Case Vastaamo


Joskus toivoisi ennustuksissaan olevansa väärässä, varsinkin uhkakuvien osalta jotka nousevat mieliin, kun uusia tietoturvahyökkäyksiä ja -loukkauksia uutisoidaan toteutetun.

Ei ole kuin muutama päivä kun kirjoitin sivuillamme

artikkelin, jossa käsittelin tietourvallisuuteen liittyviä asioita.

On raadollista huomata kuinka jonkun asian pettäessä kärsijänä tulee olemaan lähes aina se heikoin ja syyttömin osapuoli.
Vastaamon kaltaisissa tapauksissa kiristys kohdistuu tavan kansalaisiin, jotka ovat luottaneet. Tämä luottamus saa taas liian kovia iskuja kasvoilleen.
Mitä voimme tehdä, tyydymmekö kohtaloomme vai käärimmekö hihat?
Väitän että tehtävissä on hyvin paljon, niin yritysten kuin tavan kansalaisenkin toimesta – toki vuosien saatossa on paljon tehtykin, jatkuva kilpajuoksu ei tosin anna koskaan rauhaa.

Yritysten itsessään on viimeistään nyt syytä herätä tähän maailmaan ja ottaa lusikka kauniiseen käteen.
Keinoja meillä on, mutta onko halua toteuttaa asioita, osataanko ajatella sitä mikä lopulta maksaa? Muutaman tonnin investointi nyt, vaiko liiketoiminnan loppuminen puolen vuoden päästä? Näillä on hinnassa aikamoinen ero!
Saati jos tilanne eskaloituu jonkun henkilökohtaiseksi tragediaksi, kuten nyt Vastaamon tapauksessa näyttäisi käyvän – ei tule olemaan halpaa sekään.

Mitä on tehtävissä?

Nykyaikainen digitalisoitunut maailma antaa valtavasti mahdollisuuksia, ja vapauksia, mm. tehdä työtä paikkariippumattomasti.
Uskon että valtaosalle ihmisistä tämä on luontevaa ja varsin toivottava toimintamalli. Samalla kun olemme luoneet liikkumisenvapauden,
olemme antautuneet suurelle määrälle erilaisia uhkatekijöitä, joita maailma on pullollaan. Näitä uhkatekijöitä löytyy monesta suunnasta, niin sieltä verkon syövereistä kuin
tilaturvallisuuteen liittyvistä haasteista, ja erityisesti myös meidän jokaisen omista toimintamalleista. Kiteyttäisin asian pääteemoihin: laitteet, yhteydet, tilat ja ihmiset.
Näistä muodostuu lopulta hyväksytyt toimintamallit – joita noudattaen selviämme todennäköisemmin kuivin jaloin. Varautumista on mietittävä ennakkoon, online
ja ennenkaikkea myös tilanteisiin jossa jotain ikävää on päässyt tapahtumaan.

Liikkelle lähtöä helpottaa varmasti se että asettaa peruskysymyksiä listalle. Mitä, kuka, miksi ja missä -kysymykset auttavat jo hyvin alkuun pääsemisessä. Näistä vastauksista johdatellen, jokainen liiketoimintansa tunteva vastuullinen pääsee alkuun ja juonesta kiinni siitä mistä tässä oikeasti onkaan tieto-/kyberturvallisuuden osalta kyse? Mitä meidän on huomioitava toiminnoissamme, mitkä asiat rajoittavat tekemistämme ja mitkä antavat mahdollisuuksia.
Tällainen pohdinta auttaa ymmärtämään niitä olennaisia asioita joita meidän on huomioitava. Tämän jälkeen hyvällä suunnittelulla ja toteutuksella asiat alkavat loksahtelemaan paikalleen, asioista alkaa muotoutumaan automaatioita ja prosesseja, jotka itse itseään parantaen nostavat toiminnan varmuutta ja laatua.
Lopulta on saavutettu hyväksyttävä taso, jossa jäännösriski on mahdollisimman pieni. Jäännösriski on asia jota ei käytännössä saa poistettua kokonaan, tai käytännön toiminta menee varsin haasteelliseksi.

