sokeasti alihankkijoidensa tietoturvallisuuteen ja niihin liittyviin toimintatapoihin. Tämä saattaa pohjautua esimerkiksi yhteen turvallisuuden tunteen tuovaan lauseeseen alihankkijasopimusten osana. Alihankkijat saattavat myös kirkkain silmin vakuuttaa, että he luonnollisesti täyttävät kaikki samat tietoturvavaatimukset kuin alihankintaa ostava organisaatio, mutta todellisuus saattaa olla täysin toisenlainen. Monissa tilanteissa alihankkijat käyttävät, prosessoivat tai heillä on pääsy organisaation arkaluonteiseen tietoon, jolloin organisaation maine ja tätä kautta jopa olemassaolo saattaa olla kiinni alihankkijoiden tietoturvallisesta toiminnasta.

Vaikka tietoturvallisuuden taso kasvaa jatkuvasti, nämä tyypilliset ajattelutavat ovat yllättävän juurtuneita. Meillä Suomessa on ollut kunnia elää kulttuurissa, jossa lähtökohtaisesti toisiin ja toisten sanomisiin voi luottaa. Tämä on edelleen kunnioitettava piirre, mutta muistettaessa tietoturvallisuuden kokonaisvaltaisen hoitamisen haasteet, mustaa valkoisella ei välttämättä aina kuitenkaan vielä riitä. Toiminta tulee aidosti varmistaa, kehitystoimenpiteet tunnistaa ja niiden toteutumista valvoa – oli kyseessä sitten oman organisaation tai alihankkijoiden ja yhteistyökumppaneiden toiminta. On hyvä muistaa, että sinisilmäisyys tietoturvassa voi johtaa helposti skandaaleihin ja maineen menestykseen.

Käy lukemassa myös edellisiä kirjoituksiamme ”Ukrainan kriisi kertoo, siirtyvätkö kansainväliset kriisit ja sodankäynti verkkoon” ja ”Leijonien menestys Sotshissa on organisaatioille tietoturvariski”.

Mika Laaksonen Blogin on kirjoittanut KPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen, joka tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella yhteistyössä Olli Knuutin kanssa, joka toimii asiantuntijana tietoturvan ja liiketoiminnan jatkuvuuden alueilla. 

Voit tutustua myös Mikan ja Ollin osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.

Myytinmurtajat – kohteena suomalainen kyberturvallisuus

Myytinmurtajat – kohteena suomalainen kyberturvallisuus

Myytti:

Suomea on pidetty turvallisena maana ja suomalaisten tietoverkkojen puhtautta on ylistetty useissa puheissa ja kirjoituksissa. Kansallisen kyberturvallisuusstrategian mukaan Suomi on vuonna 2016 kybertuvallisuuden mallimaa.

Vuoden 2012 aikana maailmalta alkoi kuulua uutisia, miten ulkomaisiin yrityksiin oli murtauduttu tiedossa olevien ja tuntemattomien tahojen toimesta. Erilaisia tietomurtojahan on ollut aina, mutta uutta oli murtojen laajuus, kesto ja systemaattisuus. Keväällä 2013 KPMG käynnisti tutkimusprojektin suunnittelun ja valmistelun. Tavoitteena oli selvittää, ovatko yritysten tietojärjestelmät ja verkot oikeasti turvassa. Hieman tämän jälkeen paljastui, että ulkoministeriössä oli ollut pitkäkestoinen tietomurto, jota ei ollut havaittu. Voisiko samantyyppisiä tietomurtoja olla käynnissä merkittävissä yrityksissäkin?

Todellisuus:

Tutkimuksen mukaan useassa yrityksessä on käynnissä aktiivisia hyökkäyksiä. Näissä hyökkäyksissä ulkopuolisilla tahoilla on pääsy yhteen tai yleensä useampaan organisaation sisäisessä verkossa olevaan työasemaan ja palvelimeen. Käynnissä olevien, aktiivisten murtojen seurauksena yritysten sisäisestä verkosta ja järjestelmistä lähtee ulospäin liikennettä, jonka sisältöä ei ole kyetty selvittämään, koska hyökkääjät ovat salanneet liikenteen. Jokainen voi itse miettiä, mitkä tiedot saattaisivat omassa organisaatiossa kiinnostaa hyökkääjiä. Kenties asiakastiedot? Tai yrityssalaisuudet? Ehkä muiden murtojen kontrolliliikenne?

Mikä neuvoksi?

