Tietoturvaan ja kyberuhkien torjuntaan panostetaan yrityksissä tuntuvia summia. Jatkuvana huolena on silti, että eurot eivät riitä alkuunkaan. Kuinka siis saada tiukan talouden aikana eurot riittämään, ja varautua uusiin uhkiin edes välttävällä tasolla?
Verkottuneessa yhteiskunnassa on syntynyt asetelma, jossa hyökkäämisen ja puolustamisen kustannukset ovat valtavassa epäsuhdassa. Laajan ja sofistikoidun hyökkäyksen voi masinoida tai toteuttaa täysin ilmaiseksi verkosta vapaasti ladattavilla työkaluilla ja usein ilman suurempaa erityisosaamista. Tällaisen hyökkäyksen torjuminen voi kuitenkin tulla suojattavan palvelun luonteesta riippuen erittäin kalliiksi. Varautuminen ei silti vielä välttämättä paljonkaan pienennä riskiä.
Organisaatiot ovat tottuneet parantamaan puolustusta hankkimalla tietoturvaratkaisuja. On palomuureja, haittaohjelmistotorjuntaa, lokiratkaisuita ja niin edelleen. Lisäksi on valittu turvallisia ohjelmistoja, koulutettu henkilöstöä ja perustettu tietoturvaorganisaatio. Mutta uhkat ovat kehittyneet vieläkin nopeammin.
Kuinka paljon kannattaa panostaa mihinkin turvallisuuden osa-alueeseen, ja mitkä riskit ovat lopulta niin pieniä, että ne voidaan hyväksyä?
Kokemukset maailmalta ja kotimaasta osoittavat, että tukevinkin palomuuri murretaan. Ohjelmistot sisältävät ennestään tuntemattomia haavoittuvuuksia, joita ammattimaisesti toimivat tahot hyödyntävät häikäilemättömästi. Haittaohjelmistoja tunnistavat virustorjuntaratkaisut torjuvat vain ennestään tunnettuja haittoja. Täysin uudenlaiset kulkevat huomaamattomasti läpi verkon ja sen turvamekanismien.
Tyypillisesti hyökkäys etenee yli vuoden ajan huomaamattomasti tehden vahinkoa kohteena olevalle organisaatiolle. Haitta voi olla tietopääoman varastamista tai organisaation tiedonkäsittely-ympäristön hyväksikäyttöä seuraavaan kohteeseen hyökkäämisen pohjustamista varten. Tutkimusten perusteella vahingot luetaan tyypillisesti miljoonissa.
Kaikkia uhkia ei mitenkään voi torjua tai estää. Tästä päästäänkin kustannushyötyajatteluun. Kuinka paljon kannattaa panostaa mihinkin turvallisuuden osa-alueeseen, ja mitkä riskit ovat lopulta niin pieniä, että ne voidaan hyväksyä? Itse näen tällaisen rehellisen riskiarvioinnin avaimena kustannustehon löytymiseen. Jos liiketoiminta on ”tavanomaista”, eikä siihen liity valtionsalaisuuksia ja kalliisti hankittua tutkimus- tai tuotekehitystietoutta, ei mielestäni kannata erityisemmin panostaa esimerkiksi valtiollisten tiedusteluorganisaatioiden toimien estämiseen. Siinä touhussa valuvat helposti rahat hukkaan. Toki tietoturvastaan ja omasta yksityisyydestään kannattaa silti huolehtia toimimalla vastuullisesti.
Vastaavasti jos firmaan on jo hankittu kallis ja moderni seuraavan sukupolven palomuuri, kannattanee seuraava panostus kohdentaa esimerkiksi sen hallintaan ja valvontaan sekä organisaation reagointikykyyn, kun jotain tapahtuu. Hienoinkin turvamekanismi jää tehottomaksi, jos tapahtumia ei havaita eikä niihin siten reagoida ajoissa ja tehokkaasti.
Kaikkea ei myöskään kannata tehdä itse tai edes omistaa. Turvamekanismit voi ostaa palveluna, hallittuna ja valvottuna. Palveluntarjoaja voi tuottaa sekä tekniset ratkaisut että osaavan henkilöstön jaettuna ympärivuorokautisena palveluna, jolloin organisaation ei tarvitse tehdä kalliita investointeja tai palkata tietoturva-asiantuntijoita. Ammattimainen valvonta ja reagointikyky tuo usein paljon enemmän lisäturvaa kuin kapallinen tietoturvalaitteita ja ohjelmistoja. Jos palvelukapasiteetti on jaettu, kustannuksia jakavat jopa sadat asiakkaat, jolloin yksikkökustannukset jäävät maltillisiksi.
Säästyneet voimavarat voi käyttää henkilöstön tietoisuuden lisäämiseen.
Tietoturvallisuus on kokonaisuus. Hyökkääjä hyödyntää yleensä jonkin turvallisuuden osa-alueen heikkouden. Siksi myös puolustuksen resurssit tulee kohdentaa tasaisesti eri osa-alueille. Etuoven kameravalvontaa ja rikosilmaisinjärjestelmää ei kannata uusia, jos takaovea pidetään öisin auki.
Arvioimalla riskit huolella ja kohdentamalla torjuntakeinot viisaasti, turvallisuuden tasoa voi nostaa merkittävästi jopa nykyistä pienemmillä kustannuksilla. Säästyneet voimavarat voi sitten käyttää vaikkapa henkilöstön tietoisuuden lisäämiseen. Se on usein kaikkein kustannustehokkain tapa nostaa turvallisuuden tasoa.
Kirjoitus on julkaistu alun perin Talouselämän blogissa