Valitettavan usein tietoturvasta huolehtiminen nousee prioriteetiksi vasta, kun jotain negatiivista tapahtuu. Nykyään me olemme käytännössä koko ajan tietohyökkäysten kohteena kalasteluviestien ja porttiskannailujen kautta. Ongelmia tulee, kun hyökkäys onnistuu eikä sitä havaita ja pysäytetä ajoissa.
Kun mediassa puidaan tietomurtoja, saa helposti kuvan, että kaikki olisi ollut vältettävissä, kunhan vain yksi simppeli päivitys olisi ajettu. Tietoturvapäivitykset ovat toki tärkeitä, sillä haavoittuvuuksien määrän on arvioitu merkittävästi kasvavan. Kaikkein merkittävin päivitys tarvitaan kuitenkin ajatteluun. Tietoturva ei ole pistemäistä, vaikka monessa organisaatiossa käydäänkin nyt pohdintaa, että ”eihän meidän VPN-etäyhteyspalvelin ole haavoittuvainen, joten kaikki kunnossa”. Päivitysten ja järjestelmien hallinta on tietoturvan yksi osa (kerros), mutta tietoturvassa on muitakin kerroksia ja metsä pitää nähdä puilta.
Usein onnistuneet tietoturvahyökkäykset kertovatkin nimenomaan tietoturvan kerroksellisuuden puutteesta. Suojauksen ja havainnoinnin täytyy olla kerroksellista, että se kestää yhden kerroksen haavoittumisen.
Valitettavan usein esimerkiksi kyberturvakeskuksen eli CSOC-palveluiden kilpailutuksissa kustannustehokkuus on korkein prioriteetti. Lisäksi asiakkaan asettamat vaatimukset eivät välttämättä ole enää tätä päivää. Edelleen painotus on usein jo vähän vanhanaikaisesti SIEM-teknologioissa, joissa havainnointi on lokipohjaista ja lokitietohan on aina historiaa. Huomioitavaa on myös, että SIEM ei hälytä, ellei sille ole erikseen hoksattu tehdä tällaista sääntöä. Kun palvelimen lokista saadaan havainto, hyökkäys on silloin jo alkanut ja hyökkääjä yleensä saanut luotua jalansijan järjestelmiin. Ja jos CSOC-palvelukin on vain SIEM-hälytysten edelleen lähettämistä, niin hukkaan menee helposti se vähäinenkin panostus tietoturvaan. On siis tärkeää tietää, mitä ostaa ja saa.
Suojaus ei ole koskaan 100 %
Tietoturvaan satsaamisesta on vaikea tehdä ROI-laskelmia, koska siihen panostaminen maksaa itsensä takaisin siten, että uhkakuvat eivät toteudu. Toteutuessaan hyökkäys aiheuttaa paljon haittaa. Siitä tulee lisätyötä, kustannuksia sekä mainehaittoja ja suurimpana tietysti mahdollisia suoraan yksilöihin kohdistuvia vakavia haittoja tietovuotojen seurauksena.
Haavoittuvuuksia, joita hyökkääjät käyttävät hyväksi, löydetään jatkuvasti uusia. Osa on tunnettuja ja osa ei, eikä IT millään ehdi pysymään kaikissa päivityksissä mukana. Se on helpommin sanottu kuin tehty, että päivitä heti järjestelmät. Aina ei edes ole haavoittuvuudelle päivitystä, ja silti hyökkäys on mahdollista havaita ja pysäyttää ajoissa. Päivittäminen voi myös keskeyttää työnteon, jolloin siitä syntyy kustannuksia. Siksi monessa organisaatiossa noudatetaan ITIL:n mukaista muutoksenhallintaa, joka voi olla liian tiukkakin. Nyt on ymmärrettävä, että kriittisen tietoturvapäivityksen kohdalla töiden keskeytyminen ja kustannukset ovat kuitenkin hallittuja, toisin kuin kyberhyökkäyksen sattuessa. Oman haasteensa mukaan tuo myös se, että IT on voitu ulkoistaa. Isoilla IT-palvelutaloilla on omat prosessit ja toimintatavat eivätkä ne välttämättä reagoi joka narahdukseen.
Ajatusmallina pitääkin olla, että suojaus ei koskaan ole 100 %. Tärkeää on sopia sitä, mitä tehdään, jos suojaus pettää sekä miten tämä havaitaan ja miten siihen kyetään reagoimaan heti.
Tietoturvan tekemiseen tarvitaan yleensä osaava kumppani, joka lähtee rakentamaan tietoturvan suojausta ja havainnointia juurikin organisaation oman IT-toimintaympäristön ja sen tarpeiden pohjalta. Tietoturvapalvelun tarjoajalle kannattaa antaa mahdollisuus esittää, miten tietoturva pitäisi heidän mielestään tehdä. En suosittele lähtemään tarjouskierrokselle sillä kulmalla, että meillä on nyt tämä palomuuri ja virustorjunta, jonka voisi kaiketi rakentaa nykyistäkin kustannustehokkaammin. Nyt ja tulevaisuudessa johdon on tärkeä ymmärtää, että neljän prosentin osuus tietoturvalle koko IT-budjetista ei vain riitä. Eri asia sitten on, jos hyväksytään se riski, että tietoturvahyökkäykset organisaatiota kohtaan tulevat onnistumaan tulevaisuudessa yhä useammin.
CSOC on välttämättömyys
Tänä päivänä CSOC on tietoturvan kannalta ehdottoman tärkeä. Ammattitaitoiset CSOC-palveluntarjoajat pystyvät tekemään asiakkaalle heille sopivan suojauksen ja havainnoinnin sekä reagoinnin 24/7/365-palveluna. Näin luodaan tietoturvakumppanuus, jossa asiakkaan tietoturvaa kehitetään koko ajan nykyajan vaatimusten mukaisesti. Organisaatioiden täytyy muuttaa ajattelumallia palveluntarjoajista enemmän kumppanuuden suuntaan. Tietoturva vaatii erityisosaamista ja osaajia kannattaa kuunnella. Hyvä tietoturvakumppani kertoo, mitkä päivitykset kannattaa ajaa heti, ja sitä kannattaa kuunnella.
Myös palveluntarjoajien on ymmärrettävä kumppanuus käsitteenä ja kyettävä tekemään yhteistyötä toistensa kanssa. Saattaa hyvinkin olla, että työasemat, palvelimet, verkko, palomuurit, pilvi sekä CSOC on ulkoistettu kaikki eri palveluntarjoajille. Tuolloin on asiakkaan vastuulla tiedostaa, millaisiin sopimuksiin allekirjoituksen laittaa.
Me Loihteella rakennamme reagoivan CSOC-palvelun aina asiakaskohtaisesti kunkin asiakkaan riskiprofiili ja kriittiset pisteet huomioiden. Toki meilläkin on prosessit ja toimintamallit sekä suosikkiteknologiat, mutta kokonaisuus rakentuu aina asiakkaan etu ja tarve edellä. Näin päästään myös siihen paljon kaivattuun kustannustehokkuuteen – mutta tietoturvallisella ja kestävällä tavalla.
Blogin kirjoittaja
Tuomas Peltola
Palvelun omistaja