  • Älä tuudittaudu turvallisuuden tunteeseen luottamalla estäviin tietoturvakontrolleihin – ne eivät kata kaikkia riskejä.
  • Lisää loppukäyttäjien ja ylimmän johdon tietoisuutta nykyaikaisista kyberuhista ja niiden vaikutuksesta.
  • Varmista, että tietoturvan peruskontrollit ovat käytössä ja niitä ylläpidetään. Tietoturva on jatkuva prosessi.
  • Varmista, että käyttäjien päätelaitteita ylläpidetään ja päivitetään asiallisesti. Tämä koskee myös kaikkia sovelluksia, kuten Java-ajoympäristöä, PDF-lukijoita, mediatoistimia, selaimia ja muita koneeseen asennettuja ohjelmia.
  • Paranna kykyä havaita tietoturvan kannalta haitallisia tapahtumia tietoverkoissa ja -järjestelmissä.
  • Paranna kykyä reagoida näihin haitallisiin tapahtumiin.

Tutkimuksen tulosten esittely videoitiin, voit tutustua siihen alla tai YouTube -kanavallamme.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.
Teollinen Internet – uusi tietoturvapainajainen?

Teollinen internet – uusi tietoturvapainajainen?

Teollista internetiä toteutetaan jo hyvää vauhtia. Ollaanko samalla rakentamassa jälleen uutta tietoturvallisuuden painajaista? Toivottavasti ei.  Monia merkkejä tästä on olemassa, mutta historian virheistä on myös mahdollista oppia.

Edellisessä blogikirjoituksessa Kim Lehto käsitteli teollista internetiä sen tuomien liiketoimintamahdollisuuksien ja paremman kilpailukyvyn näkökulmasta. Kautta historian ensin on tarvittu hyvä liikeidea, jonka jälkeen on pyritty saamaan toteutus aikaiseksi ja pääsemään markkinoille mahdollisimman nopeasti. IT-maailmassa tämä on yleensä tarkoittanut sitä, että ”mietitään niitä tietoturva-asioita sitten myöhemmin”. Yleensä tällainen ajattelutapa ei ole johtanut hyviin eikä kustannustehokkaisiin toteutuksiin.

Teollisen internetin yhteydessä puhutaan etä-ohjauksesta ja hallinnasta, seurannasta sekä valvonnasta. Tuotteisiin on nykyään mahdollista rakentaa aivan uusia ominaisuuksia olipa sitten kyse kotiautomaatiosta, tehtaisiin asennettavista ohjausjärjestelmistä tai vaikkapa logistiikkajärjestelmistä. Tällöin tietoturvallisuuden pettäessä ei enää puhuta siitä, että ulkopuolinen taho pystyi muuttamaan www-sivun sisältöä tai sai käsiinsä salasanoja tai henkilötietoja. Tällöin puhutaan siitä, että joku hallitsee kotiasi, tehdastasi tai logistiikkaasi.

Hyvänä esimerkkinä toimii vuonna 2011 alkanut ja vasta nyt vuoden 2013 lopulla paljastunut hyökkäys, jossa hakkerit pystyivät valvomaan ja kontrolloimaan Antwerpenin sataman konttilogistiikkaa. Hyökkäystä käytettiin hyväksi huumeiden salakuljetukseen ohjaamalla huumekontit sopivaan paikkaan, jossa kontit voitiin tyhjentää huumeista ennen kuin oikea omistaja nouti kontin.

Nyt on erityisen tärkeää ja liiketoiminnallisten etujen mukaista varmistua siitä, että yritysten tuottamat tai käyttämät teollisen internetin laitteet ja komponentit ovat turvallisia. Jos kriittisiä tietoturva-uhkia ei tutkita huolellisesti etukäteen, yritysjohdolla on kauneusunien sijaan edessä painajaisia teollisen internetin parissa.

Käy lukemassa edelliset kirjoitukseni aiheesta ”Säilyykö Suomi kyberturvallisena vai valuuko kriittinen tieto Kiinaan ja Yhdysvaltoihin?” ja ”Yhteiskunnan sähköisten palveluiden tulevaisuus vaakalaudalla”.

Mika LaaksonenKPMG:n tietoturvapalveluista vastaava Partner Mika Laaksonen tarkastaa ja kehittää KPMG:n asiakkaiden tietoturvaa jo toisella vuosituhannella. Voit tutustua myös Mikan osaston ylläpitämään tietoturva-asioita syvällisemmin käsittelevään blogiin Hacking through complexity.