Miksi yrityksiä hakkeroidaan?

Päivittäinen tietoturvauutisointi pistää miettimään. Verkkorikollisuus on jatkuvasti pinnalla. Onko olemassa yritystä, joka ei kelpaisi kohteeksi?

Rikollisia kiinnostaa meidän rahat, resurssit ja osaaminen.

Rahaa yritetään saada monin eri tavoin. Rahaa rosvotaan väärennetyillä laskuilla ja maksutiedoilla, varastettuja (henkilö)tietoja myymällä ja kiristämällä.

Resursseista rikollisia kiinnostavat esimerkiksi erilaiset tietojärjestelmät. Verkkomedioissa on uutisoitu esimerkiksi siitä, että eri korkeakoulujen kirjastoihin on tehty kohdennettuja tietoturvahyökkäyksiä, joilla tavoitellaan pääsyä kirjastojen tietokantoihin.

Kyllä, kirjatkin viedään käsistä!

IT-resurssejamme (läppärit, puhelimet, palvelimet, IoT-laitteet jne.) yritetään puolestaan valjastaa osaksi laajempia verkkohyökkäyksiä. Osaamisen varastaminen on käytännössä vakoilua. Onneksi vanha vitsaus ”meillä ei ole mitään salattavaa” jäi viime vuosikymmenelle. Toteamusta ei ole hetkeen kuulunut.

Välillä tuntuu siltä, että verkkorikollisille kelpaa kaikki.

Kyberturvallisuuskeskuksen julkaisema Kybersää-raportti avaa hyvin suomalaisten organisaatioiden tietoturvahaasteita. Tässä muutama lumettoman talven värinen poiminta nykytrendeistä:

  • ”Office 365 -tilien kalastelu johtaa edelleen tietomurtoihin päivittäin.” (Kybersää 10/2019)
  • Tietomurroissa ”…Office-365-tapaukset ovat uusi normaali”. (Kybersää 1/2020)

On siellä Kybersäässä myös aurinkoisempia uutisia. Kannattaa tutustua!

Tietovirtojen kuvaaminen – miksi se kannattaa tehdä?

Tietovirtojen kuvaaminen on toimenpide, joka auttaa organisaatiota ymmärtämään ja hallitsemaan tietojaan paremmin. Toimenpide auttaa myös EU:n tietosuoja-asetusten vaatimusten täyttämisessä.

Tarkoitus on, että yritys selvittäisi itselleen, miten sen hallussa olevat henkilötiedot kulkevat paikasta toiseen.

Monesti on niin, että jokin asia vaikuttaa täysin selkeältä… kunnes sen pistää paperille. Saan itseni kiinni tästä ajatusharhasta jatkuvasti. Tietojärjestelmäympäristöissä mikään ei ole niin, kuin ensin luulee olevan. Avaan ajatuksiani oheisten kuvioiden kautta.

Kuviossa 1 asiakas tekee tilauksen yrityksen verkkokaupassa. Tilauksen yhteydessä kysytään henkilötietoja, jotta tiedetään, mihin paketti toimitetaan. Kaupankäynnin jälkeen yritys lähettää vielä markkinointiviestintää asiakkaalle sähköpostitse.

Henkilötietoja menee siis verkkokauppaan, paketin toimittajalle ja sähköpostiin. Kohtuullisen yksinkertainen kokonaisuus, joka on helposti selitetty!

Kuvion 1 tietovirtojen kuvaaminen toi kuitenkin mieleen kaikenlaisia yksityiskohtia. Ne ovat seuraavassa kuviossa.

Kuviossa 2 on todellisuus. Verkkokauppasovellus käsittelee vain tilauksen ja tietojen siirron toimittajalle. Sen jälkeen tiedot siirtyvät yrityksen asiakkuudenhallintajärjestelmään (CRM). Uutiskirjeiden lähetyksessä puolestaan hyödynnetään erillistä palvelua. Tekninen kokonaisuus varmuuskopioidaan erilliseen paikkaan. Mikä tahansa kokonaisuuden osa on voitu tilata EU:n ulkopuolella toimivalta palveluntoimittajalta pilvipalveluna, joka puolestaan tuo kokonaisuuteen lisää huomioitavaa.

