Näin kesälomien kynnyksellä haluan nostaa esille kyberturvan ajankohtaisia aiheita, sillä uskon pienillä teoilla olevan suuren vaikutuksen. Tällä viittaan toki siihen, että muistuttaminen on aina hyvästä – mutta ennen kaikkea siihen, että pienelläkin huomiotta jättämisellä tai sivuuttamisella voi olla erittäin kallis vaikutus muun muassa luottamuksellisen tiedon vääriin käsiin joutumisena tai organisaation koko toiminnan lamaantumisena.
Varmasti jokainen meistä tiedostaa, että tekoälyn ja innovaatioiden kehittyessä myös hyökkäysten realistisuus ja nopeus kehittyvät. Haavoittuvuuksia hyödynnetään jo ennen niiden julkistamista, kun vielä muutama vuosi sitten Zero Day Clockin tutkimuksen mukaan aikaa hyödyntämiseen saattoi kulua yli kuukausi. Tämä nostaa entisestään varautumisen suunnittelun ja ennen kaikkea sen toteutumisen sekä seurannan merkitystä.
Kyberturvallisuuskeskus on nostanut viimeisen parin viikon aikana uutisoinnissaan pinnalle tärkeitä asioita kyberhyökkäysten aktiivisuudesta ja kalastelukampanjoista. Näistä kannattaa lukea tarkemmin Traficomin sivulta.
Tämän kaiken innoittamana alla kolme pienen investoinnin vinkkiä varautumiseen ja organisaatiosi mahdollisten uhkakuvien kitkemiseen:
- Pääsynhallinta ja identiteetin suojaus: Perinteinen monivaiheinen tunnistautuminen (tuttavallisemmin MFA) ei enää riitä, vaan tarvitaan jatkuvaa riskipohjaista pääsynhallintaa periaatteella kuka + millä laitteella + mihin + mistä + mikä riski juuri nyt. Pitäisikö ylipäätään kirjautumisen suojaamisesta siirtyä istunnon suojaamiseen? Ei huono ajatus.
Tämä tarkoittaa laajempaa katsontaa ja kontrollia kuin salasana ja autentikointi. Onko laite, jolta kirjaudutaan, niin sanottu luotettu ja hallittu laite? Entä ovatko päivitykset kunnossa? Mistä kirjaudutaan, mihin kellonaikaan, menikö salasana pari kertaa väärin illan hämärässä, laajennetaanko tunnistautumista esimerkiksi salausavainratkaisuihin? Pitäisikö kriittisiin sovelluksiin, dataan tai järjestelmiin päästä vain tietoturvallisen selaimen välityksellä? Roolipohjaisuus, esim. vahvemmat suojaukset admin-käyttäjille, just-in-time (JIT) -periaate ja aikarajaukset käyttöön. Entäs tiedon suojaaminen ja luvitukset? Listaa voisi jatkaa loputtomiin…
- Murtotestaus – kaiva esille, mitä et tiedä tai näe: Miltä organisaation verkko näyttää mahdolliselle hyökkääjälle – onko sisäverkon palveluita auki ulospäin? Pääseekö tulostimien asetusten kautta näkemään tulostettujen dokumenttien sisällön ja tulostajan? Ylipäätään milloin viimeksi teillä tehtiin sisä- ja/tai ulkoverkon murtotestaus? Murtotestaus on osa riskien hallintaa ja varautumista, usein myös ulkoinen vaatimus (regulaatiot ja standardit).
Kokemukseni mukaan lähes aina tietoturvan kehittämisestä puhuttaessa keskitytään päätelaitteiden, identiteettien sekä sovellusten ja järjestelmien suojaamiseen, tavoitellen keskitettyä ja automatisoitua valvontaa ja hälyreagointia (Security Operation Center, SOC-valvonta) – mikä toki sekin on täysin tarpeellista ja peräänkuulutan tämän tärkeyttä. Aika usein kuitenkin unohtuu kehityskaaren ulottaminen verkon, verkkolaitteiden ja rajapintojen murtotestaukseen, tai jos sellainen on tehty, se on ollut liian satunnaista. Suosittelen lämpimästi säännöllisen murtotestauksen suorittamista – laitetaan valkohattuhakkerit töihin.
- Satsaa käyttäjiin: Kuinka usein organisaatiossanne tarkastellaan käyttöoikeustasoja? Esimerkkinä Teams-kanavat, melko varmasti jokaiselta organisaatiolta löytyy tällä saralla siivottavaa. Faktahan on, että roolit muuttuvat, projektit päättyvät ja niin edelleen. Usein järjestelmät ja sovellukset ovat myös erikseen lisensoitavia, käyttöoikeuksien hallinnalla on saavutettavissa kustannussäästöjäkin.
Entä miten organisaatiossanne koulutetaan loppukäyttäjiä varautumaan sähköpostitse ja tekstiviestitse tapahtuviin kalasteluhyökkäyksiin (phishing ja smishing)? Osaavatko työntekijänne tulkita sähköpostista tai tekstiviestistä, onko kyseessä aito viesti vai tietojenkalastelua. Klikatessa linkkiä ohjaudut väärennetyille sivuille, identiteettisi ja tunnuksesi saatetaan kaapata, minkä jälkeen niitä saatetaan käyttää hyökkäyksen laajentamiseen ja tietovarkauksiin. Mikäli suojaat vain kirjautumisen etkä välitä siitä, mitä identiteetti IT-ympäristössänne puuhaa – soppa on valmis.
Nämä kolme pienen investoinnin vinkkiä voivat parantaa tietoturvaa organisaatiossanne huomattavasti. Myös me Tieralla olemme tehneet kevään ja kesän aikana paljon töitä kyberturvapalvelukehityksen parissa, ja lupaan että tuo kehitys jatkuu – onhan se liiketoimintavastuullani. Edellä kertomani vinkit ovat kokonaisuuksia, joista löytyy palveluvalikoimastamme valmiit tuotteistetut ratkaisut. Näissä ja missä tahansa muissa kyberturvaan liittyvissä aiheissa ja kysymyksissä voit kääntyä puoleeni – autan mielelläni.
Kohta itse kukin meistä aloittaa kesälomat ja akkujensa lataamisen. Viimeistään lomilta palatessasi kannattaa ottaa seurantaan syksyn tapahtumamme. Tulemme muun muassa käynnistämään webinaarisarjan, jossa käsitellään tekoälyä sekä tietoturvaa ja tietosuojaa sekä näiden hallittavuutta ja sidonnaisuuksia toisiinsa.
Kimmo Kivistö
Tuotepäällikkö, Kyberturvapalvelut, Tiera Oy
050-3782980
kimmo.kivisto@tiera.fi