Primary tabs

Historiasta on hyvä oppia ja tulevaisuus vaatii meiltä enemmän. Listasimme viisi teesiä johtajille kyberturvallisempaan (liike)toimintaan vuodelle 2021.

Viisas oppii muiden virheistä

Vuosi 2020 jää, koronaviruksen lisäksi, aikakirjoihin erilaisten kyberturvallisuusuutisten myötä. Näistä eniten Suomessa huomiota saanut oli Vastaamon tapaus, jossa yksittäisiin henkilöihin kohdistuvaa arkaluonteista tietoa sisältänyt tietojärjestelmä joutui väärinkäytön kohteeksi. Muita uutisia olivat muun muassa tietoturvayhtiö FireEye:n ongelmat ja Eduskunnan ilmoitus tietomurroista. Näistä esimerkkitapauksista on hyvä poimia muutamia oppeja omaan toimintaan.

Teesi 1: Pelkillä resursseilla et voi estää kybermurtoja

FireEye:llä on varmasti käytössään parhaat henkilöresurssit ja teknologiset ratkaisut oman toimintansa turvaamiseen. Samaa voidaan sanoa Eduskunnasta. Valtion keskeisellä toimijalla on takuulla saatavilla riittävät resurssit – uhkatilannekuvasta tuskin ainakaan on epäselvyyttä. Vastapuolella on lukuisia etuja. Ensimmäinen näistä on monimutkaisuus, kun tietojärjestelmäympäristö koostuu tuhansista osatekijöistä ja niiden kaikkien pitäisi olla jatkuvasti päivitetty viimeisimpään versioon ja asennettu oikein. Toinen etu on aika, kun vastapuolella ei noudateta työaikalainsäädäntöä – ainakaan suomalaista. Yöt, viikonloput ja loma-ajat eivät saisi vaikuttaa kyvykkyyksiin. – Pelkillä resursseilla et siis voi kokonaan estää kyberongelmia. Niiden todennäköisyyteen ja vaikutuksiin oikein käytetyillä resursseilla on sen sijaan merkittävä vaikutus. 

Teesi 2: Et voi suojata kaikkea

FireEye:n antaman tiedon mukaan tietomurron kohteeksi joutui ”vain” yhtiön konsultointiliiketoiminnan työkalut. Tuotekehityksen kruununjalokiviin murtajat eivät päässeet kiinni. Tämä onkin yrityksen jatkuvuuden kannalta olennaista. Mikäli tietoturvatuotteiden lähdekoodit olisivat paljastuneet, olisi yritys varmaankin ajautunut lopullisiin vaikeuksiin. Vastaamon tapauksessa olisi kenties voinut auttaa, mikäli terapiaistuntojen luottamukselliset tiedot olisivat eriytetty muista asiakastiedoista. – Valitse mitä suojaat, mielellään riskilähtöisesti. 

Teesi 3: Viestintä voi minimoida vahingot 

Mielenkiintoista vertailla, kuinka eri kybermurtotapausten viestintää on hoidettu. Huonoja esimerkkejä on saatavilla  myös esimerkkitapauksissamme. FireEye:n valitsema avoin linja: ”Kyllä - näin kävi, tässä on ohjeet vahinkojen minimoimiseksi.” on selvästi ollut voittava lähestyminen ja mahdollistanee yrityksen liiketoiminnan jatkumisen tulevaisuudessakin. Tästä on hyvä ottaa opiksi, varautua ja suunnitella oma kriisiviestintä kybertilanteen varalle sekä myös harjoitella sitä säännöllisesti. – Viestintä auttaa selviämään tilanteesta ehjin nahoin - mikäli se on hallussa. 

Viisas myös varautuu tulevaan

Uusi vuosi lupaa meille paljon. Koronaviruksen vaikutus varmasti vähenee vuoden loppua kohti mentäessä, mutta sen aiheuttama digitalisaation kiihtyminen ei tule hidastumaan. Vuoden 2021 aikana tullaan yhä useampi liiketoiminta- ja muu prosessi siirtämään automaattiseen tai puoliautomaattiseen tietojenkäsittelyyn. Kiihtyvällä tahdilla korvaamme manuaaliset työvaiheet: paperin, vanhat järjestelmät ja ihmisten välisen viestinnän automaattisilla ja teknisillä välineillä. Tämän muutoksen taustalla on tietysti tehokkuus, uudet liiketoimintamahdollisuudet ja tekninen kehitys, jotka ohjaavat valintojamme kohti yhä enemmän kyberturvallisuudesta riippuvaista toimintaa. Tässä meillä jokaisella on vastuu tulevaisuudesta. Kun seuraavaksi pohditaan uutta digitaalista prosessia, palvelua tai  tekniikkaa, kysy itseltäsi ja tiimiltäsi, tarvitaanko kaikkea kerättävää tietoa ja onko sen käsittelyyn mahdollista varata riittävät resurssit?

