Kyberaika haastaa kaikki vanhat turvakäytännöt

Kyberturvallisuuteen erikoistuneen Silverskin-yrityksen toimitusjohtaja Marko Savolainen oli taannoin aamu-tv:n vieraana kertomassa suomalaisten yritysten tietoturvan tasosta.

Asiantuntijat puhuvat yhdellä suulla tietoturva-asioista. Mutta yrityksissä asiat eivät vain mene helposti perille.

Tietoa voi vuotaa sanan mukaisesti ovista ja ikkunoista. Ovista kulkee haalariasuisia nuuskijoita ja ikkunalasin värinää on peilattu huippuherkällä antennilla, joka muuntaa värinän takaisin äänteiksi.

Perinteiset murtokonstit ovat palaamassa vorojen arsenaaliin.
Ilmeisesti muistitikun mukana – koska muita jälkiä ei ole löytynyt – lähti luottoyhtiö Equifaxin 143 miljoonan asiakkaan tiedot. Se on yksi suurimmista koskaan kerrotuista tietomurroista Yhdysvalloissa.

Totta on, että suomalaisyritystenkin välillä tietoturvaosaamisessa ja suojautumisessa on paljon eroja. Silverskinin yritysvakoilusimulaatioissa tulos oli kuitenkin yleisestikin murskaava: kaikilla toimialoilla firmojen tietoturvasta löytyi isoja aukkoja.

Silverskinin analyysit eivät ole yleistettävissä, mutta kolmannes yrityksistä saattaa olla suojautunut vakoilulta kohtalaisen hyvin. Parhaiten vakoilulta ovat suojautuneet voimakkaasti säännellyt alat, kuten finanssisektori ja terveydenhuolto. Kolmasosan tietoturva on keskitasoa, mutta niidenkään kaikkien tietoturvaa ei ole koskaan testattu.

Ai, kuinka tietoturvaa voi testata? Kokeilemalla ulkopuolelta tietoteknisiä järjestelmiä, niin kuin rikollisetkin tekevät.

Silverskin meni vielä pidemmälle. Tietoturvaa sen asiakasyrityksissä testattiin rajuilla keinoilla, joista erikoisin, mutta ”erittäin menetyksellinen” oli fyysinen tunkeutuminen työpaikalle. Onnistumisprosentti oli huikeat 100. Testaajat kävivät kääntymässä jopa toimitusjohtajan huoneessa. Tällaisessa tilassa ruudulla saattaa komeilla ihan mitä vain, vaikka tulevan pörssitiedotteen luonnos.

Testaajat toimivat simulaatiossa samoin kuin rikolliset. Marko Savolaisen mukaan kaikissa testatuissa tapauksissa päästiin sisälle. Joissakin jopa laboratorio-, tuotekehitys- tai johdon tiloihin. Tämä on totta, vaikka se kuulostaakin toimintajännärin käsikirjoitukselta.

Moni asia on pielessä, jos haalarit päällä tai tiedetoimittajaksi tekeytymällä päästään tarkastamaan kalusteiden kuntoa toimitusjohtajan huoneeseen.

Testaustulokset ovat yhtiöille yleensä järkytyksiä, sillä Suomessa ei vieläkään ole totuttu hybridi- ja kyberrikollisuuden trendeihin. Turvapäälliköt voivat mukamas identifioida murtomiehen tai vakoojan pelkällä psykologisella silmällä. Ehkä joskus näin on ollutkin. Nyt panokset kovenevat ja ala ammattimaistuu. Rikollisilla saattaa olla taustallaan jopa näyttelijän opintoja.

Teknisellä tietoturvalla ei koskaan ole täyttä merkitystä, jos ovet vuotavat.

Emme kuitenkaan ole vielä auttamattomasti myöhässä turvatoimien kanssa, sillä raportoituja tunkeutumisia yritysten tiloihin on tapahtunut verraten vähän – kun taas laajakaistaa myöten botit kolkuttelevat portteja harva se päivä.

Raflaavat esimerkit, joita käytetään in real life -murtojen simuloinneissa, eivät ole yleisiä suomalaisissa tiedepuistoissa. Tietoturvan Lean-periaatteen mukaan kaikkeen tulee varautua ennaltaehkäisevästi ja luoda toimintamallit pahan päivän varalle.

Aina voi olla varuillaan.

Torjuin juuri ruudulta kaksi omia aikojaan ilmaantunutta ohjelmistopäivitystä, jotka näköjään olivat tulleet tarjolle ohi käyttöjärjestelmän kontrollin.

 

Reijo Holopainen

VIIMEISIN ARTIKKELI

PiKa Puhtaus – oppeja digimarkkinoinnista ja helpotusta arkeen 

25.03.2024 |

PiKa Puhtaus Oy on vuonna 2011 perustettu siivouspalveluja tarjoava yritys. PiKa Puhtaus tarjoaa koti-, toimitila- … LUE LISÄÄ…

Miten voin hyödyntää Microsoft Copilottia – työkaverina tekoäly

21.03.2024 |

Microsoft Copilot on tekoälyavustaja, joka voi auttaa säästämään aikaa ja tehostamaan työtä. Se on digitaalinen … LUE LISÄÄ…

Kadonneen datan arvet – Varmuuskopioinnilla vältyt katastrofilta

15.03.2024 |

Varmuuskopiotko tarpeelllisia? Turhaa ajan haaskausta, lisää kustannuksia, ohjelmien asennusta, vaivannäköä, ei meille kuitenkaan mitään satu … LUE LISÄÄ…

PK-yrityksen tuet ja rahoitus vuonna 2024

02.02.2024 |

Kaupallinen yhteistyö Sortter Oy Vuonna 2024 yrityksille on tarjolla useita eri rahoituskanavia ja tukimuotoja. Yritystuella … LUE LISÄÄ…

Sähköpostimarkkinointi ohjelma yrityksille – ActiveCampaign

28.12.2023 |

Yrityksille suunnatut sähköpostimarkkinointi ohjelmat tarjoavat monipuolisia työkaluja kampanjoiden suunnitteluun, toteuttamiseen ja seurantaan. Tässä kirjoituksessa tarkastelemme … LUE LISÄÄ…

Kesäharjoittelijana

07.07.2023 |

Hei vaan! Olen Laura, opiskelen Ingmanedu Kulttuurialan ammattiopistossa Media-alan ja kuvallisen ilmaisun perustutkintoa. Etsin itselleni … LUE LISÄÄ…

Verkkokaupan saavutettavuus mahdollistaa shoppailun kaikille asiakasryhmille

31.05.2023 |

Verkkokaupan saavutettavuus tarkoittaa, että verkkokauppa on suunniteltu niin, että kaikki käyttäjät voivat käyttää sitä yhtä … LUE LISÄÄ…

Saavutettavuus verkkoympäristössä

15.05.2023 |

Kaikilla on varmasti ollut hetkiä, jolloin on tarvinnut apuvälineitä tai muiden ihmisten apua pärjätäkseen päivittäisissä … LUE LISÄÄ…