Tulostusversio

1/2013

Varaudu uhkiin järjestelmällisesti

Teksti: Antti J. Lagus

Täydellistä tietoturvaa ei ole, mutta suunnitelmallinen varautuminen kannattaa. Organisaation johdolle tietoturvainvestoinnit kannattaa perustella kielteisten seurausten välttämisellä.

Teräsyhtiö Outokummun tietoturvajohtajalla Pentti Lehtisellä on kokemusta tietoturvaratkaisujen ottamisesta käyttöön suuressa organisaatiossa. Hän tietää, että täydellistä tietoturvaa ei ole olemassakaan vaan kyse on aina tasapainoilusta käytettävyyden ja turvallisuuden välillä.

Kaikkia tietoturvauhkia ei voida tuntea etukäteen, minkä vuoksi järjestelmällisyyden merkitys tietoturvatyössä vain korostuu. Lehtinen painottaa myös, ettei koskaan tiedetä, kuinka pitkällä vastapeluri on.

”Tietoturvatoimittajat ja -konsultit tekevät bisnestä uhkakuvia maalailemalla. Reaalimaailmasta löytyy vastaavia bisnesmalleja. Esimerkiksi asekauppaa käydään turvallisuuden nimissä”, Lehtinen pohtii.

Tietoturvauhat täytyy silti ottaa vakavasti, ja niihin kannattaa varautua. Verkkorikollisuus koskettaa niin yrityksiä kuin niiden työntekijöitä ja yksityisiä ihmisiä. Yleisimmin hyökkäys tehdään jollain tavalla ihmisen avulla. Tarvittavat tiedot saadaan niin kutsutun social engineeringin avulla eli huijaamalla kohde antamaan tietoja.

Tietoturvauhat koskevat Lehtisen mukaan kaikkia toimialoja: niin pankkien kuin terästeollisuuden on oltava varuillaan. Varautumisen aste eri aloilla ja alojen sisällä eri toiminnoissa luonnollisesti vaihtelee.

Perusta kuntoon kolmessa vaiheessa

Tietoturvatyössä hyvänä toimintatapana Lehtinen pitää kolmiportaista mallia, jossa ensin laitetaan perusta kuntoon. Tässä työssä käytetään jotakin hyvää mallia, esimerkiksi tietoturvallisuusstandardia ISO 27001. Tärkeää on saada tietoturvatyöhön 360 asteen kattavuus, jossa huolehditaan kaikista tietoturvan osa-alueista eikä esimerkiksi vain haittaohjelmista.

Toisena tekijänä tietoturvaan vaikuttavat bisneksestä nousevat vaatimukset, jotka on huomioitava perustan säätämisessä.

”Erityisesti jos IT-palveluita ulkoistetaan, pitää huolehtia siitä, että kokonaisuus on jonkun hallinnassa. Myös yrityskaupoissa on varmistettava tietoturvan osuus”, Lehtinen sanoo.

Outokummulla on tuoreita kokemuksia yrityskauppojen tuomista vaatimuksista turvallisuustyöhön, kun yhtiö osti teräsyhtiö Inoxumin. Lehtinen sanoo yleensä nukkuvansa yönsä hyvin, mutta selvitystyön ollessa kiivaimmillaan se valvotti häntä jonkin verran. Esimerkiksi kauppaneuvotteluihin liittyvä salainen materiaali olisi saattanut kiinnostaa joitakin tahoja.

Tietoturvatyön kolmantena vaiheena Lehtinen mainitsee jatkuvan prosessin, johon päästään kahden ensimmäisen vaiheen kautta. Riskihavaintojen pohjalta tehdään tarvittavia säätöjä. Ne perustuvat kolmen tekijän – ihmiset, prosessit ja teknologia – oikeaan suhteeseen.

