Tekoäly on jo muuttanut tietoturvakenttää merkittävästi ja sen vaikutus kasvaa edelleen. Hyökkäykset ovat aiempaa ovelampia, kohdennetumpia ja helpommin toteutettavia. Tässä blogikirjoituksessa tarkastelen, miltä tietoturva näyttää tänä päivänä ja millaisia haasteita nopeasti muuttuva toimintaympäristö organisaatioille tuo. Tulemme elokuussa pitämään aiheesta webinaarin, jossa kollegani Matias Haapaniemen kanssa pureudumme aiheeseen syvällisemmin. Ilmoittaudu tästä webinaariin.
Uhkakuvakenttä on muuttunut
Organisaatioihin kohdistuvat uhkat eivät ole enää pelkästään sattumanvaraisia haittaohjelmia tai geneerisiä kalasteluviestejä. Hyökkääjät hyödyntävät tekoälyä kohdeorganisaatioiden taustoittamiseen, viestien räätälöintiin, ääni- ja videohuijauksiin sekä haavoittuvuuksien tunnistamiseen.
Kaikesta hypestä huolimatta valtaosa hyökkäyksistä perustuu edelleen tuttuihin heikkouksiin: päivittämättömiin järjestelmiin, heikkoon tunnistautumiseen, valvomattomiin lokeihin sekä puutteisiin käytännöissä omassa organisaatiossa ja sen sidosryhmissä. Kun tietoturvan perusasiat ovat kunnossa, organisaatiolla on edelleen hyvät edellytykset suojautua tehokkaasti.
Parjatut EU-säädökset
Yritykset ovat toimialasta riippumatta yhä useammin myös teknologiayrityksiä. Liiketoiminnan peruspilarit nojaavat vahvasti tietotekniikkaan, jos IT pettää, vaarantuu usein myös liiketoiminnan jatkuvuus. Siitä huolimatta IT-ala itsessään on edelleen varsin kevyesti säännelty. Verrataanpa esimerkiksi lääkealaan, jossa yksittäiset pienetkin prosessit ovat tarkasti valvottuja.
Jos minulta kysytään, IT-alalla tulisi olla tietoturvan vähimmäisvaatimukset organisaation koosta ja kriittisyydestä riippumatta. Esimerkiksi NIS2:n kaltaiset vaatimukset loisivat perustason, jonka varaan jokainen organisaatio voisi rakentaa omaa suojaustaan ja varautumistaan eri tietoturvahäiriöihin.
EU-sääntelyä on kritisoitu siitä, että se heikentää jäsenvaltioiden yritysten kilpailukykyä. Itse näen asian päinvastoin: hyvin rakennettu sääntely vahvistaa liiketoiminnan jatkuvuutta ja lisää organisaatioiden resilienssiä erilaisissa häiriötilanteissa tuoden sitä kautta kilpailuetua.
Vähimmäistaso
Pk-organisaation tietoturvan vähimmäistaso ei välttämättä tarkoita raskasta hallintamallia tai laajoja investointeja, vaan muutamaa kriittistä käytäntöä, joiden on oltava aidosti kunnossa. Vähimmäistasoon kuuluvat ajantasaiset päivitykset, monivaiheinen tunnistautuminen, riittävä lokitus ja valvonta, hallitut käyttöoikeudet, toimivat varmuuskopiot, perusmuotoinen muutoksenhallinta sekä henkilöstön kyky tunnistaa yleisimmät huijaukset ja toimia eri poikkeamatilanteissa. Minimitavoitteena ei tarvitse olla täydellinen suoja, vaan sellainen perustaso, joka pienentää todennäköisimpiä riskejä merkittävästi ja varmistaa, että organisaatio pystyy jatkamaan toimintaansa myös häiriötilanteissa.
Päivitysten hallinta
Suurin osa hyödynnetyistä haavoittuvuuksista on ollut korjattavissa jo kuukausia ennen hyökkäysaaltoja. Pk-organisaatiolle riittää selkeä rytmi: työasemat ja palvelimet automaattiselle päivityssyklille, ulkoiset palvelut ja verkkolaitteet säännölliseen tarkistukseen sekä kriittisille haavoittuvuuksille oma erillinen käsittelyprosessi. Olennaista on, että päivityksille on sovittu toimiva prosessi ja selkeä vastuutaho vastaamaan siitä.
