“Ilman yhteistyötä hakkereita ei voi voittaa”

Verkkorikollisuus on järjestynyttä, joten myös puolustautujilta tarvitaan yhteistyötä, sanoo Radically Open Security -tietoturvayhtiön perustaja Melanie Rieback.

Teksti: Hanna Kangasniemi, kuvat ja video: Henri Kuokka

Liiketoimintamme digitalisoituessa myös digitaaliset uhat kasvavat jatkuvasti. Palvelunestohyökkäykset, yhä ovelammat kiristyshaittaohjelmat ja tietojenkalastelu uhkaavat kaikkia yrityksiä. Kun lisäksi esineiden internet (IoT) yleistyy ja EU:n uusi tietosuoja-asetus tulee ensi vuonna voimaan, tietoturvaan panostamisen merkitys kasvaa.

Mitä kaikkea nämä kasvavat tietoturvauhat merkitsevät yrityksille? Tietoturvaosaamisesta tulee yhä tärkeämpi osa yritysten liiketoimintaa. Yritysten kannattaa satsata sisäiseen tietoturvaosaamiseen, valita yrityksen toimialaa ymmärtävät kumppanit ja jakaa kokemuksiaan tietoturvaongelmista kollegojen kanssa.

Yritysten on hyvä satsata koko henkilökunnan tietoturvakoulutukseen, sillä inhimilliset virheet, tietämättömyys ja piittaamattomuus ovat yleisimpiä syitä yritysten tietoturvaongelmille. Ongelmia tulee, kun työntekijä vaikka antaa epähuomiossa tärkeitä tietoja tietokalastelijalle, lataa tietämättään haittaohjelman viattomalta vaikuttaneen verkkosivun mainosbannerista tai jättää olennaiset ohjelmapäivitykset hoitamatta, jolloin myös ohjelman haavoittuvuudet voivat jäädä korjaamatta.

Tietoturva-asioiden lisäksi tärkeää on päivittää myös yrityksen tietosuojaosaaminen. EU:n uuden tietosuoja-asetuksen takia yritysten on pystyttävä osoittamaan, että kaikki tarpeellinen on tehty henkilötietojen käsittelyn suojaamiseksi, jos yrityksessä sattuu tietosuojahaaveri. Asetus tulee voimaan 25.5.2018.

Miten yritys voi edistää omaa tietoturvaansa?

Maailmalla palkittu tietoturva-asiantuntija Melanie Rieback antoi Elisa-akatemian Tietoturvapäivillä viisi vinkkiä, joiden avulla yritys voi itse osallistua oman tietoturvansa edistämiseen. Rieback toimii perustamansa tietoturvakonsultointiyritys Radically Open Securityn toimitusjohtajana.

Melanie Rieback puhui medialle Elisan kyberakatemiassa.

Radically Open Security on voittoa tavoittelematon organisaatio, jonka tarkoitus on tehdä digitaalisesta maailmasta nykyistä turvallisempi. Tässä Riebackin 5 vinkkiä, joiden avulla yritys voi itse edistää omaa tietoturvaansa.

1. Verkostoidu oman alasi tietoturvaosaajien kanssa ja jaa tietoa

Monet yritykset vaikenevat tietoturvaongelmista, koska ajattelevat niiden heikentävän yritysmielikuvaa. Tietoturvaan liittyvät ongelmat ovat tuttuja kuitenkin kaikille yrityksille ja mitä enemmän niistä puhutaan, sitä paremmin niihin osataan varautua.

“Kun yksi alan tekijä joutuu ongelmiin, se vaikuttaa koko alaan. Siksi tietoturvahyökkäyksistä ja -ongelmista kannattaa jakaa kokemuksia ja taistella yhdessä niitä vastaan. Avoimen ja turvallisen keskustelun voi taata salassapitosopimuksella keskustelijoiden kesken”, Melanie Rieback neuvoo.

2. Hanki tietoturvaosaamista yritykseen

Jos yrityksessä ei vielä ole tietoa ja ymmärrystä tietoturvasta, kannattaa lähteä kiireellisesti sitä hankkimaan.

“Jokaisessa yrityksessä on hyvä olla tietoturvaymmärrystä. Isoissa yrityksissä myös sisäistä tietoturvaosaamista olisi hyvä hankkia omaan taloon. Ulkopuolinen tietoturvayritys ei tunne talon järjestelmiä ja alaa yhtä hyvin kuin sen kanssa päivittäin työskentelevät. Paikallinen tietämys on kullanarvoista. Se kannattaa huomioida myös ulkoista tietoturvakumppania valitessa”, Melanie Rieback kertoo.

3. Testaa yrityksen tietoturvan taso

Jokaisen yrityksen kannattaa testata yrityksen tietoturvan taso. Joko palkkaamalla yrityksen ulkopuolisia tietoturva-asiantuntijoita ja koodareita etsimään tietoturva-aukkoja oman yrityksen tietojärjestelmistä, tai tekemällä sen itse.

”Jos yrityksessä on koodareita ja it-osaajia, omien järjestelmien hakkeroiminen on hyvin opettavaa ja sitä kannattaa kokeilla. Tietoturva-aukkojen ja haavoittuvuuksien löytäminen omista systeemeistä on palkitsevaa, eikä sen jälkeen voi enää järjestelmiä rakentaessaan olla ottamatta tietoturva-asioita huomioon”, Rieback sanoo.

4. Valitse pilvipalvelun tarjoaja huolellisesti

Yritykset ovat siirtyneet yhä useammin käyttämään liiketoiminnassaan pilvipalveluja niiden joustavuuden ja skaalautuvuuden ansiosta. Pelkkä teknisen tason evaluointi ei kuitenkaan riitä pilvipalvelua valittaessa. Kun EU:n tietosuoja-asetus tulee voimaan 2018, niin myös yhden hengen yrityksen pystyttävä osoittamaan, että kaikki tarpeellinen on tehty henkilötietojen käsittelyn suojaamiseksi.

”Jos yritys käyttää pilvipalveluja, on tärkeää tietää, minkä maan lakien alaisuudessa tietoja säilytetään ja miten ne on suojattu. Eikä todellakaan kannata käyttää kuluttajille tarkoitettuja palveluita”, Rieback opastaa.

5. Seuraa teknologista kehitystä

Uusimpien tietoturvauhkien kärryillä pysyy, kun seuraa teknologista kehitystä. Melanie Rieback suosittelee seuraamaan teknologiatrendejä: “Hakkerit ovat siellä, missä ihmisten kiinnostus ja aktiviteetti on teknologian saralla. Kun tulee uusia verkkosovelluksia ja uutta verkkoon liitettävää teknologiaa, tulee myös uusia tietoturvauhkia.”

Esimerkiksi juuri esineiden internet (IoT) tuo mukanaan uusia tietoturvauhkia, kun laitteet liitetään internetiin ja toisiinsa, ja siten myös hakkereiden ulottuville.

Elisan turvallisuusjohtaja Jaakko Wallenius ja Radically Open Securityn perustaja Melanie totesivat yhteen ääneen, että kyberturvallisuuden rooli kaikenkokoisten yritysten liiketoiminnassa on voimakkaasti kasvamassa.

Lue lisää, mitä yrityksen työntekijöiden on hyvä tietää tietoturvasta.
Lataa yrittäjän tietoturvaopas täältä.
Elisan kyber- ja tietoturvapalveluista lisää tietoa täältä.