IT-turvallisuus

Digitaalisesti turvassa

Digitalisoituneilla yrityksillä on selvä kilpailuetu. Varmista kuitenkin, että yrityksesi on askeleen edellä myös turvallisuudessa. Solutions neuvoo, miten onnistut.

Nykyään yhä suurempi osa yritysten toiminnoista muuttuu digitaalisiksi ja järjestelmät siirtyvät internetiin. Digitalisoituminen luo uusia liiketoimintamahdollisuuksia ja tehostaa toimintaa, mutta samalla se altistaa yritykset kyberuhille. Ruotsissa yli puolet yrityksistä joutui tiedostojen salaamiseen keskittyvien hyökkäysten kohteeksi vuonna 2016. Turvallisuusyritys Check Pointin mukaan huijarit löytävät turvallisuusaukkoja myös mobiililaitteista, pilvipalveluista ja esineiden internetistä (Internet of Things, IoT).

– Pienet ja keskisuuret yritykset sekä ennen kaikkea alihankkija­yritykset ovat erityisen alttiita hyökkäyksille, kun ne digitalisoivat toimintaansa. Se johtuu osaksi siitä, etteivät ne suojaudu yhtä hyvin kuin suuryritykset, mutta osaksi myös siitä, että huijarit hyödyntävät pienten yritysten lyhyempää päätöksentekoketjua saadakseen kiristysrahat, sanoo Check Pointin turvallisuusasiantuntijatiimiä vetävä Fredrik Johansson.

Ransomware-hyökkäykset yleistyvät

On olemassa erilaisia haittakoodeja (malware), joita istutetaan digitaalisiin järjestelmiin.

– Yksi negatiivinen kehityssuunta on kiristyshaittaohjelmat (ransomware), joissa verkossa toimivat huijarit salaavat yhä suurempia infrastruktuureja ja vaativat lunnaita järjestelmien salauksen poistamiseksi. Uhriksi voi joutua mikä tahansa organisaatio aina verkkokauppasivustoista IoT-verkostoihin, Fredrik Johansson kertoo.

Muita esimerkkejä ovat tietokoneen kaappaaminen roskapostin levittämiseksi tai haittakoodin istuttamiseksi, jolloin voidaan seurata tietokoneiden käyttöä sekä varastaa tuhansia salasanoja ja luottokorttitietoja. Samaan aikaan uhkana ovat ylikuormitushyökkäykset (DDOS).

Kouluviraston asiakirjapalvelin suojattiin salauksella

Yksi esimerkki kiristyshaittaohjelmaa käyttäneestä hyökkäyksestä on marraskuulta 2016. Tuolloin haittakoodilla avattiin San Franciscon metron matkustajaportit. Samalla huijarit onnistuivat sulkemaan lippuautomaattien järjestelmän, jonka avaamiseksi he vaativat 73 000 dollaria. Muutama IT-asiantuntija onnistui ratkaisemaan ongelman ilman että lunnaita tarvitsi maksaa.

Läheisempi esimerkki on Ruotsin kouluvirasto Skolverket, jonka asiakirjapalvelin ja sen sisältämät 20 miljoonaa tiedostoa salattiin. Huijarit vaativat lunnaita salauksen poistamiseksi. Asiakirjat olivat viraston työntekijöiden käyttämättömissä viikon ajan, minkä jälkeen ne saatiin palautettua varmuuskopioiden kautta.

Ylikuormitushyökkäykset lisääntyivät 125 prosentilla

Harvat haluavat myöntää maksaneensa lunnaita. Ainoat Solutionsin käsiinsä saamat raportoidut luvut ovat peräisin FBI:ltä ja koskevat vuoden 2016 ensimmäistä neljännestä. Tuolloin yhdysvaltalaiset organisaatiot maksoivat lunnaita 209 miljoonaa dollaria, verrattuna edeltävän vuoden saman ajanjakson 24 miljoonaan dollariin. Ylikuormitushyökkäysten määrä kasvoi globaalisti 125 prosenttia vuoden 2016 ensimmäisellä neljänneksellä verrattuna vuoden 2015 vastaavaan ajanjaksoon. Näin kertoo Akamai, jolla on valtava jakeluverkko internetliikenteelle.

Vuoden 2015 lopussa toistuvista hyökkäyksistä tuli yleinen ilmiö, ja sama jatkui vuoden 2016 ensimmäisellä neljänneksellä. Tuolloin organisaatiot joutuivat keskimäärin 39 hyökkäyksen kohteeksi, mutta jotkin yritykset joutuivat kokemaan erityisen rankan hyökkäysaallon. Pahimmillaan yksi yritys joutui 283 hyökkäyksen kohteeksi viime vuoden ensimmäisellä neljänneksellä. Toisin sanoen hyökkäyksiä oli keskimäärin kolme päivässä.

Monet hyökkäyksen kohteeksi joutuneet yritykset maksavat lunnaat, mutta siitä ei kerrota julkisuuteen.

