Testattua totuutta ja turvattomuuden tunnetta. Tällaiselta ajatukselta ei voi välttyä kun tuli lukaistua Ylen teettämän, kiinteistöautomaatioon kohdistuvan hakkerointitestin tulokset https://yle.fi/uutiset/3-10669307 . Olen joskus aiemmin julkaissut alla olevan tekstin LinkedIn:ssä, ja alla teksti uusintana jotta totuus ei unohdu, onhan kertaus aina opintojen äiti.
Tänä päivänä keskustelu tietoturvan ympärillä korostuu toistuvasti ja nousee päivittäin esille. Nykyiset trendit ohjaavat meitä yhä dynaamisempiin ympäristöihin, joissa dataa käsitellään, kerätään ja tallennetaan analysoitavaksi. Saatujen tietojen pohjalta tehdään yhä merkittävämpiä liiketoimintoja tukevia ratkaisuita. Tätähän se digitalisaation yksinkertaisesti kuvattuna on ja sen se mahdollistaa.
Samalla uhkakuvat ja riskit siitä, että tietoon päästään kiinni sieltä mistä siihen ei haluta päästävän, oli sitten kyseessä reaaliaikaiset ohjaus- tai valvontatiedot tai analysoitavaksi kerätty ja tallennettu data, kasvavat päivä päivältä.
Ensimmäinen vaihtoehto, eli välittömästi realisoituva riski, luo ympäristöihin välitöntä epävakautta, vahinkojen syntyminen on tällöin reaaliaikaista. Kukaan meistä ei halua lukea uutisia joissa jokin, vaikkapa automaatiota hurjasti hyödyntävä ydinlaitos ajautuisi epävakaaseen tilaan, aiheuttaen merkittäviä palveluhäiriöitä tai turvallisuuteen liittyvien uhkariskien realisoitumisia. Minä haluan, ja varmaan moni muukin, että vaikkapa sähkölaitos pystyy täyttämään lupauksensa ja töpselistä tulee virtaa 24/7. Haluan katsoa tv:tä juuri silloin kun se minulle sopii tai lämmittää saunani kun varpaitani paleltaa. Näitä laatutekijöitä ei saa kukaan pilata huonolla tietoturvalla.
Pidemmässä juoksussa, jos murtautumisia ja datan korruptoitumisia ei havaita ja osata tulkita dataa hyödyntävän organisaation toimesta, aiheuttaa tämä monenlaisia ongelmia tuotteelle tai palvelulle. Pahimmillaan, tai parhaimmillaan, kyseisenlaiset murtautumiset ja ”ilmaisen” tiedon saamiset, esimerkiksi kilpailevan yrityksen käyttöön, aiheuttavat murtautumiskohteena olleelle taholle merkittävät haitat ja saavutettujen kilpailuetujen menetykset. Myös mahdollisuus jossa korruptoimalla kerättyä dataa, aiheutetaan merkittäviä haittoja toimintaansa kehittävälle yritykselle pitkällä aikavälillä, on olennainen palveluita ja tuotteita heikentävä asia!
Saadun tiedon pohjalta tehdään yhä merkittävämpiä liiketoimintaa tukevia ratkaisuita
Onko organisaatiollasi riittävä edellytykset varmistua siitä, että tietoturva on riittävällä tasolla? Toki on hieman haasteellista määritellä riittävä taso, koska aina toimintaan jää jonkinlaisia uhkatekijöitä, vaikka ihan vaan inhimillisiä erehdyksiä. Lähtökohtaisesti kuitenkin jokaisessa organisaatiossa tulisi kyetä arvioimaan se mitä tietoa kenelläkin on oikeus nähdä ja käsitellä, mistä tietoihin pääsee käsiksi ja kuinka toiminta havainnollistetaan erilaisina jälkinä logeissa tai reaaliaikaisena seurantana.
