Siirry suoraan sisältöön Siirry suoraan alatunnisteeseen

Tietoturvan kehittäminen hakkerien kanssa – viisi vinkkiä yrityspäättäjälle

6.11.2020

Suomalaisyrityksissä on viime viikkoina herätty uudella tavalla tietoturvakysymyksiin ja siihen, kuinka vaikeaa on rajallisin resurssien sinnitellä tietoturvan kiihtyvässä kilpajuoksussa mukana. Vastaamon tietoturvamurto on nostanut julkisuuteen myös sen, kuinka kymmenet hyvishakkerit ovat tarjonneet osaamistaan ja apuaan rikoksen ratkaisemiseksi. Samaa osaamista olisi tarjolla myös yrityksille, jos sitä uskallettaisiin ja osattaisiin käyttää.

Väitän, että yritysten ja muiden organisaatioiden tulisi yhä enemmän liittoutua valkohattuhakkereiden kanssa digitaalisten palveluiden turvallisuuden varmistamiseksi. Toimimalla ennakoivasti alati muuttuvassa digitaalisessa ympäristössä yritykset voivat löytää palveluissa ja laitteissa piileskelevät haavoittuvuudet ennen kuin kyberrikolliset niitä hyödyntävät.

Kokemukseni mukaan digimaailman partiolaisten yhteydenotto yritykseen johtaa edelleen valitettavan usein paniikkimoodin käynnistymiseen tai poliisilla uhkaamiseen. Useimmiten haavoittuvuudesta saatu ilmoitus on kuitenkin hyväntahtoinen. Valkohattuisten hakkerien tarkoituksena on tehdä maailmasta turvallisempi ja usein he tekevät sitä harrastuksena tai päivätöiden rinnalla.

Yhteiselo hakkereiden kanssa ei vaadi mittavia palkkio-ohjelmia, kuten Bug Bounty -ohjelman perustamista, vaan alkuun riittää yrityksen tahtotila ja julkinen ilmoitus hakkeroinnin mahdollistamisesta ja tietoturvapoikkeamien asianmukaisesta käsittelystä. Tämä voidaan tehdä teknisesti esimerkiksi laittamalla security.txt yrityksen nettisivuille ja kertoa sitä kautta hakkeroinnin olevan sallittua. LähiTapiolan ilmoituksen voit katsoa tästä linkistä: https://www.lahitapiola.fi/security.txt

LähiTapiolassa aloitimme hakkeriyhteistyön viisi vuotta sitten ja olemme kuluneina vuosina korjanneet yli 260 hakkerien ilmoittamaa ongelmaa.

Viisi vinkkiä yrityspäättäjille miten käynnistää yhteistyö hakkereiden kanssa

1. Tee sisäinen päätös uudenlaisesta tavasta kehittää tietoturvaa yhdessä hakkerien kanssa. Valmistelevat keskustelut muun muassa tietohallinnon, viestinnän ja liiketoimintajohdon kanssa lisäävät organisaation eri tasoilla ymmärrystä yrityksen kohtaamista riskeistä ja avoimuuden merkityksestä tietoturvallisuuden kehittämiseksi.

2. Anna julkinen lupa hyvishakkereille tutkia yrityksesi digitaalisia palveluita – he tekevät pyyteetöntä työtä ja omaavat korkean moraalitason. Hyvishakkereille annettu lupa ei oikeuta ketään rikolliseen toimintaan.

3. Laadi sisäinen prosessi, miten tietoturvapoikkeamat ilmoitetaan, miten ne käsitellään ja osallista tarvittavat yhteistyötahot viestinnästä riskienhallintaan. Jos saat hyväntahtoisen hakkerin yhteydenoton, varmista että vastaatte hänelle mahdollisimman pian. Vastaamalla yhteydenottoon osoitat arvostavasi ilmoitusta ja ryhdyt toimiin.

4. Ota vastuu ryhtymisestä korjaaviin toimiin. Valjasta osaavat henkilöt, jotka voivat korjata ongelman. Jos hakkerin ilmoitus aiheuttaa vakavan riskin liiketoiminnalle käynnistä korjaavat toimenpiteet mahdollisimman nopeasti. Muista sisäinen tiedotus. Kyberturvallisuuskeskus antaa tarvittaessa apua.

5. Jos tietoturvailmoituksen tekijä on ollut hyvishakkeri kiitä häntä avusta ja kertokaa hänelle, kun olette korjanneet haavoittuvuuden. Voitte samalla pyytää ilmoittajaa tarkistamaan, ovatko korjaavat toimenpiteet onnistuneet.

Leo Niemelä
Tietoturvajohtaja
LähiTapiola