Uudet ja korkeammat turvallisuusvaatimukset

– Digitalisoituvilla yrityksillä on selvä kilpailuetu. Ne voivat esimerkiksi laajentaa asiakastarjontaansa ja palvella asiakkaitaan useammissa kanavissa. Toinen hyöty on, että tietoa voidaan siirtää tai kerätä ja analysoida nopeammin, sanoo Olle Segerdahl, joka toimii turvallisuuskonsulttina F-Securella.

Digitalisoituminen asettaa turvallisuustyölle kuitenkin uusia, tiukempia vaatimuksia. Siksi turvallisuusnäkökohdat on Olle Segerdahlin mukaan huomioitava jo erittäin varhaisessa vaiheessa digitalisaatiohanketta, ja niiden on oltava tärkeysjärjestyksessä yhtä korkealla tasolla kuin esimerkiksi palvelujen saatavuus.

Olle Segerdahl kehottaa yrityksiä kartoittamaan ensimmäisenä toimintaansa sekä selvittämään, mitä digitaalisia järjestelmiä ne tarvitsevat. Millaista tietoa niiden järjestelmissä on, ja miten tiedot turvaluokitellaan ja suojataan? Tämän jälkeen on selvitettävä mahdolliset puutteet, joita ovat sekä tekniset että inhimillisistä tekijöistä johtuvat puutteet. Voiko tai pitääkö järjestelmään päästä internetin kautta, ja mitkä ovat seuraukset, jos jotakin tapahtuu?

– Lopuksi laaditaan toimenpidesuunnitelma tunnistettujen puutteiden korjaamiseksi. Turvallisuudesta huolehtimaan on palkattava terävimmät osaajat joko yrityksen sisältä tai sen ulkopuolelta, Olle Segerdahl sanoo.

Aseta pilvipalveluiden toimittajille korkeammat vaatimukset

Yksi syy siihen, miksi digitalisoituminen asettaa korkeampia vaatimuksia turvallisuudelle on, että silloin internetiin yhdistetään useampia, niin sisäisiä kuin ulkoisiakin, järjestelmiä. Toinen syy on, että se edellyttää useampien järjestelmien integroimista, usein muiden toimijoiden reaaliaikaisiin palveluihin.

Fredrik Johanssonin mukaan myös pilvipalveluiden tarjoajat on asetettava suurennuslasin alle:

– Yritys on aina vastuussa asiakkaidensa tiedoista, esimerkiksi henkilötiedoista, riippumatta siitä, säilytetäänkö tietoja omassa palvelinkeskuksessa vai pilvessä. On hyvä varmistaa, että pilvipalvelun toimittajalla on yksityiskohtainen salassapitosopimus ja että se ilmoittaa selkeästi, kenellä on pääsy tietoihin ja missä niitä säilytetään, hän sanoo.

Varmuuskopioinnin A ja O

Hän korostaa, että myös pienten ja keskisuurten yritysten on mahdollista päästä pitkälle pysyttelemällä aina askeleen edellä.

– Yritysten on varmistettava, että niiden järjestelmien päivitykset tapahtuvat mahdollisuuksien mukaan reaaliajassa. Lisäksi IT-laitteiden tehdasasetuksina määritetyt salasanat on vaihdettava välittömästi turvallisuuden lisäämiseksi.

Myös kaikki tuotteet tai sovellukset, jotka liitetään internetin kautta käytettävään järjestelmään, on kyettävä päivittämään. Muussa tapauksessa hyökkäysten riski kasvaa merkittävästi. Myös varmuuskopioinnista on huolehdittava.

– Suurin osa ottaa varmasti varmuuskopioita, mutta aina ei muisteta varmistaa, että tiedot ovat luettavissa. Joskus kaikkia tietoja ei voida palauttaa, koska järjestelmät ovat muuttuneet niin paljon. Varmuuskopioinnin puutteellisuus voi olla tuhoisaa, jos yritys joutuu esimerkiksi kiristyshaittaohjelman uhriksi, Fredrik Johansson sanoo.

Digitaalinen satsaus on turvallisuusprosessi

Digitaalisen turvallisuuden strategiassa ei ole kyse ainoastaan tekniikasta. Siihen on panostettava kuin mihin tahansa muuhun turvallisuusprosessiin. Kaikkien järjestelmien ei tarvitse toimia vuorovaikutuksessa keskenään. Esimerkiksi yrityksen oviin voidaan asentaa uusi digitaalinen kauko-ohjattava lukitusjärjestelmä irrallaan muista järjestelmistä. Sitä vastoin prosessista on löydyttävä toimenpiteet lukitusjärjestelmän ohjelmiston päivittämiseksi, jos siinä havaitaan turvallisuusaukkoja.

– Yritysten on valittava turvallisuusvastaavat, jotka ovat ajan tasalla siitä, miten säännöllisesti järjestelmiä tarvitsee päivittää. Kannattaa hyödyntää sähköisiä työkaluja, jotka tunnistavat ja korjaavat tunnettuja turvallisuusriskejä kaikilla alustoilla ja kaikissa sovelluksissa, Olle Segerdahl neuvoo.