Lokitus ja valvonta
Lokit eivät auta, jos kukaan ei seuraa niitä. Pk-organisaation kannalta vähimmäistaso tarkoittaa sitä, että keskeisten järjestelmien, kuten Microsoft 365:n, Entra ID:n, verkkolaitteiden ja päätelaitesuojauksen, lokit kerätään yhteen paikkaan ja poikkeamista syntyy hälytyksiä, joihin reagoidaan asiaan kuuluvin menetelmin.
Microsoft 365 -ympäristön kovennus
Microsoft 365 on useimmille organisaatioille yksi tärkeimmistä järjestelmistä ja samalla yleinen hyökkäysten kohde. Oletusasetukset eivät riitä suojaamaan ympäristöä, eikä lisenssitaso automaattisesti nosta tietoturvaa. Vähimmäistasoon kuuluvat monivaiheinen tunnistautuminen kaikille käyttäjille ilman tarpeettomia poikkeuksia, ehdollisen pääsynhallinnan määritykset tunnistamattomien tai riskialttiiden kirjautumisten rajaamiseksi, legacy-tunnistautumisten estäminen jne.
Muutoksenhallinta
Pk-organisaatiossa muutoksenhallinta ei tarkoita raskasta ITIL-mallia, vaan sitä, että tiedetään mitä ympäristössä muuttuu, kuka muutoksen teki ja millä perusteella. Vähimmäisvaatimukseksi riittää, että merkittävät muutokset, kuten käyttöoikeudet, palomuurisäännöt ja integraatiot, kulkevat sovitun kanavan kautta ja jäävät dokumentoiduiksi.
Kumppanien ja toimittajien arviointi
Hyökkäykset kumppanien ja toimittajien kautta ovat yleistyneet. Kun pääsy yhteen ympäristöön onnistuu, hyökkääjä pyrkii usein etenemään sitä kautta muihin kohteisiin. Siksi organisaation tulisi ylläpitää ajantasaista listaa kumppaneista, joilla on pääsy omiin järjestelmiin tai dataan, ja varmistaa, että sopimuksissa on määritelty vähintään keskeiset tietoturvavaatimukset sekä velvollisuus ilmoittaa poikkeamista viipymättä.
Oman IT-ympäristön ja datan tunteminen
Et voi suojata sitä, mitä et tiedä omistavasi. Ajantasainen näkyvyys käytössä oleviin järjestelmiin, sovelluksiin, käyttäjätileihin sekä datan sijaintiin ja kriittisyyteen on tietoturvan perusedellytys. Erityistä huomiota kannattaa kiinnittää siihen, missä liiketoiminnan kannalta tärkeä tieto sijaitsee, kuka siihen pääsee käsiksi ja miten sitä suojataan ympäristöstä riippumatta.
Oman organisaation kouluttaminen
Tekniset kontrollit eivät yksin riitä, jos henkilöstö ei tunnista riskejä omassa arjessaan. Vähimmäistasoon kuuluu säännöllinen ja käytännönläheinen tietoturvakoulutus, jossa henkilöstö oppii tunnistamaan paremmin kalasteluviestit, muut huijausyritykset ja poikkeamatilanteet sekä tietää, miten niistä ilmoitetaan nopeasti eteenpäin.
Yhteenveto
Hyvä tietoturvan taso ei tarkoita kalliita investointeja tai raskaita prosesseja. Vahva peruspilari rakennetaan hallituista käyttöoikeuksista, ajantasaisista päivityksistä, toimivasta valvonnasta ja henkilöstön kyvystä tunnistaa riskit omassa arjessaan. Tekoälyn aikakaudella uhat muuttuvat aiempaa nopeammin, mutta tietoturvan perusta on edelleen sama: tunne ympäristösi, suojaa kriittisimmät kohteet ja huolehdi siitä, että perusasiat ovat aidosti kunnossa.
Above IT on tietohallintojen voimavara, auttaen sinunkin organisaatiosi IT-ammattilaisia pysymään Microsoft teknologioiden kehityksen ja ylläpidon aallonharjalla! Ota meidät seurantaan!