Maailmassa koodataan 2 miljardia riviä koodia viikossa – pysyykö yritysten tietoturva perässä?

12.9.2017

Suomalaisten yritysten tietoturva vuotaa kuin seula, otsikoi Yle tuoreen juttunsa. Näitä uutisia olemme saaneet lukea valitettavasti säännöllisesti ja väitän, että niin saamme jatkossakin. Vaikka suomalaisten yritysten tietoturva niin fyysisen kuin digitaalisen turvallisuuden saralla on kansainvälisesti vertailtuna hyvää tasoa, ei hyvänolon tunteeseen ole varaa tuudittautua.

Digitaalisessa maailmassa nimittäin vain muutos on pysyvää ja siksi turvallisuuden on oltava sisäänrakennettuna digitaalisten palveluiden tuottamiseen. Yrityksiltä vaaditaan yhä enemmän kimmoisuutta ja suorituskykyä kohdata edistyksellisiä uhkia. Riskien kohtaamista olisikin hyvä harjoitella etukäteen.

Listasin yrityspäättäjille muutamia keinoja, joita olemme LähiTapiolassa hyödyntäneet ja kehittäneet tietoturvan parantamiseksi.

1) Hakkerit kylään. Organisaatiot voivat palkata eettisiä hakkereita testaamaan fyysistä turvallisuutta ja murtautumaan yrityksen digitaalisiin kruununjalokiviin. Tämä nk. Red Teaming -testaus on hyvä tapa katsoa peiliin ja ohjata turvallisuuden investoinnit kohteisiin jotka kipeimmin vaativat huomiota. Järjestämme seuraavan Hack Day -tapahtuman 14.10.

2) Palkkio-ohjelmat ja joukkoistaminen. Digitaalisen turvallisuuden varmistamisen keinovalikoimaa on laajennettava perinteisistä tietoturvatestauksista esimerkiksi bug bounty -ohjelmiin. Bug bounty -ohjelmissa yritykset maksavat palkkioita valkohattuisille hakkereille palveluista, järjestelmistä tai sovelluksista löydetyistä tietoturvahaavoittuvuuksista. Valkohattuisten hakkereiden joukkoistamisen kautta yritykset saavat tiedon haavoittuvuuksista ennen rikollisia. Digitaalisia palveluita tarjoavilla yrityksillä on vähintäänkin oltava valmius vastaanottaa omilta palveluiden käyttäjiltä, valkohattuisilta hakkereilta tai eettisiltä hakkereilta palveluidensa turvallisuuteen liittyviä ilmoituksia ja poikkeamia.

3) Robotiikka ja tekoäly. Asiakkaiden luovuttamat tiedot sähköisiin palveluihin sekä niiden sisältämät identiteettitiedot ovat arvokasta omaisuutta – nykypäivän rikollisten käsissä arvokkaampaa kuin luottokorttitiedot. Varastetuista luottokorttitiedoista pääsee eroon korttien vaihdolla ja pankit hyvittävät myös rahalliset menetykset. Uuden identiteetin haku viranomaisilta identiteettivarkauden kohdatessa on haastavampaa. Identiteettitietojen suojelemiseen perinteiset tietoturvan ja turvallisuuden mekanismit eivät enää riitä. Robotiikka ja koneoppiminen ovat jo nyt tietoturvallisuuden havainnointikyvyssä tärkeässä roolissa ja lähivuosina tietoturvapoikkeamia havainnoidaan tekoälyä hyväksikäyttäen.

4) Tietovuodoista tulee julkisia. Näemme jatkossa edelleen kiristyshaittaohjelmia, palvelunestohyökkäyksiä sekä tietomurtoja. Uuden tietosuoja-asetuksen voimaantulon myötä toukokuussa 2018 tietomurroista ja vuodoista tulee julkisia, koska lain mukaan yrityksien tulee ilmoittaa tietoturvapoikkeamista asiakkailleen. Julkisia siksi, että yritysten ilmoitukset tviitataan tai julkaistaan sosiaaliseen mediaan - tahtoi yritys sitä tai ei.

5) Vakuutuksesta turvaa tietoturvauhkiin. Turvallisuuden uhkavektorit ovat alati muutoksessa ja yrityksien turvallisuusstrategiassa pääpaino tulee asettaa tietoturvapoikkeamien ja häiriöiden liiketoimintavaikutuksien minimoimiseen. Ennakoivien turvallisuustoimenpiteiden ohessa yritykset voivat varautua poikkeamista aiheutuneisiin riskeihin vakuuttamalla yrityksen toiminta kybervakuutuksella. LähiTapiola tarjoaakin yrityksille kattavaa tietoturvakuutusta osana asiakkaidensa liiketoiminnan jatkuvuuden ja menestyksen turvaamista.

Leo Niemelä
tietoturvajohtaja, LähiTapiola-ryhmä