Pitkäjänteiseen tietoturvatyöhön kuuluu olennaisena osana arviointi ja testaaminen. Koulutus-, valmennus- ja kuntoutuspalveluita tuottava Hyria halusi testata tietoturvansa tilan yhdessä Loihteen kanssa. Autonominen penetraatiotestaus vahvisti tietoturvan olevan hyvällä tasolla sekä tarjosi vinkkejä jatkokehittämiseen.
Kanta- ja Päijät-Hämeen sekä Uudenmaan alueella toimiva Hyria on panostanut tietoturvan kehittämiseen jo pitkään. Turvallisuusjohtaja ja toimitilapäällikkö Matti Kymäläinen sekä ICT-suunnittelija Salla Vepsä kertovat, että keväällä 2025 heräsi kiinnostus testata tietoturvan tilaa laajemmin kolmannen osapuolen kautta. Yhteistyökumppaniksi valikoitui Loihde.
”Tietoturvallisuus on tänä päivänä monellakin tapaa keskeinen asia, johon tulee kiinnittää huomiota. Oppilaitoksena meillä on myös kovia velvoitteita tietojen säilyttämisen ja arkistoinnin suhteen. Meillä on iso tietomassa ja se on suojattava hyvin”, Kymäläinen kertoo.
Loihteen autonominen penetraatiotestaus etsii nimensä mukaisesti autonomisesti verkon haavoittuvuuksia ja virheellisiä asetuksia sekä antaa korjausehdotuksia. Kokonaisuudessa yhdistyy niin tekoälyn tekemä raakatyö kuin tietoturva-asiantuntijan läpikäynti.
”Haimme vahvistusta sille, olemmeko tehneet oikeita asioita ja onko jotain jäänyt huomaamatta. Tulokset olivat positiivisia ja saimme myös testauksen kautta selkeitä jatkokehitysideoita, jotka ovatkin jo hyvällä mallilla”, Vepsä sanoo.
Testaus itsessään sujui mutkattomasti. Projektin alussa tehtiin päätös siitä, mihin testauksessa halutaan keskittyä ensisijaisesti ja tehtiin sen mukaisesti rajauksia. Testaus eteni nopeasti käytäntöön alkukeskusteluiden jälkeen.
”Tämä ei vaatinut meiltä suuria juttuja. Kävimme oleelliset asiat läpi aloituspalaverissa ja teimme tarvittavat valmistelut sekä sovimme testauspäivästä. Sitten vain odoteltiin tuloksia. Testaus ei haitannut järjestelmien käyttöä tai päivittäistä tekemistä meillä.”
”Kaikki hoitui sovitusti tarjouksesta toteutukseen. Mitä sanottiin, niin se tehtiin ja toimitettiin. Ei ollut haasteita missään vaiheessa”, Kymäläinen täydentää.
Kymäläisen mukaan Loihteen kanssa yhteistyössä hyvältä tuntui aito asiakkaan kuuleminen.
”Ei oltu vain myymässä vaan tarjoamassa ratkaisu siihen, mikä tukee asiakkaan tavoitteita.”
Hyrialla arvostettiin myös selkeää ja yleiskielistä kommunikointia. Turvallisuusjohtajana Kymäläinen haluaa olla selvillä kaikesta turvallisuuteen liittyvästä Hyrialla.
”Kokonaisuus käytiin hyvin läpi ja mitä mikäkin tarkoittaa. On tosi tärkeää, että maltetaan käydä asiat rauhassa läpi eikä niin, että termit vain vilisevät. Turvallisuus on todella laaja kokonaisuus ja mitä syvemmälle esimerkiksi kyberturvallisuuteen mennään, sitä teknisemmäksi keskustelu totta kai muuttuu. Koska oma työnkuvani liittyy kokonaisturvallisuuteen, tiedän kaikesta jotain mutten tietenkään kaikkea – eikä tarvitsekaan.”
Testauksesta tietoturvan kehitys sai uutta pontta. Pääsääntöisesti Hyrian tietoturvatyö tehdään omin voimin lukuun ottamatta ulkopuolista CSOC-palvelua sekä nyt Loihteella teetettyä autonomista penetraatiotestausta.
”Olemme tyytyväisiä testaukseen ja se oli meille hyödyllinen. Nyt emme ole vain mutun varassa, vaan tiedämme tarkemmin oman tilanteemme ja käsitys omasta tietoturvan tasosta vahvistui. Tietoturvasta kysytään jatkuvasti entistä enemmän myös monien yhteistyökumppaneiden taholta, joten siksikin testaus oli tärkeä tehdä”, Vepsä sanoo.
Koska kriittisiä haavoittuvuuksia ei ilmennyt, seuraava testaus voidaan hyvin jättää tuonnemmaksi. Koska prosessi on jo kerran käyty läpi, mahdollinen seuraava testaus sujuu entistäkin jouhevammin.
Projektissa mukana ollut Loihteen kyberturvan ratkaisumyynnissä työskentelevä Miku Vogt kuvailee Loihteen autonomisen penetraatiotestauksen palvelua hyvin skaalautuvaksi.
”Jatkuvana palveluna autonominen penetraatiotestaus soveltuu etenkin isoihin ympäristöihin sekä sellaisiin, jotka ovat jatkuvasti muutoksessa.”
Palvelu kartoittaa ympäristön tietoturvan tilanteen ja tarkistaa, onko järjestelmissä sellaisia haavoittuvuuksia, joita hyökkääjä pääsisi hyödyntämään ja pääsisi näin käsiksi organisaation tietoihin tai vaikkapa lamauttamaan toimintaa.
”Palvelu tarjoaa priorisoitua tietoa tarjottavista korjaustoimenpiteistä ja auttaa tietämään, missä mennään tietoturvan osalta. Asiakas saa näin etumatkaa mahdollisiin hyökkääjiin nähden.”
Vogt tarkentaa vielä, että autonominen testaus ei kuitenkaan tarkoita automaattista. Autonominen alusta hyödyntää tekoälyä testauksessa, jolloin siirrytään automaattisten toiminteiden toistamisesta responsiiviseen lähestymistapaan.
”Meillä tietoturva-asiantuntija auttaa testauksen rajaamisessa ja sen määrittelemisessä, mitä halutaan tutkia ja testata. Asiantuntija on mukana myös tulosten raportoinnissa. Autonominen testaus on nopea ja kattava. Jos se tehtäisiin ns. käsin, siinä menisi kymmeniä työpäiviä.”