Kyberturva: voiko pilvipalveluihin luottaa?

/ Matti Tuominen

img.jpg

Kone Oyj joutui kyberrikollisten kiristyksen uhriksi ja asiakasprojektit menivät sekaisin viikoiksi. Koko tapahtumaketju kerrottiin Talouselämä-lehdessä (TE 23/2015). Ovatko pilvipalvelut uhka tietoturvalle? Mitä niiden riskeistä pitää tietää?

Jos Kone Oyj päätyy Talouselämän kanteen otsikolla “Kyberrikolliset kiristivät Konetta”, eikö kuka vain voi joutua uhriksi? Ja eikö nimenomaan pilvipalvelu – joka sijaitsee siellä jossain kaikkine tietoineen – ole iso riski?

Onneksi todellisuus on kaukana kauhukuvista.

Koneen tapauksessa ongelmana oli saastunut sähköposti, josta varomaton työntekijä avasi liitetiedoston – ja päästi sen sisältämän haittaohjelman valloilleen. Tämän ei olisi pitänyt aiheuttaa kovin suurta ongelmaa, jos tilanne olisi havaittu ajoissa, ja jos Koneen varmuuskopioimat tiedot olisi saatu käyttöön suunnitelman mukaisesti.

Ei havaittu, ei saatu.

Opettavainen tarina, joka on julkaistu Kone Oyj:n luvalla, kertookin, että ongelma ei itse asiassa ollut haittaohjelmisto, vaan Koneen omien prosessien toimimattomuus.

Tämä on suurin uhka myös muissa yrityksissä. Eivät suinkaan verkkoon kytketut palvelut.

Jos hyökkäystä ei havaita tai siitä toipumista ei ole harjoiteltu, on ihan sama ovatko tiedot pilvessä vai omalla palvelimella vai myyjän matkallaan kadottamalla läppärillä. Ongelmia on luvassa.

Pilvipalvelut eivät ole uhka. Varomattomuus ja varautumattomuus sen sijaan on – järjestelmistä riippumatta.

Tietoturva koostuu kuudesta eri osa-alueesta:

• Tietoisuus uhista. Tämä koskee sekä yrityksesi omia ihmisiä (jotka omalla toiminnallaan aiheuttavat valtaosan kyberturvaongelmista), kumppaneiden ihmisiä että järjestelmätason uhkakuvan ymmärtämistä (mitkä ovat kriittisiä järjestelmiä ja mikä niitä voi uhata).

• Järjestelmätason suojaus. Tekninen suojaus ja suojan testaus.

• Prosessitason suojaus. Kuinka työntekijäsi ja työprosessit toimivat.

• Järjestelmätason palautuskyky. Miten nopeasti toivut ongelmista ja saat varajärjestelmät ja varmuuskopiot käyttöön. Ymmärrä omat tärkeimmät operatiiviset järjestelmäsi ja millaisia keskeytyksiä ne kestävät ja miten nopeasti ne saa palautettua vikojen ilmetessä.

• Prosessitason palautuskyky. Kuinka palautat työprosessit tai pystytkö toimimaan varaprosessin varassa, jos ongelma pitkittyy. Ideaalitilanteessa järjestät toipumisharjoituksen, joka kertoo todellisen kyvyn palautua ongelmista.

• Johtaminen. Tämä on tärkein kaikista sekä normaalitilanteessa että kriisitilanteessa. Jos tietoturvaa ei johdeta ja resurssoida riittävästi, riskit yrityksen maineelle ja operatiivisen toiminnan kärsimiselle kasvavat.

Tietoturva vaatii johtamista ja resursseja, kuten mikä tahansa muukin asia.

Ongelma ei ole pilvessä, vaan johtamisessa ja varautumisessa. 

Valtaosa palveluista on jo nyt pilvessä. Ne ovat pilvessä asiakkailla ja kumppaneilla ja alihankkijoilla. Sinun tietojasi on pilvessä joka tapauksessa, halusitpa sitä tai et. Sinällään tämä ei ole sen suurempi riski, kuin mikään muukaan järjestelmä.

Pilvipalvelut ovat luotettavia, jos tietoturvan johtaminen on yrityksessäsi luotettavaa. Kääntäen, mikään järjestelmä ei ole luotettava, jos johtamisesi on puutteellista.

Talouselämän artikkelin teaser verkossa:

http://www.talouselama.fi/uutiset/kyberrikollisten+lunnasvaatimus+koneelle+kaksi+bitcoinia+kiitos/a2310671