Onko tietoturva ylellisyystuote?

Aino Kivilahti, tietoturva-asiantuntija
Hakkeroinnista innostunut Loihde Trustin tietoturva-asiantuntija on aiemmin työskennellyt myös Web Developerina. Aino uskoo siihen, että aktiivisesti mahdollisuuksia ja vastauksia hakeva niitä myös löytää.
Blogi Kyberturva

Käsilaukut, hajuvedet, urheiluautot, yksityiskoneet… Tällaisia asioita tulee ensimmäisenä mieleen, kun puhutaan ylellisyystuotteista. Mutta pitäisikö listaan lisätä myös tietoturva?

Tietoturvan tarve on meille alan ammattilaisille itsestäänselvyys. Joillekin se voi silti tuntua ylimääräiseltä kuluerältä, jonka hyödyt ovat vähintäänkin epäselvät. Yrittäjä voi esimerkiksi ajatella, että jos hänen yrityksensä ei kohtaa tietomurtoa, onko hän kaatanut rajallisia varoja turhuuteen. Toisin sanoen hän on sijoittanut ylellisyystuotteeseen.

Tästä ajatusmallista herää kaksi kysymystä: Kuinka suuri uhka rikolliset ovat pienille yrityksille ja onko tietoturvasta mitään muuta hyötyä kuin toimia suojamuurina rikollisia vastaan?

Maistuvatko pienet kalat rikollisille?

Ensimmäisen kysymyksen vastaus on valitettavan monimutkainen, koska se riippuu rikollisten toiminnasta ja siitä nähdäänkö hyökkäysyrityksiä. Hornetsecurityn tuottaman tutkimuksen mukaan isot yritykset toden totta kohtaavat enemmän hyökkäysyrityksiä. Alle 50 hengen yrityksistä 18 % oli havainnut hyökkäysyrityksen ja yli 1000 hengen organisaatioiden kohdalla luku oli kasvanut jo yli 50 prosenttiin. Kaikki muut asettuivat tälle välille.

Tästä ei voida kuitenkaan päätellä, että pienet firmat olisivat suojassa automaattisesti vain kokonsa avulla. Osa hyökkäyksistä voi vaikkapa kohdistua listaan IP-osoitteita. Silloin rikollista ei kiinnosta, mitä osoitteen takaa löytyy, vaan ainoastaan hyökkäyksen läpimeno. Näitä hyökkäyksiä voi olla myös vaikea havaita esimerkiksi ilman verkon valvontatyökaluja, jotka ovat yleisemmin käytössä nimenomaan isoilla yrityksillä. Jos yrityksellä ei ole virtuaalista valvontakameraa, se ei tarkoita, etteikö joku olisi yrittänyt tulla takaovesta läpi. Kaikkien hyökkäysten havainnointi ei taas vaadi erillisiä hintavia työkaluja, vaan tarkkaa silmää: esimerkiksi kalasteluviesti (eng. phishing) näyttää samalta, oli sitten kyseessä suuren tai pienen yrityksen sähköpostilaatikko.

Yrityksen kasvaessa tietysti myös sen houkuttelevuus rikollisten silmissä usein kasvaa. Dataa on enemmän ja murroista tulee kannattavampia. On myös todennäköisempää, että yrityksellä on enemmän vastustajia syystä tai toisesta ja esimerkiksi palveluiden kaataminen aiheuttaa suurta rahallista tuhoa. On siis luonnollista, että jonkinlainen korrelaatio yritysten koon ja hyökkäysten määrän välillä on olemassa.

Entä jos tietomurtoa ei tapahdu?

Sitten toiseen kysymykseen: Mitä hyötyä tietoturvasta on, jos tietomurtoa ei tapahdu? Esimerkiksi tietoturva-arviointeja tehdessä mm. käydään assetit läpi ja vastataan kysymykseen, kuka henkilö on vastuussa mistäkin asiasta. ”Asset” on kaunis Finglish-termi, joka tarkoittaa siis kaikkea IT-infrastruktuuriin liittyvää omaisuutta. Se voi tarkoittaa vaikkapa palvelimia, verkkoja, työasemia jne.

Kun nämä on käyty läpi, on jo paljon parempi kuva siitä, mitä kaikkea tulisi suojata. Samalla pysähdytään hetkeksi miettimään, mitkä asiat ovat juuri meidän toiminnallemme tärkeitä. Vaikka listaa olisi ylläpidetty hyvin eikä yllättäviä assetteja löydy (usein löytyy), on silti hyvä, että otetaan hetki aikaa ja pysähdytään yhdessä miettimään, mikä minkäkin assetin arvo on. Samalla käydään läpi, kuka vastaa mistäkin asiasta liittyen tietoturvaan ja miten tämä vastuu istuu henkilön päivätyöhön ihan jo työajan käytön ja työroolin puitteissa. Näin meillä on siis jo paljon parempi käsitys siitä, mitä yrityksessä tapahtuu, vaikkei korjaavia kontrolleja ole edes vielä tehty. Kun tietoturvaan panostetaan, työnkuva ja ajankäyttö selkeytyy myös monelta muulta osin.

Mistä lähteä liikkeelle?

Koulutus ja SaaS-palveluiden hyödyntäminen. Näillä pääsee jo pitkälle. Koulutus siksi, että ”Minkä nuorena oppii sen vanhana taitaa” -sanonta pätee myös yrityksiin. Kun tietoturva otetaan mukaan ja huomioidaan aidosti hyödyllisenä elementtinä yrityksen kasvun alkuvaiheessa, saadaan luotua tietoturvan mukaiset prosessit alusta alkaen ja otetaan tietoturva osaksi johtoryhmän ajatusmaailmaa. Näin tietoturva kulkee mukana yrityksen polulla myös kasvun aikana ja hyvillä opeilla on mahdollisuus siirtyä uusillekin työntekijöille. Suomalaisista yrityksistä mainittakoon tässä Badrap.io, joka on keskittynyt pienten yritysten tietoturvakoulutuksiin.

SaaS-palveluita eli Software as a Service -palveluita hyödyntämällä voi ulkoistaa tietoturvan ylläpidosta leijonanosan palveluntarjoajalle. Yleisimpiä SaaS-palveluita yrityksessä ovat esimerkiksi sähköposti, pikaviestimet ja tiedostojakojärjestelmät. Tällöin ei siis ole ohjelmistoja ja palvelimia päivitettävänä, puhumattakaan tarpeesta ”raudan” eli fyysisten koneiden uusimiseen.

Pienestä voi tulla joskus iso

Jos startup-yrittäjä haluaa ottaa riskin ja olettaa, että olisi suojassa vain koon avulla, kuinka tyhmä idea se olisi? Valitettavasti hyvin tyhmä. Suurin osa yrityksistä haluaa kasvaa jossain vaiheessa jollain tavalla. Se voi tarkoittaa henkilömäärällistä kasvua, mutta vähintään se yleensä tarkoittaa datamäärän, kuten asiakasdatan, kasvua. Tietoturvaa ostamalla saat myös muita, joskus yllättäviäkin hyötyjä, jotka tehostavat yrityksen päivittäistä toimintaa. Saat myös käyttöösi asiantuntijan ammattitaidon etkä joudu selvittämään kaikkia ongelmia itse.

Tietoturvallisen kasvun syksyä kaikkiin niin isoihin kuin pieniinkin yrityksiin!

PS. Kuuntele myös aihetta käsittelevä A/B-testaus-jaksomme tallenne.