Tietoturva on huippu-urheilua – se vaatii pitkäjänteistä työtä ja säännöllistä testaamista

Tietoturvassa tärkeää on pitää järjestelmät ajan tasalla ja teknisesti suojattuina. Tietoturva ei kuitenkaan ole asia, joka voidaan hoitaa kertaluonteisena ”tietoturvaprojektina”. Tietoturva on pitkäjänteinen prosessi, joka on syytä integroida osaksi yrityksen ja yhteisön jokapäiväistä tekemistä. Tämä vaatii systemaattista, pitkäjänteistä työtä.
Tämänkaltainen kokonaisvaltainen suhtautuminen tietoturvaan ei kuitenkaan vielä aina toteudu. Esim. sote-järjestelmien asiakkaat ovat lähinnä joutuneet luottamaan siihen, että tietoturva-asiat ovat kunnossa. Viime vuonna julkaistussa, Suomen kyberturvallisuuden nykytilaa ja tulevaisuutta koskeneessa tutkimuksessa tutkijat tulivat kuitenkin johtopäätökseen, että terveydenhuoltoala on lähitulevaisuudessa kyberhyökkäysten todennäköisimpien kohteiden kärkisijalla. EU:n tietosuoja-asetus GDPR ei ainakaan vähennä tarvetta varmistua siitä, että tietoturva-asiat, niin fyysiset kuin sähköiset, ovat kunnossa.
On siis tärkeää luoda kokonaisvaltainen käsitys yrityksen tai yhteisön tietoturvan tasosta, pitäen sisällään niin digitaalisen kuin fyysisenkin turvallisuuden. Yksi osa kokonaisvaltaista tietoturvaa on yrityksen tietoturvan tason säännöllinen testaaminen. Tämä ei kuitenkaan tarkoita vain tietojärjestelmien testausta. Testauksen on syytä kattaa yhtiöön ulkopuolelta kohdistuvat uhat mutta myös yhtiön sisäverkon mahdolliset haavoittuvuudet.

LähiTapiolan Bug Bounty -ohjelma tarttuu bugia sarvista

Yksi osa tietoturvahaavoittuvuuksien testausta on ns. Red Teaming, jossa ulkopuolinen taho palkataan simuloimaan tietoturvahyökkäystä yhtiötä vastaan. Jotkut yhtiöt, kuten esim. asiakkaamme LähiTapiola ovat jopa perustaneet Bug Bounty -ohjelman, jossa he osallistavat – ja jopa palkitsevat – hakkereita varmistamaan palveluidensa turvallisuuden. Viria on jäsenenä ohjelmaa koordinoivassa Bug Bounty Boardissa, joka käsittelee hakkereiden löytämät haavoittuvuudet ja päättää, miten ne on parasta korjata. Lisäksi Viria tuottaa palveluna LähiTapiolan web-sovelluskerroksen palomuurin.

Muista myös fyysinen turvallisuus ja henkilöstö

Digitaalisen turvallisuuden lisäksi ei pidä myöskään unohtaa fyysistä turvallisuutta. Keskeinen osa sitä on kulunvalvonta. Se luonnollisesti kattaa tekniset kulunvalvontajärjestelmät mutta myös sen, miten toimitiloissa liikkuviin vieraisiin henkilöihin suhtaudutaan. Eli päästetäänkö asentajan vaatteissa liikkuva henkilö vapaasti esimerkiksi toimitusjohtajan huoneeseen saakka, vai pysäytetäänkö hänet ennen sitä ja varmistetaan asiaankuuluvasti, millä asioilla hän liikkuu.
Tässä tullaankin kysymykseen yhtiön omista työntekijöistä. Tietoturvasta puhuttaessa ei pidä unohtaa yhtiön omia työntekijöitä ja heidän osaamistaan ja ymmärrystään tietoturva-asioista. Monesti suurin tietoturvariski ovatkin juuri ihmiset, eivät niinkään järjestelmät. Yrityksen työntekijöitä tuleekin kouluttaa säännöllisesti tietoturva-asioista.
Virian näkemys on, että pitkäjänteisellä työllä ja säännöllisellä testaamisella, ihan niin kuin huippu-urheilussakin, voidaan varmistaa, että yhtiön tai yhteisön tietoturvan taso on paras mahdollinen ja ”huippu-urheilijamme” pysyy kunnossa.
 
Lisätietoja
 
Tietoturvajohtaja Kari Salmela
Puh. 050 5231926
 
Viria on digitaalisen ja fyysisen turvallisuuden, tiedonhallinnan ja tv-palveluiden vahva asiantuntija. Viria-konsernin muodostavat emoyhtiö Viria Oyj ja sen tytäryhtiöt Viria Securi Oy, Viria LAN&WAN Oy, Bitfactor Oy, Hibox Systems Oy, Tansec Oy ja AB Sappa. Yhtiöt ovat kaikki hyvässä kasvussa ja monet niistä ovat markkinoillaan suurimpien toimijoiden joukossa. Virian liikevaihto vuonna 2017 oli 88 miljoonaa euroa ja henkilöstöä sillä on noin 530.  www.viria.fi