Turvallisuutta tarkastellaan usein liian kapeasta näkökulmasta. Tyypillisesti huomio kohdistuu teknisiin ratkaisuihin, kuten palomuureihin, tunnistautumiseen ja haavoittuvuuksien hallintaan. Pistemäisen lähestymistavan takia helposti jää huomaamatta, että hyökkääjän näkökulmasta fyysinen ja digitaalinen ympäristö muodostavat yhden yhtenäisen hyökkäyspinnan. Myöskään pelkkä järjestelmien arviointi ei riitä, vaan lisäksi tulee tarkastella arjen käytäntöjä ja prosesseja.
Toimialasta riippumatta yleensä kaikissa organisaatioissa on tarve suojata niin ihmisiä, toimitiloja, identiteettejä, erilaisia järjestelmiä kuin dataakin. Jos tätä turvakokonaisuutta tarkastellaan hajanaisina osina, syntyy väistämättä katvealueita, joita hyökkääjät osaavat hyödyntää. Mitä asialle voisi tehdä ja miten oman organisaation turvallisuustason voisi testata?
Nykyaikaiset hyökkäykset harvoin perustuvat yhteen yksittäiseen haavoittuvuuteen. Sen sijaan ne etenevät yleensä ketjuna, jossa yhdistetään pieniä puutteita useilta eri osa-alueilta. Hyökkääjä voi esimerkiksi hyödyntää puutteellista kulunvalvontaa ja päästä sitä kautta fyysisesti tiloihin sekä jatkaa siitä digitaaliseen ympäristöön.
Tämä kehityssuunta haastaa perinteisen ajattelun, jossa fyysinen turvallisuus ja kyberturva on nähty erillisinä kokonaisuuksina. Käytännössä ne kuitenkin linkittyvät vahvasti toisiinsa; jos toinen pettää, myös toinen on vaarassa. Vaikka kyberturvaan olisi yrityksessä panostettu, puutteellinen fyysinen turvallisuus voi siis olla hyökkääjälle keino murtautua myös digitaaliseen ympäristöön. Vastaavasti pelkkä fyysinen suojaus ei riitä, jos vaikkapa identiteetinhallinta on puutteellista.
Kun fyysinen ja digitaalinen turvallisuus yhdistetään ja niitä tarkastellaan yhtenä kokonaisuutena, voidaan sulkea ne ovet, jotka muuten jäisivät huomaamatta auki hyökkääjille.
Monessa organisaatiossa turvallisuutta testataan edelleen pääasiassa digitaalisin menetelmin. Kyberturvaan liittyvät penetraatiotestaukset ja haavoittuvuusskannaukset ovat tärkeitä, mutta ne antavat vain osittaisen kuvan todellisesta riskitasosta. Fyysistä turvallisuutta testataan harvemmin, vaikka sitä kautta saataisiin arvokasta tietoa muun muassa yrityksen turvallisuuskulttuurien ja -prosessien todellisesta tilasta. Penetraatiotestaus voi siis olla fyysinen tai digitaalinen.
Fyysinen turvallisuus keskittyy usein ihmisten ja tilojen suojaamisen estäen esimerkiksi pääsyn kriittisiin tiloihin ja laitteisiin. Se suojaa organisaatiota niin tiedonkeruulta ja teollisuusvakoilulta kuin erilaisilta häiriöiltä ja vandalismiltakin. Viime kädessä se vahvistaa myös digitaalisen turvallisuuden perustaa.
Fyysinen testaus, kuten tilaturvallisuuden arviointi ja kulunvalvonnan ohittamisen simulointi, tuo esiin täysin erilaisia heikkouksia kuin kyberturvan penetraatiotestaus. Kun näiden kahden osa-alueen testaus yhdistetään, saadaan realistinen kuva organisaation puolustuskyvystä.
Keskeinen havainto on, että testauksen tulisi perustua organisaation omaan toimintaympäristöön. Mitä paremmin tunnetaan omat prosessit, ihmiset ja kriittiset kohteet, sitä tehokkaammin voidaan tunnistaa riskit ennen kuin hyökkääjä tekee sen. Omat liiketoimintariskit tulee kartoittaa ja lisäksi kriittinen digitaalinen omaisuus on tärkeä tunnistaa. Huomioon on otettava myös globaali uhkaympäristö sekä erilaiset omaan toimialaan liittyvät regulaatiot (kuten NIS2 tai vaikkapa CER) ja niiden vaateiden täyttäminen.
Hyökkäyspinta ei ole staattinen. Se muuttuu jatkuvasti uusien järjestelmien, kumppanuuksien ja toimintatapojen myötä. Siksi turvallisuuden kehittäminen ei voi olla kertaluonteinen projekti, vaan jatkuva prosessi. Aina, kun tulee muutos ympäristössä, järjestelmissä, ihmisissä tai toimintamalleissa, kannattaa turvallisuustestaus tehdä. Mitä laajempi ja muuttuvampi organisaation turvallisuusympäristö on, sitä useammin testauksia tulisi tehdä.
Keskeisiä toimenpiteitä oven sulkemiselle hyökkääjiltä ovat kokonaiskuvan muodostaminen omasta ympäristöstä, havaittujen riskien priorisointi ja korjaaminen sekä jatkuva seuranta. Myös organisaation sisäinen yhteistyö korostuu. Turvallisuus ei ole vain IT:n tai turvallisuuspäällikön vastuulla, vaan se kuuluu kaikille. Henkilöstön kouluttamiseen ja turvallisuuskulttuurin kehittämiseen tulee panostaa, sillä tunnetusti sekä fyysisessä että digitalisessa turvallisuudessa ihminen on todella keskeisessä roolissa.
Tutustu aiheeseen lisää katsomalla webinaaritallenteemme.