Tietovirtojen kuvaaminen auttoi hahmottamaan, ettei kyseessä ollutkaan ihan yksinkertainen kokonaisuus.

Henkilötietoinventaario – kaiken hyvän ja pahan alku

Henkilötietoinventaario on henkilötietojen käsittelyn kartoitus, jossa yritys selvittää, missä kaikkialla henkilötietoja käsitellään. Inventaario on kaiken hyvän ja pahan alku. Tieto todellakin lisää tuskaa, mutta samalla mahdollistaa asioiden kehittämisen.

Käytännössä yritysten ja organisaatioiden kannattaa tehdä henkilötietoinventaario, jotta ne pystyvät täyttämään EU:n tietosuoja-asetuksen vaatimukset. Henkilötietoinventaarion toteuttamisesta on kuitenkin muutakin hyötyä.

Suurin hyöty on tulokset, jotka kertovat, missä kaikkialla organisaatio käsittelee tietojaan. Inventaarion avulla saa näkymän omaan organisaatioon sekä sen toimintaan:

Nyt tiedät, mitä et tiennyt.

Näkymästä voidaan tuottaa osia, jotka hyödyttävät muita. Esimerkiksi yhdellä yleisdokumentilla voidaan osoittaa:

  • millaista henkilötietojen käsittelytoimintaa yrityksellä on,
  • mitä tietoja yritys käsittelee, ja
  • mihin tiedot on tallennettu.

Inventaarion tuloksista ilmenee, jos organisaatiossa on päällekkäisiä tietojenkäsittelytoimia. Esimerkiksi kahta eri järjestelmää käytetään yhden ja saman asian toteuttamiseen. Miksi maksaa molemmista?

Inventaarion tulokset auttavat priorisoimaan asioita. Esimerkiksi asiakasdata on olennaista yritykselle. Jos havaitaan, että asiakasdata on ripoteltuna ympäri levyalueita, pilvipalveluita ja vanhoja järjestelmiä, kannattaisi asialle varmasti tehdä jotain. Priorisoidaan tekeminen asiakasdatan keskittämiseen ja vanhojen järjestelmien hallittuun alasajoon sen sijaan, että puuhasteltaisiin jotain muka-olennaista.

Henkilötietoinventaariosta luvatut hyödyt nostavat intoa ja tuovat hymyn naamalle. Let’s do this! Inventaarion työmäärää ei kuitenkaan kannata aliarvioida. Keskisuurissa ja suurissa organisaatioissa naama palautuu peruslukemille hyvinkin nopeasti. Pienet yritykset pääsevät todennäköisesti vähemmällä.

Tuska paatissa muodostuu siitä, että tietoa on paljon. Valtavasti. Eri järjestelmissä. Eri tallennuspaikoissa. Kotimaassa. Ulkomailla. EU:ssa ja sen ulkopuolella. Omalla vastuulla. Muiden vastuulla. Kohta huomaa taas pyörivänsä GDPR:n kauhun kehässä!

Inventaario avaa silmät. Nyt pitää enää uskaltaa katsoa. Käännä katse tuskasta tulokseen. Kun hyväksyy sen, että kaikki ei ole täydellistä ja tekemistä riittää, voi tuloksia hyödyntää moneen asiaan.

Nolosta nohevaksi ja muita vinkkejä tilaturvallisuuteen

Yle A-studion turvatestissä testattiin suomalaista tee-se-itse näkymättömyysviittaa: keltaiset liivit, kypärä ja tikkaat. Tällä yhdistelmällä varustettu toimittaja onnistui kävelemään sisään merkittäviin yrityksiin ja valtion laitoksiin. Testin perusteella organisaatioiden tilaturvallisuus ei ollut kunnossa.

Testin kohteeksi joutuneet päässeet organisaatiot perustelivat tapahtunutta seuraavasti:

  • Valvonta on hankalaa, koska rakennuksessa on muitakin toimijoita.
  • Aulapalvelun toimintaa on kehitettävä.
  • Tapahtui inhimillinen virhe.