Investoinnit tilanteen mukaan

Riippuu tilanteesta, mihin tietoturvan osa-alueeseen milloinkin kiinnitetään huomiota. Joskus kustannustehokkainta voi olla koulutus, joskus jokin toinen osatekijä. Uhkaan varautuminen on Lehtisen mukaan aina tapauskohtaista. Ei esimerkiksi kannata käyttää miljoonaa euroa jonkin sadan euron arvoisen uhan ehkäisyyn.

”Tietoturvan toteutumista voidaan seurata erilaisilla mittareilla. Näitä ovat esimerkiksi reaktionopeus tietoturvatapahtumiin sekä tietoturvakoulutuksen kattavuus organisaatiossa. Varsinkin koulutus kohdistuu hyvin social engineering -uhkaan”, Lehtinen sanoo.

Outokummussa intranet on osoittautunut hyväksi tavaksi tiedottaa tietoturva-asioista henkilöstölle. Esimerkiksi tietokoneen lukitsevista ja lukon poistamiseen lunnaita vaativista viruksista on varoitettu intranetissä. Lisäksi Outokumpu järjestää eri kohderyhmille koulutusta tarvittaessa.

Useissa maissa toimiva yritys joutuu toimimaan eri maiden lainsäädäntöjen mukaan. Outokummulla on päätetty noudattaa Suomen käytäntöä monissa tietosuoja-asioissa. Yhdenmukainen lähestymistapa merkitsee muun muassa sitä, vaikka Yhdysvalloissa olisi helpompi päästä käsiksi työntekijöiden sähköpostiin, sitä ei tehdä sielläkään.

Osaksi jokapäiväistä toimintaa

Viestintäviraston tehtäviin kuuluu yritysten ja viranomaisten tietojärjestelmien tietoturva-arviointi esimerkiksi kansainvälisiä tarjouskilpailuja tai hankkeita varten. Turvallisuus-toimialan apulaisjohtaja Rauli Paananen muistuttaa organisaatioita siitä, että tietoturva on osa kokonaisturvallisuutta. Se on yksi prosessi muiden joukossa, josta raportoidaan säännöllisesti.

”Jotta tähän päästään, tarvitaan tiettyä kypsyystasoa. Turvallisuus ei ole mikään halpa tunne. Toisaalta kun jotain sattuu, vahingot tai maineen menetys rahassa voivat olla todella suuret”, Paananen sanoo.

Koska menetyksiä ei yleensä saada takaisin, on kyse siitä, halutaanko asiat laittaa kuntoon etukäteen. Paanasen mukaan yleensä yritykset ottavat tietoturvan vakavasti, mutta aloittelevissa yrityksissä on joskus puutteita.

Standardit ovat hyviä mittareita

Rauli Paananen pitää yrityksen tai viranomaisen toiminnan sertifiointia hyvänä mittarina. Hänen mukaansa sellaisessa organisaatiossa, jossa toiminta on tietoturvallisuuden hallintajärjestelmän standardin ISO 27001 mukaista, prosessiin on helppoa sisällyttää uusia asioita. Viestintävirasto hankki standardin mukaisen sertifioinnin vajaat kolme vuotta sitten vastauksena tiukentuviin tietoturvavaatimuksiin.

”Valtionhallinto on tehnyt paljon töitä tietoturvan edistämiseksi. Sertifioituja yksiköitä tulee jatkuvasti lisää etenkin, kun nyt tehdään entistä enemmän töitä yritysmaailman kanssa”, Paananen sanoo.

Sama pätee myös toiseen suuntaan: jos yritykset tekevät yhteistyötä viranomaisten kanssa, niiden pitää täyttää tiettyjä tietoturvavaatimuksia.

Paanasen mukaan helpoin tapa ymmärtää sertifioinnin vaatimukset on toteuttaa se omassa yksikössä tai yrityksessä.

”Toiminnassamme olen nähnyt, että jos yrityksellä on tietoturvasertifikaatti, kaikkia asioita ei tarvitse tarkistaa vaan voidaan keskittyä joihinkin olennaisiin asioihin.”

Lue myös

Varautumisen 5 vinkkiä »
Näin perustelet tietoturvainvestoinnit »

Bookmark and Share
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.