Kyberturvan osalta eletään nyt monessakin mielessä erikoisia aikoja. Poliittinen myllerrys maailmalla on lisääntynyt ja sen myötä ulkoiset uhat. Samalla monet ovat jo tulleet immuuniksi välillä pelottelunkin puolelle kallistuvalle kyberpuheelle. Isossa mittakaavassa silti monissa suomalaisissa organisaatioissa edelleen vähätellään kyberuhkia.
Olen työskennellyt IT parissa noin 25 vuotta, joista ensimmäiset 17 vuotta asiakkaana eli tuotteiden ja palveluiden ostajana ja nyt viimeiset kahdeksan vuotta kyberturvapalveluiden kehittäjänä ja myynnin apulaisena pre-sales-asiantuntijana. Kokemukseni mukaan kyberturvatuotteiden ja palveluiden myyntiin on perinteisesti kuulunut asiakkaiden pelottelu kyberuhkien vaaroista ja kustannuksista. Itsekin olen sitä tehnyt, mutta sitten huomasin, että kun sitä tekee kaikki, niin asiakkaat altistuvat kyberturvauhkapeloittelulle niin paljon, että he tulevat sille immuuneiksi. Keskustelussa “IBM data breach report..”, “Ramsomwaren aiheuttamat kustannukset…” tai “mainehaitta…” aiheuttivat pikemminkin vastareaktion kuin innostumisen asiasta.
Auttaako, jos pelottelun sijaan keskitytään suoraan ongelmien ratkaisemiseen? Ei läheskään aina. Valitettavasti aika iso osa suomalaisista organisaatioista vähättelee kyberuhkia, vaikka kyberturvasta puhutaan ehkä enemmän kuin koskaan aiemmin. Isoja tietomurtoja uutisoidaan ja siitäkin huolimatta monet organisaatiot silti leikkaavat kyberturvan kehittämisen budjetista.
Yksittäinen ratkaisu ei toimi
Kun organisaatioissa puhutaan kyberuhkiin varautumisen ratkaisuista, niin 5000 €/kk on useimmalle organisaatiolle aivan liikaa. Ratkaisuksi pyritäänkin sitten löytämään jokin yksittäinen konsti, joka on useimmiten työasemille AI-moottorilla tehostettu päätelaitesuojaus (EDR). Tämän saa helposti yli puolet halvemmalla ja ongelma koetaan ratkaistuksi ja vieläpä edullisesti. Onko kyberriski nyt hallinnassa? Miten monta tietomurtoa onkaan tehty organisaatioihin, joissa on EDR käytössä? Aika moneen.
Kyberturvaa ei voi ratkaista yksittäisellä asialla, sillä se on aina laaja kokonaisuus. Kuinka moni organisaatio voi sanoa olevansa turvassa ja havaitsevansa kyberturvakeskuksenkin varoittamista laajoista M365-tilien murroista? Ja miten näitä murtoja voi tapahtua, kun kerran lähes kaikilla on jonkin tason EDR-tuote käytössä? Siksi, että yksittäinen paikka ei riitä, jos vaatteessa on monta reikää.
Lisäksi tietomurrot harvoin koskettavat vain yksittäistä organisaatiota, vaan ne versoavat usein kumppaneiden ja asiakkaiden riesaksi altistaen myös heidät tietomurroille ja kyberhyökkäyksille. Organisaatioilla on kumppaneistaan ja asiakkaistaan runsaasti erilaista tietoa, jota hyökkääjät voivat käyttää hyväksi. Tämän takia uusi kyberturvallisuuslaki on luotu. Et ole vastuussa vain itsestäsi vaan myös muista.
Kyberturvaa pitää ajatella riskienhallinnan näkökulmasta. Jos esimerkiksi ransomware-hyökkäys pääsee aktivoitumaan, viikkokin voi olla optimistinen aika-arvio ympäristön palautumiselle. Vaikka varmistukset olisivat kunnossa, kaikki eri verkkojen järjestelmät, identiteetit ja työasemat pitää olla puhtaita ennen kuin palautus voidaan tehdä. Muutoin hyökkäys saattaa aktivoitua uudelleen. Aika nopeasti voi päätellä, että esim. useamman kymmenen tai satoja henkilöitä työllistävässä organisaatiossa viikon työnseisaus jo yksistään tulee hyvin kalliiksi.
Kyberturvallisuuslaki velvoittaa
Pelottelulle on ehkä paikkansakin, että aidosti tiedotetaan ja ymmärretään riskit. Johtajien tulee tietää, mistä he ovat päättämässä ja mihin tehdyt päätökset vaikuttavat ja miten. Enää vastuuta ei voi siirtää IT:lle ja sitten leikata kyberturvahankinnat pois budjetista säästösyistä.
Kyberturvallisuuslaki velvoittaa yrityksen johdon ymmärtämään kyberturvallisuutta. Johdon ei toki tarvitse syvällisesti perehtyä kyberturvan teknologiaan tai kyberriskien hallintaan, mutta on tärkeä tiedostaa oma vastuu näiden hoitamisesta ja palkata tai ostaa palveluna ammattilaisia tekemään se työ. Tämän jälkeen on tärkeää, että luotetaan näihin ammattilaisiin, vaikka he pyytävät rahaa budjettiin, johon on hyvin vaikea laskea ROI:ta. ROI syntyy kun ammattilaiset pystyvät tekemään työnsä ja mahdollistavat yrityksen liiketoiminnan jatkuvuuden osaltaan.
Pykälä 10 kyberturvallisuuslaista sanoo:
“Toimijan johto vastaa kyberturvallisuutta koskevan riskienhallinnan toteuttamisen ja valvonnan järjestämisestä sekä hyväksyy kyberturvallisuutta koskevan riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Toimijan johdolla tulee olla riittävä perehtyneisyys kyberturvallisuutta koskevaan riskienhallintaan.
Johdolla tarkoitetaan toimijan hallitusta, hallintoneuvostoa ja toimitusjohtajaa sekä muussa niihin rinnastettavassa asemassa olevaa, joka tosiasiallisesti johtaa sen toimintaa.”
Onneksi olen myös kohdannut organisaatioita ja yrityksiä, jotka tiedostavat kyberturvallisuuden osaksi riskienhallintaa ja satsaavat sen kehittämiseen. Nämä tahot yleensä näkevät kyberturvallisuuden mahdollisuutena ja kilpailuetunakin. Hyvin hoidettu kyberturva heijastuu koko organisaation toimintaan, ihan yksittäisiin työntekijöihin saakka. Kyberturvakoulutukset auttavat työntekijöitä tunnistamaan kalasteluviestejä ja raportoimaan niitä, töitä pystyy luotettavasti ja turvallisesti tekemään etänä, IT-väki pystyy keskittymään palveluiden ja järjestelmien tuottamiseen ja kehittämiseen tulipalojen sammuttelun sijaan. Kyberhyökkäykset eivät saa jalansijaa, koska ne saadaan pysäytettyä alkuunsa eivätkä pääse kasvamaan oikeiksi uhkiksi. Kätevää, eikö totta?
Blogin kirjoittaja
