Tietomurron torjunta – Mitä jokaisen yrityksen olisi hyvä tietää?
Tietomurto voi koskea pientäkin yritystä, ja sen seuraukset voivat olla liiketoiminnan kannalta peruuttamattomia.
Keskustelu yritysten kyvystä huolehtia omien järjestelmiensä, palveluidensa ja tietoverkkojensa turvallisuudesta käy tällä hetkellä kiivaana erityisesti mediassa. Isojen tunnettujen toimijoiden tietomurtotapaukset ovat ihan syystäkin herättäneet keskustelua ja ravistelleet yrityksiä tarkastelemaan niiden omia toimintatapoja.
Harmillisen usein tietomurrot mielletään yhä vain laajoja henkilörekistereitä omaavien, valtakunnallisten tai kansainvälisten toimijoiden ongelmaksi. Tosiasiassa murron kohteeksi voi joutua minkä kokoinen yritys, miltä toimialalta tahansa. Sillä ei ole väliä, onko yrityksellä hallussaan salaiseksi luokiteltuja tietoja vai ei, vaan että onko sen järjestelmissä haavoittuvuuksia, joista hakkerit voivat hyötyä. Myös pienelle yritykselle tietojärjestelmien kaatuminen päiviksi voi olla liiketoiminnan kannalta tuhoisaa.
Mitä jokainen yritys voi tehdä varmistaakseen oman organisaationsa riittävän tietoturvallisuuden?
Tietomurron torjuntaa on tärkeä ajatella kokonaisuutena. Se ei koostu pelkästään päätelaitteiden, ohjelmistojen ja palveluiden suojaamisesta ja murron estämisestä, vaan myös tietovuotojen havaitsemisesta ja haavoittuvuuksiin reagoimisesta.
Tietomurron torjunnan voidaan katsoa koostuvan kolmesta toisiaan täydentävästä osa-alueista:
1. Estäminen
2. Havaitseminen
3. Reagointi
1. Tietomurron estäminen
Tietomurron torjunnassa murron estäminen on ensimmäinen askel. Tässä vaiheessa jokaisen yrityksen koosta riippumatta on tärkeä kiinnittää huomiota erityisesti näihin asioihin:
Yhteyksien turvaaminen
Harmillisen usein varsinkin vähän pienemmissä yrityksissä ajatellaan, että yrityksen työntekijöiden koneelle hankitut, kuluttajille suunnatut viruksentorjuntaohjelmat sekä markettien hyllyiltä saatavat palomuurilaitteistot ovat riittäviä estämään yritykseen kohdistuvat kyberiskut. Yksinyrittäjille tällainen ratkaisu on toki usein aivan riittävä, mutta jos yrityksellä on yhteyksiä eri toimipisteiden välillä tai työntekijät liikennöivät kotikonttorilta yrityksen verkkoon, eivät yksinkertaiset palomuuriratkaisut usein riitä. Niin ikään riittämättömiä ovat kuluttajille suunnatut VPN-yhteydet, jos niiden avulla kymmenet työntekijät yrittävät ottaa etäyhteyden yrityksen sisäiseen verkkoon tai sisäisiin järjestelmiin.
Tietoliikenneyhteyksien turvaamisessa olennaista onkin tarkastella oman yrityksen toiminnan ja tietoverkkoratkaisuiden laajuutta ja suhteuttaa esimerkiksi VPN-, palomuuri- ja palvelunestohyökkäysten torjuntapalvelut omiin tarpeisiin sopiviksi. Isommilla toimijoilla harkintaan on syytä ottaa myös erilaisten konesali- ja pilviyhteyspalveluiden hyödyntäminen, jos tietoliikenneyhteyksien toimivuus ja turvallisuus ovat oman toiminnan kannalta kriittisiä.
Päätelaitteiden ja käyttöoikeuksien hallinta
Jotta työntekijöiden päätelaitteet pysyvät turvattuina, on käytössä olevien käyttöjärjestelmien ja ohjelmistojen oltava ajantasaisia. Lisäksi on huolehdittava, että työntekijät eivät pääse asentamaan koneilleen tarpeettomia ohjelmia tai ohjelmistoja, joiden tietoturvallisuutta ei ole pystytty varmistamaan.
Myös käyttöoikeuksia rajoittamalla voidaan varmistua siitä, että yrityksen ohjelmia, järjestelmiä ja dataa pääsevät käsittelemään ja muokkaamaan vain ne henkilöt, joille se on työnkuvan kannalta olennaista.
Henkilökunnan kouluttaminen
Tietoturvasta ja hyvistä käytänteistä perillä oleva henkilökunta toimii todennäköisesti vastuullisesti ja huolehtii siitä, että oma päivittäinen toiminta ei vaaranna yrityksen tietoturvaa. Osaava henkilökunta pystyy mahdollisesti myös havaitsemaan epätavallisen toiminnan yrityksen järjestelmissä.
2. Tietomurron havaitseminen
Aina tietoturvamurroilta ei voida välttyä, vaikka niiden estämiseen olisikin kiinnitetty erityistä huomiota. Yksittäisen työntekijän huolimattomuus voi esimerkiksi aikaansaada tilanteen, jossa haittaohjelma pääsee tunkeutumaan sähköpostin liitetiedoston kautta työntekijän koneelle ja sitä kautta yrityksen tietojärjestelmään.
Jokaisen yrityksen olisikin syytä pohtia, miten mahdollinen kyberiskuyritys pystytään tunnistamaan ja miten sen juurisyihin ja etenemiseen päästään kiinni, jotta haavoittuvuudesta ei aiheudu mittaamattomia vahinkoja.