Perustelut saattavat kuulostaa selittelyltä. Karu totuus on kuitenkin se, että monitoimijaympäristössä on hankala vahtia henkilöiden liikkeitä. Olit sitten vartiointiliikkeen kouluttama aulapalveluhenkilö tai rakennuksessa toimivan yrityksen työntekijä.

Ja onhan se nyt hemmetin noloa mennä utelemaan toisilta, että mitäs täällä teet?

Kaikkia alueita ei ole kuitenkaan tarvetta vahtia samalla tavalla. Voi olla ihan perusteltua, että yrityksen aulatiloissa saa liikkua vapaasti.

Henkilöstön pitää kuitenkin tietää ne tilat, joihin ulkopuolisilla ei ole asiaa. Jos näissä tiloissa liikkuu ulkopuolisia, on nolosta tultava noheva.

Miksi tilaturvallisuus on tärkeää?

Tilaturvallisuus on tärkeää, koska sillä on vaikutusta moneen eri asiaan. Ohessa esimerkkejä.

Verkkolaitteiden ja muiden IT-laitteiden tietoturvariskit. Tiloihin voidaan asentaa vakoilulaitteita tai verkkolaitteita, joilla päästään yrityksen sisäverkkoon. Tietokoneisiin voidaan asentaa ohjelmistopohjaisia tai fyysisiä näppäimistönkuuntelijoita. Kyllä, nämä on juuri niitä agenttileffojen vimpaimia, jotka saa ostettua netistä muutamalla kympillä.

Varkauksiin liittyvät riskit. Yrityksen laitteita tai paperimuodossa olevia tietoja voidaan varastaa. Toki myös työntekijöiden kukkarot, puhelimet ja muu omaisuus ovat vaarassa. Huom! Varas ei aina ole yrityksen ulkopuolinen henkilö.

Kohteen ydintoimintaan liittyvät riskit. Häiritsemällä esimerkiksi yhteiskunnalle merkittävien kohteiden (lentokentät, voimalaitokset, vesilaitokset) toimintaa, voidaan tehdä haittaa koko yhteiskunnalle.

Yrityksen vierailukäytännöt voivat myös kertoa jotain yrityksen tietoturvallisuudesta kokonaisuutena. Lue esim. 1) Vierailukäytännöt viestittävät yritysturvallisuudesta, ja 2) Kadonnut vierailijakortti on tietoturvauhka?

Kolme vinkkiä tilaturvallisuuden parantamiseksi

1) Mieti tilaturvallisuutta kokonaisuutena. Mihin vieraat saavat kulkea omatoimisesti, mistä eteenpäin vaaditaan saattaja, mihin ei ole vierailla laisinkaan asiaa. Tilaturvallisuus on osa yrityksen kokonaisturvallisuutta. Kaikki uhat eivät ole kyberuhkia.

Tilaturvallisuutta on hyvä tarkastella esimerkiksi silloin, kun palaa lomalta. Lue lomalta palaajan tietoturva-aiheinen muistilista.

Tutustu myös VAHTI 2/2013 Toimitilojen tietoturvaohje.

2) Muista puhtaan pöydän politiikka ja Win + L kun poistut tilasta. Ei ole myöskään huono ajatus laittaa läppäriä lukittuun kaappiin, kun poistuu päivän päätteeksi työpaikalta.

3) Millä asialla olet? Hyvä kysymys niille, joilla ei ole yrityksen henkilökorttia tai joita et tunnista. Tätä kysymystä studion asiantuntijatkin suosittelivat. Ihan sama, mitä henkilö vastaa. Kysymys ei ole koskaan turha!

Nolostelut sikseen!

Lähteitä:
Yle A-studio 25.7.2018.
Studion asiantuntijaraati: Mikko Hyppönen F-Securesta, Ville Salonen Securitaksesta, Jouni Mustonen Valtorista sekä turvallisuuskouluttaja Jari Stolt. Juontajana Jan Andersson. Toimittaja Pasi Peiponen.

VAHTI 2/2013 Toimitilojen tietoturvaohje

Missä se GDPR:n lupaama kilpailuetu on?

