Tänään saimme lukea uutisista Tekesiin kohdistuneesta tietomurrosta. Järjestelmästä löytynyttä haavoittuvuutta hyödynnettiin tietojen luvattomaan varastamiseen ja samalla usean asiakasorganisaation luottamukselliset tiedot vuotivat luvattomiin käsiin.
Harmittava yksittäistapaus vai yleinen toimintaketju? - Valitettavasti tämä on paljon luultua yleisempää. Se mikä tekee Tekesin tapauksesta poikkeavan, on hakkereiden itse tekemä ilmoitus tehdystä varkaudesta. Yleensä tietojen varastaminen jää kokonaan pimentoon tai havaitaan jälkikäteen hyökkäyksen kohteeksi joutuneen organisaation toimesta.
Sähköisten palveluiden tietoturvallisuus on jatkuvasti muuttuva pelikenttä. Kertaalleen turvalliseksi todettu järjestelmä ei välttämättä ole sitä enää huomenna. Uusia haavoittuvuuksia löytyy jatkuvasti, joskus ne kohdistuvat käytettyyn järjestelmään ja toisinaan taas järjestelmän tausta-arkkitehtuuriin. Turvallisuus on aina kokonaisuus, joka koostuu hyvin valmistellusta, ylläpidetystä ja tarkastetusta toimintaympäristöstä. Tietoturvallisuutta ei voi ostaa valmiina laatikossa, vaan sitä tulee huolellisesti ylläpitää. Organisaation toiminnan jatkuvuudessa huomioidaan yleensä palveluiden ja järjestelmien käytettävyys. Palvelun käytettävyys on kuitenkin merkityksetöntä siinä vaiheessa, jos tietoturvan vuoksi luottamuksellisuus menetetään ja organisaation toiminta vaarantuu tai pahimmillaan lakkaa.
Sähköisiä palveluja tarjoavien organisaatioiden tulisi kiinnittää huomattavasti tarkempaa huomiota toimintaympäristöjen tietoturvan säännölliseen tarkastamiseen ja ylläpitämiseen. XCure Solutions Oy:n asiantuntijan Jarkko Majavan (CISA, CISSP) mukaan ”Kriittisiä haavoittuvuuksia havaitaan lähes jokaisessa palveluihin kohdistetuissa tarkastuksissa. Havaitsemme auditoinneissa myös selviä puutteita toimittajan, ylläpitäjän ja tilaajan välisissä sopimuksissa, myös seuranta tunnistetuista ja pikaisesti korjattavista haavoittuvuuksista puuttuu. ”
Organisaatioilla on usein vääristynyt näkemys tietoturvallisuuden ulkoistamisesta. Jos ostan tietoturvalliseksi markkinoidun palvelun tai ulkoistan ylläpidon, tarkoittaako se että olen turvassa? Valitettavasti näin ei kuitenkaan ole, vahinko tietovuodosta kohdistuu aina ensisijaisesti kohdeorganisaatioon ja välillisesti organisaation omiin asiakkaisiin. Tietoturvallisuutta ei voida koskaan täydellisesti ulkoistaa, vaan vastuu tietoturvan toteutumisesta on aina lopulta organisaatiolla itsellään. Apua on kuitenkin saatavilla.
Jarkko Majavan mukaan: ”XCure tarjoaa asiakkailleen skaalautuvaa tietoturvatukipalvelua, jonka avulla organisaatiot pysyvät mukana jatkuvasti muuttuvassa tietoturvallisuuden pelikentässä. Palvelun avulla organisaatio varmistuu järjestelmiensä tietoturvallisuuden nykytilasta, unohtamatta sitä tärkeintä, eli ylläpitoa. Palvelun avulla organisaatiot voivat myös tehokkaasti kehittää omaa sisäistä toimintaansa kohden standardoitua (KATAKRI, VAHTI, ISO27K) tietoturvaympäristöä”.
Avainsanoja:
CISA = Certified Information Systems Auditor
CISSP = Certified Information Systems Security Professional
KATAKRI = Kansallinen turvallisuusauditointikriteeristö
VAHTI = Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI –ohjeet)
ISO27k = Kansainvälinen tietoturvan hallintajärjestelmän standardiperhe (ISO/IEC)
Lisätietoja aiheesta:Jarkko Majavap. 0400375101[email protected]
XCure Solutions Oy on vuonna 2006 perustettu tietoturvapalveluja tuottava asiantuntijayritys. XCuren asiantuntijoilla on pitkä ja laaja-alainen kokemus tietoturva-alalta. Tuotamme palveluna kattavia auditointeja sekä kevyempiä tietoturvan terveystarkastuksia, konsultoimme käyttäjien ja laitteiden tunnistamista sekä etsimme asiakkaillemme sopivimmat ja kustannustehokkaimmat tietoturvatuotteet. Huolehdimme myös tiedon palautuksesta ja hävityksestä. Asiantuntijoidemme pätevyyden takaavat kansainväliset sertifioinnit, kuten CISA, CISSP ja CISM ja tietoturvavalmistajien omat sertifioinnit.
Yhteystiedot:Kai KempasGSM. 0400 362 997[email protected] Jarkko MajavaGSM. 0400 375 101[email protected] www.xcure.fi© Koodiviidakko Oy - Y-tunnus 1939962-1