Viime aikoina paljastuneet tietomurrot ovat saaneet hälytyskellot soimaan lukuisissa organisaatioissa. Omaa turvatasoa perattaessa onkin voinut paljastua karu totuus. Tietojärjestelmät on rakennettu huolellisesti, mutta etenkin ylläpitäjien, ohjelmistoinsinöörien ja IT-konsulttien käyttäjäoikeuksien valvonta on pahasti retuperällä.
Mikä on yhtiönne liiketoiminnan kannalta arvokasta dataa ja kenellä kaikilla on mahdollisuus päästä siihen käsiksi?
Siinä yksi peruskysymys, jonka tietoturvaekspertit esittävät, kun he lähtevät taklaamaan tietoturvariskejä. Asiakkaan vastaukset voivat tulla aluksi kuin apteekin hyllyiltä, mutta muuttuvat usein jo muutaman täsmentävän jatkokysymyksen jälkeen epävarmemmiksi.
Lopulta voidaan joutua tunnustamaan, ettei tiedonhallinnan kokonaisuus ole oikeastaan kenenkään hallussa. Bisneskriittistä dataa on tallessa yrityksen omilla palvelimilla, pilvipalveluissa ja henkilöstön läppäreillä. Tietojärjestelmien ylläpito- ja konsulttipalveluja ostetaan useilta eri tahoilta eikä järjestelmien käyttöoikeuksia valvo käytännössä kukaan.
Kaiken kukkuraksi ohjelmistojen ja järjestelmien salasanat ovat voineet säilyä vuodesta toiseen samoina ja niitä on jaettu varsin huolettomasti myös eteenpäin. Lisäksi henkilöstön käyttöoikeuksia on jäänyt katkaisematta, vaikka työtehtävät tai työsuhteet olisivat vaihtuneet tai päättyneet jo aikoja sitten.
Lukot uusiksi myös digimaailmassa
Edellä kuvatut tilanteet ovat tulleet vuosien varrella tutuksi myös kotimaisen tietoturvayhtiö SSH Communications Securityn (SSH.COM) toimitusjohtaja Teemu Tunkelolle ja teknologiajohtaja Miikka Sainiolle.
Alan pioneeriyrityksiin lukeutuvan SSH.COM:in kokeneen asiantuntijakaksikon mukaan moni yritys valvoo omia toimi- ja tuotantotilojaan tarkemmin kuin liiketoiminnan kannalta elintärkeää dataa, vaikka nimenomaan tietomurto ja siihen usein liittyvä kiristäminen voivat tietää koko yrityksen loppua.
– Tonttia ympäröi kameroilla varustettu verkkoaita, ulko-ovi avataan vain vierailusta etukäteen sopineille eikä sisääntuloaulastakaan pääse omin päin eteenpäin. Samaan aikaan esimerkiksi organisaatioon immateriaalioikeuksiin, asiakasrekisteriin tai potilastietokantaan voi päästä käsiksi muutamalla simppelillä salasanalla, joita ei ole vaihdettu vuosikausiin ja joiden haltijoista ei ole kunnollista käsitystä, Tunkelo toteaa.
– Tämä pätee erityisesti konsultteihin, IT-käyttäjiin ja ohjelmistoinsinööreihin, jotka ylläpitävät yrityksen operatiivisen- ja liiketoiminnan kannalta kriittistä IT-infraa, hän lisää.
Miikka Sainion mielestä lepsuja tietoturvakäytäntöjä voi hyvällä syyllä verrata taloyhtiöön, jonka yleisavain on hukassa ja siitä on tehty kenenkään huomaamatta kopioita.
– Todennäköisesti talon kaikki lukot ja avaimet menevät tällaisessa tilanteessa pikavauhtia uusiksi. Samalla tavoin tulisi toimia myös yrityksissä, jos yksikin käyttöoikeus tai salasana kulkeutuu talon ulkopuolelle tai jää asiaankuulumattomalle henkilölle, Sainio tähdentää.
Tilaisuus tekee myös datavarkaan
Samaan hengenvetoon kaksikko muistuttaa, ettei vuosien kuluessa alati sotkuisemmaksi käyneestä tiedonhallintavyyhdistä kannata etsiä yhtä tai kahta syyllistä. Etenkin isommissa yhtiöissä ongelman juuret johtavat jo vuosien takaisiin ulkoistuksiin, joissa on ensin luovuttu omasta it-infrastruktuurista ja sen jälkeen asteittain myös omasta tukihenkilöstöstä.
Palveluja on ulkoistusten myötä alettu kilpailuttaa, hankkia useilta eri toimijoilta ja myös yksittäisiltä konsulteilta. Töiden yleisen sujuvuuden, ajansäästön ja kustannusten säästämiseksi heille on annettu omia käyttäjä- ja kirjautumistunnisteita ilman kattavaa dokumentointia.