EU:n tietosuojauudistuksen karu todellisuus: iso kasa ihmisiä tekee paljon hommia näkymättömän asian eteen. Ketään ei kiinnosta, bisnekset kärsivät, euroja kuluu ja työntekijät turhautuu. Vain siksi, että laki vaatii. Jos et tottele, iso käsi vie taskusta loputkin rahat.

Näinkin on asia koettu. Muutos tuntuu ikävältä.

EU toteutti uuden tietosuoja-asetuksen (GDPR), jotta henkilötietojen käsittelyyn saataisiin yhtenäiset säännöt koko unionin alueelle. Samalla haluttiin nostaa kansalaisten luottamusta digitaalisia palveluita kohtaan. Yrityksille uudistusta mainostettiin mahdollisuutena saavuttaa kilpailuetua.

Missä se luvattu kilpailuetu on?

Palveluntarjoajat, jotka pystyvät kertomaan, miten heidän tuotteensa helpottaa GDPR-vaatimusten täyttämistä, saavat varmasti kilpailuetua. Asiakasyrityksen on helpompi ostaa tuote tai palvelu, jossa tietoturva- ja tietosuojavaatimukset on huomioitu. Miksi lähtisin hankkimaan jotain, mikä ei täytä omia ja asiakkaideni vaatimuksia?

Yrittäjä, kun harkitset jonkun palvelun käyttöönottoa, tee seuraava testi. Mene palveluntuottajan www-sivuille ja etsi sieltä mainintoja palvelun tietosuojasta ja tietoturvasta. Vastaavasti voit etsiä netistä esimerkiksi ”palvelun nimi + tietosuoja” tms. Vertaile hakutuloksia. Huomaat varmasti, että osa huomioi tietosuojanäkökulmat paremmin kuin toiset. Kumpaan luotat enemmän?

Kilpailuetu käytännössä

Ohessa on muutama esimerkki, jossa tietosuojan kilpailuetu näkyy käytännössä.

Lyyti-palvelua voi käyttää tapahtumien ilmoittautumistietojen keruuseen. Lyyti on lisännyt palveluunsa toimintoja, jotka auttavat organisaatiota täyttämään GDPR:n vaatimukset. Lisäksi palvelun nettisivulla kerrotaan kattavasti ja opettavaisesti, miten eri toimintoja voidaan hyödyntää paremman tietosuojan toteuttamisessa. Organisaation näkökulmasta palvelu vaikuttaa hyvältä. Kuluttajana haluaisin myös suosia palveluita, jotka ottavat nämä asiat tosissaan.

WordPress on yksi suosituimmista ohjelmistoista koko internetissä. WordPressin yhteisö rakentaa sovellukseen toimintoja, joilla GDPR-vaatimuksia voidaan täyttää [1, 2]. WordPressiä hyödyntävät yritykset saavat tästä suoraan kilpailuetua, kun heidän ei tarvitse itse käyttää niin paljon resursseja toimintojen toteuttamiseen. Aika, raha ja ihmiset voidaan hyödyntää muualla.

Verkkokauppojen asiakkaana pyrin ostamaan tuotteita aina sellaisesta verkkokaupasta, johon luotan. Jos joudun hankkimaan tuotteita kokonaan uudesta kaupasta, haluaisin aina tietää edes jotakin verkkokaupan tietoturvasta ja tietosuojasta.

Kyllä, olen se henkilö, joka lukee teidän tietosuojaselosteenne… jos sellainen löytyy.

Verkkokaupan tulee siis herättää luottamusta. Aiheesta lisää esimerkiksi TIEKE:n julkaisusta Verkkokaupan luotettavuus. Verkkokauppa saa kilpailuetua, kun hoitaa tietosuojansa hyvin, ja kertoo sen.

Suurin kilpailuetu?

Mielestäni on olemassa vielä yksi iso asia, joka muuttuu kilpailueduksi vasta myöhemmin. Jos organisaatio ottaa tietosuojavaatimukset tosissaan, on organisaation tutkittava omaa toimintaansa. Näin ollen:

Suurin hyöty on itsensä tunteminen. Siitä kumpuaa kaikki muut mahdollisuudet.

Palataan asiaan…