Käytännössä ”nollatason” jäännösriski on toiminnaltaan jotain muuta kuin mihin yritysmaailman tai peruskansalaisen toiminta on järkevästi toteutettavissa.

Erilaisia keinoja asioiden parantamiseksi on useita, seuraavassa hieman pohdintaa siitä mistä voisi lähteä liikkeelle.
Moni voi miettiä sitä millaisissa tiloissa toimimme, tai millaisissa tiloissa työntekijät toimivat kun eivät ole yrityksen tiloissa? Tiedon käsittelyn ja säilyttämisen osalta voisi esimerkiksi lähteä pohtimaan sitä miten kansallinen ohjeistus (tietoturvaluokittelu), ja niiden eri tasot, ohjaavat toimintaa, oli sitten kyse tiedon tallentamisesta, siihen pääsystä tai sen käsittelystä.

Kyseinen tiedonluokittelu on lähtökohtaisesti tehty viranomaistoimintaa varten
mutta näihin määrittelyihin nojautuminen ei ole haitaksi yrityksillekään. Valitettavasti tänä päivänä edelleen monissa yrityksissä tietoa ei osata luokitella. Sähköposteissa
kriittinen tieto kulkee yhtä vapaana kuin vitsipalstan sivuilta kerätty päivän kevennys – ei ehkä aina ihan VAHTI-ohjeistuksen mukaista? Kokonaiskuvan Näkemyksen laajentamiseksi voi tutustua vaikkapa KATAKRI- ja PITUKRI-ohjeistuksiin.
Nämä toki ovat asioina yleensä sivussa yrityksen päätoimialasta, jolloin näistä asioista huolehtiminen kannattaa jättää alan yritysten käsiin. Jyvällä toki kannattaa olla, jotta toimintaa osaa peilata suhteessa oman yrityksen toimintaan.

Tietoturvallisuuden parantamiseksi on siis paljon paikkoja jossa nostaa rimaa. Tietoturvan- tai kyberturvan ei tarvitse olla asoita vaikeuttava asia, vaan kyllä se on syytä nähdä asioiden mahdollistajana, niin kotona, yrityksissä ja työpaikoilla.

Jokaisen ei tarvitse olla ”tietoturvatohtori”. Siksi on meitä alalla toimivia yrittäjiä, jotka autamme teitä ja olemme tukenanne. Kiteyttäisin asian niin että sipulin sisällä on helppo hengittää – ja yhdessä löydämme keinot suojata toimintaamme.

Timo

Kyberturvallisuus – mistä tulee, minne menee?

Tämän hetken maailma on digitalisaation täyttämää, ja yhä vahvemmin siihen suuntautuvaa toimintaa. Itse digitalisaatio on mahdollistaja, jolla saavutamme arjen sujuvuutta, luomme tehokkaita toimintamalleja ja vakaana pyrkimyksenä tavoittelemme kustannustehokkuutta. Oli sitten kyseessä yksittäinen kansalainen tai yritys.

Suomessa, moneen muuhun maahan verrattuna on vahvoja etuja digitalisaation saralla. Yksistään maantieteellinen rakenteemme, pitkine etäisyyksineen ja harvaan asuttuna maana on toiminut tehokkaana ajurina kohti digitaalisia palveluita, jo yksinkertaisesti tämä on Suomen valtti globaalissa kilpailussa. Meillä on osaamista, ja ymmärrystä, ja osaamme mallikkaasti hyödyntää sitä. Kaiken tämän taustalla on vahva osaaminen, panostukset koulutukseen ja tutkimustyöhön ja ehkäpä suomalainen luonne pyrkiä korkean teknologian osaajiksi.