Lokienhallinta
Lokitiedot eli eri tietojärjestelmien käsittely- ja tapahtumahistoriat ovat tärkeässä roolissa tietomurtojen havaitsemisessa, sillä niiden avulla voidaan määritellä hälytyksiä epäilyttävästä toiminnasta ja tutkia, miten tietomurto on tapahtunut. Lokitietojen keräämiseen ja analysointiin on olemassa erilaisia ohjelmia ja palveluita, joista osa keskittyy ainoastaan uhkien havaitsemiseen, kun taas osaan sisältyy myös tietomurtoihin reagoiminen sekä laajempi tieturvauhkien kartoitus ja seuranta eri lähteistä.
Tässä lyhyt listaus muutamista tunnetuimmista tietomurtojen havaitsemiseen kehitetyistä teknologioista ja ratkaisuista yksinkertaisimmasta vaativimpaan ratkaisuun:
EDR (Endpoint Detection and Response)
Ensimmäinen askel havaintotietojen seurantaan on EDR- eli Endpoint Detection and Response -ratkaisu. EDR-ratkaisut havaitsevat päätelaitteisiin kuten työntekijöiden työasemiin sekä palvelimiin kohdistuvia kyberiskuja. Näissä ratkaisuissa työntekijöiden koneelle asennetaan ohjelmisto, joka monitoroi ja analysoi päätelaitteissa tapahtuvaa toimintaa ja ilmoittaa mahdollisista murroista tai koneen saastumisesta.
MDR (Managed Detection and Response)
MDR- eli Managed Detection and Response -ratkaisut ovat EDR-teknologian päälle rakennettuja palveluita, joissa valvonta ylettyy työasemien ja palvelimien lisäksi yrityksen tietoverkkoihin ja viestintään. Lisäksi ne pitävät sisällään välineitä ja valmiita prosesseja uhkien torjumiseen ja tietomurroista toipumiseen. MDR-ratkaisut hälyttävät mahdollisista hyökkäyksistä tarvittaessa ympäri vuorokauden.
SIEM (Security Information and Event Management)
SIEM eli Security Information and Event Management on tietoturva- ja tapahtumienhallintajärjestelmä, joka kerää lokidataa, tarkkailee poikkeavaa toimintaa tai epätavallista käyttäytymistä sekä tallentaa ja yhdistää eri järjestelmien ja teknologioiden tuottamaa tietoa. SIEMin avulla yritys saa näkyvyyden kaikkiin mahdollisiin lokitietoihin tukiasemista työasemiin ja sovelluksista yksittäisiin VPN-kirjautumisiin asti. SIEM-ratkaisuja tarjotaan usein palveluna, jolloin niihin sisältyy esimerkiksi kumppanin ylläpitämä tekninen tuki, raportointi sekä 24/7-päivystys.
SOC (Security Operations Center)
SOC eli Security Operations Center -ratkaisut perustuvat SIEM-teknologian hyödyntämiseen. Niissä automatiikka yhdistää eri järjestelmien tuottamaa tietoa, tarkkailee mahdollisia poikkeamia ja ilmoittaa esisuodatetusta datasta reagointia vaativat hälytykset kyberturvallisuusvalvomon asiantuntijoille. Tietoturvan kokonaishallinnasta ja tuhojen rajaamisesta huolehtivat SOC-ammattilaiset, jotka ovat valmiudessa 24/7.
SOC-ratkaisut tähtäävät ennen kaikkea tietoturvan kokonaisnäkyvyyteen, hallintaan ja reagointikyvykkyyteen, ja ne perustuvat vahvaan kumppanuuteen sekä tietoturvan jatkuvaan kehittämiseen.
Kuinka valita itselle sopiva ratkaisu?
Eri palveluita vertaillessa on hyvä miettiä sitä, riittävätkö yrityksen omat resurssit murtojen tunnistamiseen ja niihin reagoimiseen vai tarvitaanko mahdollisesti kumppanin apua? Omalle organisaatiolle sopiva kokonaisuus löytyy yleensä keskustelemalla palveluntarjoajien kanssa oman yrityksen tarpeista sekä budjetista.
3. Tietomurtoon reagoiminen
Kun tietomurto on päässyt tapahtumaan, on keskeistä reagoida siihen mahdollisimman nopeasti ja selvittää, mitä on tapahtunut. Osana reagointivaihetta on tärkeää, että yrityksellä on valmis toimintasuunnitelma, jota noudatetaan tietomurron tullessa ilmi. Toimintasuunnitelmassa olisi hyvä käydä ilmi:
- Miten yrityksen työntekijöille tiedotetaan tietomurrosta? Miten prosessi etenee ja kuka vastaa tiedottamisesta?
- Miten murrosta tiedotetaan asiakkaille, yhteistyökumppaneille ja suurelle yleisölle, jos sen vaikutukset ulottuvat oman yrityksen ulkopuolelle?
- Miten järjestelmiin tunkeutuja saadaan eristettyä ja karkotettua? Miten tietomurtoihin voidaan varautua eri järjestelmien osalta?
- Tarvitaanko murron selvittämiseen ulkopuolista apua ja jos tarvitaan, niin mistä apua pyydetään? Kuka on se kumppani, jonka puoleen voidaan kääntyä vaikeissa tilanteissa?
- Miten yritys pystyy toimimaan, jos järjestelmiä joudutaan ajamaan alas murron selvittämiseksi?
Tietomurtoon varautunut yritys pystyy aina toipumaan haavoittuvuudesta nopeammin kuin sellainen, jossa murron havaitsemiseen tai reagointiin ei ole panostettu etukäteen edes suunnitelman tasolla. Siksi kannustamme kaikki katsomaan oman yrityksen tietoturvallisuutta uusin silmin ja miettimään, mitä toimenpiteitä tarvitaan, jotta organisaation liiketoiminta selviää mahdollisista tietomurtoyrityksistä sekä nyt että tulevaisuudessa.