Lue myös ”Kyberuhat on otettava vakavasti”

EU:n tietosuoja-asetus koventaa vaatimuksia

EU:n uuden tietosuoja-asetuksen General Data Protection Regulation (GDPR) siirtymäaika päättyy 25.5.2018, johon mennessä yritysten on varmistettava tietosuojakäytäntöjensä lainmukaisuus. Asetus kiristää sääntöjä siitä, miten EU:ssa toimivat organisaatiot voivat kerätä, luovuttaa, säilyttää ja käsitellä henkilötietoja. Jos yrityksessä tapahtuu tietoturvaloukkaus, siitä on ilmoitettava 72 tunnin kuluessa. Mikäli laissa määritettyjä vaatimuksia ei noudateta, siitä voidaan määrätä sakko, joka on 4 prosenttia organisaation maailmanlaajuisesta liikevaihdosta tai enintään 20 miljoonaa euroa.

Haittakoodien määrä kasvaa kiihtyvään tahtiin

Vuonna 2016 Check Pointin tutkijat tunnistivat joka kuukausi lähes 12 miljoonaa uutta haittakoodia eri puolilla maailmaa. Viimeisten kahden vuoden aikana haittaohjelmia on luotu enemmän kuin edeltävien 29 vuoden aikana yhteensä.

Esineiden internet ei ole riskitön

Esineiden internet (Internet of Things, IoT) tarkoittaa, että koneisiin, ajoneuvoihin, tavaroihin ja kodin laitteisiin asennetaan sisäänrakennetut anturit ja tietokoneet. Tietoturvallisuusasiantuntija Fia Ewaldin mukaan vaarana on, että monet IoT-järjestelmät lakkaavat toimimasta kyberhyökkäysten yhteydessä. Tämä johtuu siitä, että monet laiminlyövät jatkuvuudenhallinnan eli kyvyn selviytyä odottamattomista tapahtumista.

Käyttöoikeuksia vain tarpeen mukaan

Turvallisuusvastaavien ei tulisi myöntää yrityksen järjestelmään enempää käyttöoikeuksia kuin on tarpeen työn suorittamisen kannalta. Tämä koskee sekä yrityksen omia työntekijöitä että ulkoisia konsultteja. Lisäksi turvallisuusprosesseja voidaan vahvistaa säännöllisellä koulutuksella, ajantasaisilla turvallisuusperiaatteilla ja kiinteillä turvallisuustapaamisilla.

Hanki apua turvallisuustyöhön

Monet pienet ja keskisuuret yritykset ovat siirtyneet pilveen kokonaan tai osittain. Kun yhä useammat rutiinit ja prosessit digitalisoidaan, on luonnollista ostaa myös IT-turvallisuuteen liittyviä palveluita.

– Pienten ja keskisuurten yritysten on yhä vaikeampi saavuttaa yhtä korkeatasoista IT-turvallisuuteen liittyvää osaamista tai yhtä suuria resursseja kuin IT-turvallisuuteen erikoistuneiden ulkoisten yritysten. Lisäksi asiakas­yritykselle tulee äärimmäisen kalliiksi investoida itse uusimpiin turvallisuusohjelmiin ja -tuotteisiin, sanoo Fredrik Dahlgren Dustin-konserniin kuuluvasta Commsecista.

Vaikka pilvipalveluihin on pääosin yksinkertaista siirtyä, on kaiken A ja O että asiakkaat tekevät perusteellisen kartoituksen erityisistä IT-turvallisuustarpeistaan.

– Muuten on vaarana, että asiak­kaat maksavat tarvitsemaansa kattavammasta turvallisuudesta tai saavat liian alhaisen turvallisuustason muuttaessaan toimintaansa digitaaliseksi, Fredrik Dahlgren toteaa.

Laatiakseen kattavan esiselvityksen pienet yritykset voivat hyödyntää viitekehyksiä ja ohjeistoja, kun taas suurempien yritysten on syytä kääntyä Fredrik Dahlgrenin mukaan ulkoisen turvallisuuskonsultin puoleen. Kun IT-turvallisuus hankitaan palveluna, on myös tärkeää, että yritykset ovat määrittäneet henkilökunnalleen turvallisuusperiaatteet, joita työntekijät noudattavat.

Nopeita faktoja

900 % enemmän tuntemattoman haittakoodin aiheuttamia tapauksia

75 % kaikista yrityksistä on joutunut bottitartunnan kohteeksi

88 % kaikista yrityksistä on kärsinyt tietojen menetyksestä

89 % kaikista yrityksistä on ladannut haitallisia tiedostoja

94 % kaikista yrityksistä on käyttänyt vähintään yhtä korkean riskitason sovellusta

  • Organisaatiot lähettävät arkaluonteisia tietoja joka 32. minuutti
  • Korkean riskitason ohjelmistoja käytetään joka 4. minuutti
  • Uhkatilanteita harjoitellaan simulaation avulla joka 30. sekunti
  • Haitallisilla verkkosivuilla vieraillaan joka 5. sekunti
  • Tuntematon haittakoodi ladataan joka 4. sekunti

Lähde: Check Point 2016 Security Report

Teksti: Johan Cooke
Kuvitukset: Valero Doval