Top 3 kyberuhat ja tietovastuu
Nyt tulee pitkästi asiaa eritoten yrityksille ja organisaatioille.
Traficomin alaisen Kyberturvallisuuskeskuksen mukaan kolme jo aiemmin listattua uhkaa kulkee yhä ylitse muiden. Ns. top 3 -uhat esitellään osana Tietoturvan vuosi 2019 -katsausta:
1) heppoiset salasanat ja helppo pääsy sähköisiin palveluihin
2) suojaamattomat älylaitteet
3) huijausviestit, jotka vievät tietosi ja rahasi.
Nämä kolme tietoturvauhkaa ovat Tietoturvan vuosi 2019 -katsauksen perusasioita, joihin varautumalla voi pärjätä myös vuonna 2020.
Lisäänpä vielä top 4 uhan: metavirus, joka tarttuu ihmisten tietämättömyyteen ja leviää hällävämismin välityksellä.
Väärät huijausvaroitukset
Haittakoodeilla löytyy hyvin erilaisia erilaisia leviämistapoja, mutta tätä aika ajoin esiin putkahtavaa vaaraa ei oikeasti olemassa Messengerissä:
”Välitäthän tämän Messenger-kontakteillesi: älkää hyväksykö Fabrizio Brambillaa. Hänellä on profiilifoto itsestään ja koirastaan. Hän on hakkeri ja hän pääsee sinun Messenger-tiliisi käsiksi. Jos kontaktisi hyväksyvät hänet, pääsee hän sitä kautta myös hakkeroitumaan sinun tiliisi, joten yritä infota kaikkia kontakteja listallasi. Kiitos. Lähetä tämä viesti eteenpäin. Pidä sormeasi viestin päällä ja valitse ’välitä eteenpäin’. Klikkaa sitten erikseen jokaista nimeä listallasi (tai jokaisen kohdalla ’lähetä’ tms) ja viesti lähtee heille. Kiitos ja onnea matkaan!”
Ei tuota toisaalta tarvitse suuresti hävetä, jos tuo häly itsellä läpi menikin: edellä siteeraamani huijaushälyn levittäjälistassa näen myös konkarin nimen, joka teki työuransa tietotekniikan parissa.
Oikeasti, yksityishenkilöitä ja organisaatioita koskevat tietoturvauhat ja suojautumiskeinot ovat viime vuodet pysyneet lähes samoina kuin kuin väärät huijausvaroituksetkin. Edellä siteerattu kiertelee maailmaa vähän muunneltuna vuodesta toiseen.
Ratkaisut
Top 1. ratkaisu sanoo: Juurrutakaamme kyberturvallisuus riskienhallintaamme.
Tietojenkalastelun kohteeksi päätyvät kaikki. Huijauksista kärsivät päivittäin niin yritykset, julkishallinto, yhdistykset, rahastot, säätiöt kuin oppilaitoksetkin.
Huijaukset voivat olla selkeitä ja täysin uskottavia – taitavasti tehtyjä ja kohdennettuja. Huijausten avulla rikolliset yrittävät päästä organisaation tietojärjestelmiin tavoitteenaan esimerkiksi valelaskujen lähettäminen tai liikesalaisuuksien urkinta. Kyberrikolliset hyödyntävät julki tulleita uusia haavoittuvuuksia yhä kiihtyvällä vauhdilla. Koodit ovat jaossa netin alamaailmassa.
Organisaatioiden tulee varautua päivittämään tietojärjestelmiään ja sovelluksiaan yhä nopeammin. Tämä koskee etenkin huipputeknologian ja innovaatioiden parissa työskenteleviä organisaatioita, jotka ovat sekä kyberrikollisten että toimeksiantajien, teollisuusvakoilijoiden, erityisen tarkkailun kohteita.
Vastuu tietoturvasta
Yhä palveluja keskitetään ja ulkoistetaan ilman suunnittelua tai vastuuttamista.
Keskeisten palvelujen ulkoistaminen tai palvelujen tarjoaminen yhteistyökumppaneille lisää kyberhyökkäyksen riskiä. Rikolliset hyödyntävät kumppaneita tai alihankkijoita pyrkiessään sisään varsinaisen kohteensa tietojärjestelmiin muun muassa varastamalla kumppanille luovutettuja käyttöoikeuksia. Erilaiset häiriötilanteet voivat levitä laajalle ja yllättäviinkin paikkoihin, jos omien palveluiden keskitystä tai ulkoistusta ei ole suunniteltu kunnolla.
Kyberturvallisuuden riskit on vain otettava huomioon. Riskeihin pätevät samat mekanismit kuin perinteisempiin riskeihin: riskin todennäköisyyttä voidaan pienentää, esimerkiksi vahvaa tunnistautumista käyttämällä.
Tietoturvallisuus sanana assosioidaan usein teknisiin kontrolleihin, kuten palomuureihin, virustorjuntaan tai auditointiin. Karrikoidusti sanottuna usein tietoturva käsitetään asiana, jonka tilasta yrityksen johto ei ole tietoinen, vaan ”asiaa meillä hoitaa se ja se palvelinkonesalin palomuuriasiantuntija”. Suurin osa tietoturvallisuuteen liittyvistä ongelmista johtuu kuitenkin siitä, että yrityksen johto ei ole ottanut vastuuta tietovarojensa hallinnoinnista, jakamisesta ja luokittelusta. Siksi pitäisi puhua myös tietovastuusta siinä missä tietoturvallisuudestakin.
Peilaten esimerkiksi julkisuudessa olleisiin viimeaikaisiin tietovuotoihin, eri osapuolet (tietojärjestelmien tai palvelun omistaja, tietojärjestelmien kehittäjät, tietojärjestelmien ylläpidon palveluntarjoajat jne.) eivät ole erityisen hyvin kantaneet omaa tietovastuutaan. Toivottu kehityssuunta tässä olisi siis se, että tietovastuu tulisi yrityksen johdon agendalle.
Pieni, ketterä palvelu, jonka konesali on siinä silmän alla, on paras vaihtoehto.