Tietoturva-asioiden ympärille on rakentunut erilaisia viitekehyksiä, joissa pyritään ratkaisemaan eteen tulevia haasteita ja antamaan toiminnalle hyviä suuntaviivoja. Se onko viitekehyksen malli kovin paradigmaattista vai enemmän kriittiseen teoriaan pohjautuvaa vai jotain näiden väliltä ei kannata pitää mielestäni tietoturva-asioissa toisiaan poissulkevina tekijöinä. Todennäköisesti tietoturvatoiminnoissa näiden ajatusmallien yhdistämisillä päästään sopivimpiin toimintamalleihin, juuri tämän yrityksen kannalta hyvään lopputulokseen, jossa toiminta säilyy sujuvana mutta samalla olemme pystyneet varmistamaan riittävän, eli hyväksytyn, tietoturvatason.
Meidän jokapäiväistä toimintaamme ohjaa ja meille palveluita tuottavat erilaiset palvelut, jotka sisältävät logiikoita, sensoreita, ohjelmistoja ja tietoliikenteen laitteita, jolloin näistä kokonaisuuksista muodostuu aina jonkin sortin seuranta- tai ohjausjärjestelmä arkeamme helpottamaan. Ohjaus ja tilatietoa eli I/0 -tietoa liikkuu mahdoton määrä ympärillämme ja se tietomäärä lisääntyy kovalla vauhdilla, ja jatkuvasti. Tällöin on hyvä muistaa tietoturva ja sen merkitys jokaisella kerroksella.
I/0 -tietoa liikkuu mahdoton määrä ympärillämme ja se tietomäärä lisääntyy kovalla vauhdilla, ja jatkuvasti
Teollisissa ympäristöissä, joissa on perinteisiä automaatiojärjestelmiä, tietoturvan merkitys on korostunut huomattavasti viime vuosina ja tämä kehitys ottaa roolia yhä enemmän. Olen päässyt hyvin usein keskustelemaan toteutuksien yhteydessä tietoturvasta, sen merkityksestä ja korostuvasta vaikutuksesta. Vielä tänä päivänä keskustelun pääpaino yleensä kuitenkin on siinä, miten data kerätään, miten ja millaisia raja-arvoja toiminnoille asetetaan, millaisia laitevalintoja olisi hyvä hyödyntää jne. Tätä se toiminta tietenkin pohjimmiltaan on ja näillä tiedoilla itse palvelu tai tuote toteutetaan. Merkitys sille kuka, miten, mistä, miksi ja milloin toimintaa ohjaa vaatii kriittisen tietoturva-ajattelun huomioimisen. Enää ei riitä se että verkkoon kiinnitetään erilaisia sensoreita tai ohjaus- ja valvontaelementtejä, jotka avoimina huhuilevat pitkin internetin ihmeellistä maailmaa, ilman tietoturvaa. Nykyisin ymmärrys kokonaisuuden tietoturvallisesta hallinnasta korostuu enenevissä määrin eri toiminnoissa. Välillä on hyvä myös miettiä skenaarioita mitä tapahtuu, jos jotain kuitenkin tapahtuu, kuinka toiminta palautetaan ja miten tämä jatkossa estetään. Joskus kun rapatessa tahtoo kuitenkin välillä roiskua.
Tietoturvaa voidaan toteuttaa monella tasolla, aina fyysisestä loogisen tason tietoturvaan ja hyvinkin käyttäjätasoisten menetelmien hyödyntämiseen. Se miten teidän kannattaa tietoturvaa huomioida ja hyödyntää, voi joskus olla haasteellista ratkaistavaksi. Näissä tilanteissa me voimme tukea teitä ja lähteä yhdessä kanssanne pohtimaan sitä, kuinka tietoturvaa yrityksissänne olisi hyvä kehittää ja hyödyntää. Uskomme että meillä olisi ratkaisukyvykkyyttä hyvinkin eriskummallisiin tilanteisiin, perinteisiä ratkaisuita unohtamatta. Ollaan yhteyksissä, tietoturvallisesti tietenkin. Are you ready for rumble?
t:timo
Timo Paananen CEO, Partner