Teesi 4: Älä kerää mitä et voi suojata

Tarvitaanko kaikkea dataa? Voidaanko palvelu toteuttaa keräämällä vähemmän tietoa - vähemmän henkilötietoa, vähemmän luottamuksellista tietoa? Onko tieto poistettavissa käytön jälkeen? Voidaanko tieto anonymisoida ennen sen vastaanottamista, kuten esimerkiksi Koronavilkussa. Onko tieto mahdollista erotella luottamukselliseen ja ei-luottamukselliseen, ja säilöä erikseen? – Tiedon käsittelyllä on kustannus. Sen optimoinnin voit aloittaa vähentämällä kerättävää tietoa.

Teesi 5: Kyberturvallisuuden kustannukset ovat osa liiketoiminnan kustannuksia

Kyberturvallisuuden kustannukset ovat pitkään olleet osa ICT-kuluja piilotettuna yhteiseen pottiin ilman suoraa yhteyttä liiketoimintaan. Uusien digikehityshankkeiden aikana olisi merkittävästi parempi arvioida uuden toiminnon vaatiman suojaustason kustannukset ja kohdistaa ne suoraan tälle toiminnolle. Liian usein edelleen nähdään liiketoimintalaskelmia, jotka eivät huomioi suojaukseen liittyviä kustannuksia ja antavat siten väärän tiedon kannattavuudesta – näin  uusien digipalvelujen todellinen kannattavuus jää hämärän peittoon. Klassisena vertauksena voidaan käyttää verkkokaupan perustamista. Vaikka palovakuutusta, fyysisiä lukkoja ja vartiointia ei välttämättä tarvita, on silti huomioitava jatkuva ohjelmisto-osien päivittäminen, sovelluspalomuurit ja tietoturvan seuranta. Vuonna 2021 on hyvä aloittaa kyberturvallisuuden kustannuksien kohdistaminen suojattavien kohteiden liiketoimintaan. Se työ ei valmistu vuodessa. 

Digitalisaatio on suuri lupaus. Se ratkaisee tuomallaan tehokkuudella paljon nykyisiä haasteita ja tuottaa sitä hyödyntäville merkittäviä uusia mahdollisuuksia. Historiasta on kuitenkin hyvä oppia. Osa meistä muistaa vielä sähköpostin tulon - uusi palvelu vakiinnutti asemansa hämmentävän nopeasti, ja sen tuomia tietoturvaongelmia (roskaposti, tiedon salaaminen, lähettäjän tunnistaminen ym.) on korjailtu useita vuosikymmeniä. Yhä kiihtyvässä digitalisoinnissa otamme, yksittäisissä organisaatioissa, käyttöön vertauskuvainnollisesti kymmeniä sähköposteja vuodessa ja luomme yhä kasvavaa tietojärjestelmien massaa, jonka ylläpidon ja riippuvuuksien hallinnoinnissa eivät tule riittämään pelkästään IT-osastojen tai tietoturvavastaavien resurssit – Kyberturvallisuuden pitää olla mukana toiminnan suunnittelussa alusta lähtien. 

Hyvää alkavaa lupauksien digivuotta!

Tutustu kyberturvallisuuden palveluihimme.

Kirjoittajasta

Mika Hållfast

Mika Hållfast

kehitysjohtaja, kyberturvallisuus

Olen Mika Hållfast ja toimin kehitysjohtajana CGI:n kyberturvallisuusyksikössä . Minulla on yli 15 vuoden kokemus tieto- ja viestintätekniikka-alalta. Kyberturvallisuuden lisäksi osaamisalueitani ovat vaativien hankkeiden johtaminen, liiketoiminnan konsultointi, julkishallinto, pilvipalvelut ja arkkitehtuurit.

Kirjoita kommentti

Comment editor

  • No HTML tags allowed.
  • Lines and paragraphs break automatically.
Blogi-kommentoinnin ohjeet ja käyttöehdot