– Tässä kiireessä jää helposti miettimättä ja samalla myös rajaamatta, mihin kaikkeen annetuilla tunnuksilla lopulta pääsee ja millaisiin käsiin ne voivat tätä kautta päätyä. Pahinta on, etteivät käyttöoikeudet ole välttämättä katkenneet, kun kyseiset projektit tai työsuhteet ovat päättyneet, Sainio toteaa.
Yksi suurimmista sudenkuopista ja tietoturvariskeistä piileekin Tunkelon mukaan juuri tässä. Pahimmillaan setvittävänä on todellinen käyttäjäviidakko, josta kenelläkään ei ole enää selkeää kuvaa.
– Sinisilmäisyyden sijaan on hyvä muistaa, että tilaisuus voi tehdä kenestä tahansa varkaan. Asiakas- ja tuotekehitystiedoista maksetaan usein huomattaviakin summia. Jos niihin pääsee vaivattomasti ja huomaamattomasti käsiksi, saattaa houkutus olla yrityksen luottopelurillekin liikaa, Tunkelo tähdentää.
Toimitusjohtajan näkemystä tukevat myös tilastotiedot. Niiden mukaan tietomurrot paljastuvat useimmiten vasta kuukausien, joskus jopa vuosien päästä. Vahingot ovat lähes poikkeuksetta miljoonaluokkaa.
Digiavaimet uusjakoon ja oikeille henkilöille
Kuinka sitten tilkitä tieturva-aukkoja, joita on saattanut löytyä jo nopealla perkauksella pelottavan paljon?
Teknologiajohtaja Miikka Sainion mukaan ensimmäinen ja tärkein askel on selvittää, kuinka laajalla joukolla on hallussaan yhtiön eri tietojärjestelmien digitaalisia avaimia. Sen jälkeen on käytävä tarkasti läpi, ovatko oman henkilöstön, yhteistyökumppaneiden ja alihankkijoiden valtuutukset ja käyttöoikeudet ajan tasalla.
– Tässä kohtaa on hyvä tiedostaa, että 75 prosenttia tietomurroista tapahtuu nimenomaan digitaalisten avaimien avulla. Se ei ole mikään ihme, sillä tutkimusten mukaan yli 80 prosentilla yrityksistä on puutteita niihin liittyvissä prosesseissa, Sainio muistuttaa.
Tietojen perkaaminen on manuaalisesti hidasta, työlästä ja tarkkuutta vaativaa. SSH.COM onkin kehittänyt selvitystyön helpottajaksi tehokkaita työkaluja.
UKM:n (Universal Key Management) avulla näkee nopeasti, missä riskialttiita digiavaimia majailee. Se myös varmistaa, että eri tietojärjestelmien digiavaimet päätyvät ainoastaan niille henkilöille, jotka niitä työssään aidosti tarvitsevat, avaimia käytetään vastuullisesti eikä niitä voi luoda luvattomasti.
Yhtiön PrivX-tuotteen avulla puolestaan käyttäjien tunnistus sekä käyttöoikeuksien hallinnointi kevenee ja selkiytyy erityisesti pilviympäristöissä. Erilaiset aika- ja järjestelmärajaukset on helppo asettaa sekä tunnukset vaihtaa ja ”nollata” työtehtävien muuttuessa tai päättyessä.
Ratkaisu ei myöskään jätä jälkeensä kiinteitä digiavaimia tai tilejä, joita voisi väärinkäyttää. Käyttäjät eivät koskaan käsittele tai näe mitään yhteydenmuodostamiseen vaadittuja salaisuuksia. Silti jokainen istunto jättää tunnistettavan jäljen.
Työkalujen avulla käyttöoikeusviidakko karsiutuu hallitusti ja samalla suojataan yrityksen kriittinen data riippumatta siitä, onko se levossa, liikkeessä vai aktiivisessa käytössä.
– Merkittävä osa tietoturvaan liittyvistä laiminlyönneistä johtuu siitä, että järjestelmien käyttö on työlästä ja ajan säästämiseksi päätetään hieman oikaista. Jos käyttö on sen sijaan helppoa, yksinkertaista ja nopeaa, tällaista houkutusta ei edes synny, Sainio lisää.
-----
SSH Communications Security
•Liikevaihto 14,5 MEUR
•Työntekijöitä globaalisti noin 100
•Suunnittelee ja toimittaa tietoturvaratkaisuja
•Päämarkkina-alueet Aasia, Eurooppa, Yhdysvallat
•Yli 3 000 asiakasta eri puolilla maailmaa
Editori Helsinki Oy - yritysviestinnän asiantuntija
Editorhelsinki.fi -asiantuntijakanava tuo esille oman alansa asiantuntijat, persoonat ja vaikuttajat.
Lisätiedot: Valtteri Rantalainen | p. 040 561 7703 | valtteri.rantalainen(a)editorhelsinki.fi | www.editorhelsinki.fi
© Koodiviidakko Oy - Y-tunnus 1939962-1