Tiedätkö sinä mitä yrityksesi julkisesta rajapinnasta löytyy?

Olli Luotonen, Senior Cyber Security Specialist
Tietoliikennetaustan omaava IT-ammattilainen, joka toimii kyberturvan parissa aina konsultointityöstä eettiseen hakkerointiin. Pyrkii tarkastelemaan asioita niin punaisten kuin sinistenkin lasien läpi.
Blogi Kyberturva
Digitalisaation edetessä kiihtyvällä vauhdilla on yrityksillä edessään usein haasteellinen tilanne, jossa tasapainotellaan nopeiden palvelulanseerauksien ja hallitun tietoturvan välillä. Entisaikaan tämän haasteen uskottiin kohdistuvan pienen ja keskisuuren sektorin ongelmaksi, mutta viimeistään surullisen kuuluisa Equifaxin tietovuoto vahvisti, että myös suuret, resursseja omaavat yritykset kamppailevat saman haasteen kanssa. Mikä avuksi tässä tilanteessa?

 
Palveluiden kiihtyvän tarpeen ja niiden nuorentuvan elinkaaren puitteissa jarrun painaminen ei ole yrityksille varteenotettava vaihtoehto, joten kysymykseksi jää, miten yrityksen – usein jo kuormitettu – IT-organisaatio kykenee pysymään kartalla oman julkisen rajapintansa tilasta.
Perinteisesti tätä ongelmaa on pyritty taklaamaan teknisillä tarkastuksilla, joita suoritetaan kertaluontoisina tarkastuksina, tai erilaisilla julkisilla BugBounty-ohjelmilla. Näistä varsinkin jälkimmäinen on viime vuosina ollut Suomessakin suuressa nosteessa. Molemmissa metodeissa on kuitenkin omat ongelmansa: Kertaluontoiset tekniset tarkastukset jäävät usein juuri kertaluontoisiksi, jolloin hyödyt pitkällä aikavälillä jäävät saavuttamatta. BugBounty-ohjelmat puolestaan saattavat johtaa erittäin hyviin löydöksiin, mutta niiden kohdentaminen ja aktiivisena pitäminen on haasteellista ja vaatii hallinnollista kyvykkyyttä.

Miten vastata tähän haasteeseen? Mitä käytännön toimia se vaatii?

Jotta yritys voisi kehittää kyvykkyyttään pitää yllä korkeaa tietoturvahygieniaa, tulee tietoturvan integroitua sen prosesseihin. Jotta prosesseihin voidaan vaikuttaa, pitää yrityksellä olla riittävä, ajantasainen tieto.
Julkisen rajapinnan kohdalla tämä tarkoittaa sitä, että IT-organisaatio ei ole ainoastaan tietoinen muutoksista, vaan myös kykeneväinen reagoimaan niihin. Tällöin tarkistusta tulisi suorittaa jatkuvalla mallilla, jolloin löydösten lisäksi pystytään hiomaan prosesseja ja parantamaan yleistä tietoturvatietoisuutta yrityksen laajuisesti – tätä kutsutaan yleisesti haavoittuvuuksien hallinnaksi. Lisäksi tämä prosessi muodostaa luonnostaan IT-organisaation ja liiketoiminnan välille tärkeän sillan, jonka avulla tietoisuus yrityksen tietoturvan kehittämisen merkityksellisyydestä saavuttaa myös ylemmän johdon.
Vaikka itse jatkuva haavoittuvuuksien tunnistus voi konseptina kuulostaa raskaalle toteuttaa, on sen todellisuus toinen. Teknologian kehittyessä ovat tarkistukset siirtyneet omissa konesaleissa istuvista skannauslaitteista skaalautuville pilvialustoille. Manuaalisten työtehtävien ylläpitämisen sijaan integraatiot kytkevät palvelun yrityksen jo olemassa olevaan operaatiomalliin, ja raportitkin ovat luoneet nahkansa 350 sivun teknisistä riviraporteista selkeisiin johtoryhmämalleihin. Ja kuten kaikki IT-alalla, on palveluna ostaminen yritykselle usein kevyin tapa ottaa niskalenkki omasta julkisesta rajapinnastaan.
Tutustu haavoittuvuuksien tunnistuspalveluihimme ja ota julkinen rajapintanne hallintaan vaivattomasti.