Kaiken toiminnan taustalla meillä on huomioitu ja mikä hienoa, huomioidaan entistä enemmän kyberturvallisuusasiat. Puhutaan sitten tietoturvasta, joka tunnistetaan enemmänkin ”perinteisenä” tietoliikenneverkkojen turvallisena käyttönä, tai sitten laaja-alaisempana pohdintana kokonaisvaltaisesta kyberturvallisuudesta ja kybersietoisuudesta. Nykyisin ei voi olla törmäämättä, päivittäin, erilaisiin uutisointeihein jotka liittyvät Cyber Securityn aihealueeseen. Usein näissä keskusteluissa ja uutisoinneissa puhutaan jo globaaleista toiminnoista, valtioiden välisistä aktiviteeteista, niin hyvässä kuin pahassa. Mutta ei sovi unohtaa että se koskee meitä jokaista kansalaista, sekä niin pientä kuin suurta yritystä.

Kyberin osalta ei oikeastaan ole enää olemassa elämän osa-aluetta, johon tällä ei olisi suoraa vaikutusta toimintaamme. Äkkiseltään arjen normaaleissa toiminnoissa en tunnista montaakaan, jos yhtään, toimintoa jossa ei olisi jossain kohtaa mietitty kyberturvallisuuden näkökulmaa. Esimerkiksi kaupassa käynti, siellä maksuliikenteen hoitaminen, erilaisten digitaalisten palveluiden käyttäminen verkossa, vaikka viranomaisten suuntaan, jo television katselukin tänä päivänä on jo suoraan tekemisissä kyberturvallisuuteen liittyvien asioiden kanssa. Liikkuessamme älylaite taskussa, olemme jatkuvassa yhteydessä ympäröivään maailmaan digitaalisesti, tämä vaatii myös kyberturvallisuuden huomioimista. Suurimmalla osalla älylaitteiden käyttäjistä laitteista löytyy sovelluksia asennettuna joilla voi hoitaa vaikkapa pankkipalveluita. Tälliöin varmasti toivomme että palvelun tarjoajan puolella olisi kyberturvallisuusasiat huomioitu ja toteutettu, ja itsekkin olisimme kartalla siitä mitä älylaitteeemme touhuaa. Ja tämä kaikki vain näin yksittäisen henkilön näkökulmasta ajateltuna. Siirryttäessä pohtimaan sitä mitä tämä yrityksiltä vaatii, onkin moninkerroin haastavampaa ja työllistävämpää. Jopa koko yrityksen toiminnan jatkuvuus voi riippua siitä kunka hyvin kyberturvallisuus on huomioitu.

Onneksi meillä Suomessa on innovatiivisia yrityksiä, jotka ottavat asian vakavasti ja toimivat kehityksen vetureina. Ja mikä hienoa, myös valtiovalta on jo hyvän aikaa ymmärtänyt tämän puolen merkityksen ja panostuksia tutkimukseen ja koulutukseen on toteutettu, joskin lisäpanostuksiakin varmasti myös tarvitaan. Vaikka yritysten tehtävä on aidosti kilpailla markkinoilla, meillä suomessa on myös hyvää yhteistyötä yritysten välillä, jonka avulla tätä Suomi Oy:tä viedään kyberturvallisuuden saralla eteenpäin. Kannattaa tutustua mm. Business Finlandin hankkeisiin, kuten:

https://www.businessfinland.fi/ajankohtaista/uutiset/tiedotteet/2020/laajassa-post-quantum-cryptography–hankkeessa-kehitetaan-kvanttiturvallista-salausteknologiaa/

jossa mm. erilaisia salausteknologioita kehitetään tulevaisuuden haasteita silmällä pitäen. Asiat eivät aina ole selkeitä, eivätkä ainakaan yksinkertaisia, mutta yhteistyössä on voimaa!

Ollaanpa kuulolla, ja jos yrityksenne kyberturva-asiat pohdituttavat niin ratkaisut kyllä löytyvät, olivat ne sitten laitteisiin liittyviä, tai toimintamalleihin liittyviä. Näitä on hyvä tasaisin väliajoin pollata läpi ja pohtia sitä ollaanko meillä ajantasalla vai olisiko syytä tehdä jotain?

Kyberturvallista syksyä toivotellen

timo