Totta vai tarua? 8 väitettä kyberturvallisuudesta

CGI:n kyberturvallisuuskonsultti Jyrki Huhta katkoo vääriltä tietoturvauskomuksilta siivet.

Jo pelkästään sana kyberturvallisuus herättää mielikuvia ja asenteita melkein jokaisessa. Yhtä pelottaa, toinen on välinpitämätön ja kolmas suhtautuu uhkiin hysteerisesti.

Neuvoja on ainakin yhtä monta kuin niiden kysyjiä. CGI:n kyberturvallisuuteen erikoistunut konsultti Jyrki Huhta kertoo, miten asiat oikeasti ovat.

1. Eristäytyminen on paras puolustus

”Yleisesti ajatellaan, että toimiva ja läpäisemätön tietoturva syntyy rakentamalla linnaan mahdollisimman paksut seinät ja kapea silta. Lisäksi on oltava isot tykit ja lohikäärme vallihaudassa. Kun tämä työ on tehty, mikään tai kukaan ei pääse käsiksi järjestelmiin. Se on huono asia, sillä muurit on tarvittaessa avattava.

Mikään järjestelmä ei yksinään torju uhkia. Myös ihmisen älyä tarvitaan arvioimaan järjestelmien heikkouksia. Tietoturvaa pidetään usein virheellisesti vain IT-osaston ongelmana, mutta todellisuudessa hyvässä tietoturvassa on kyse laitteista, ohjelmistoista, toimintatavoista, yrityskulttuurista ja tiloista.”

2. Bad Rabbit -haittaohjelma on kaikkien aikojen pahin

”Viruksista, haittaohjelmista ja kyberhyökkäyksistä puhutaan paljon superlatiiveilla, jotka luovat vääränlaisia mielikuvia. Mikään virus ei ole täydellinen. Jokaisella hyökkäyksellä tai viruksella on omat kykynsä. Haittaohjelmat ovat jatkuvasti kohdistetumpia, osaavat kätkeä itsensä paremmin ja niiden poistaminen on entistä hankalampaa.

Kiristysohjelmien perheeseen kuuluva Bad Rabbit -haittaohjelma ei ole kaikkien aikojen pahin, vaikka uutiset niin väittäisivät. Kyse on median liioittelusta. Aikamme pahimpiin haittaohjelmiin ovat kuuluneet muun muassa MyDoom ja Conficker.”

3. Tietoturvaan sijoitettu raha maksaa itsensä takaisin moninkertaisesti

”Tietoturvan kohdalla hyvä lähtökohta on miettiä, mikä on yritykselle hyödyllistä. Ongelmana on, että tietoturvasta puhuttaessa on vaikea löytää perusteita investoinnille. Kukaan ei tiedä, kuinka paljon säästöjä tulee, jos hyökkäys torjutaan. Jos taas hyökkäys onnistuu, perinteisimpiin tietoturvaratkaisuihin tehdyt investoinnit voivat olla turhia. Tämän vuoksi vahingot täytyy torjua järkevästi ja varautua myös siihen, että siinä voi epäonnistua.”

4. Ihminen on tietoturvan heikoin lenkki

”Vaikka järjestelmät tekevät työn, ihmisen älyä voidaan hyödyntää tietoturvan parantamisessa ja seurannassa. Ihminen on toistaiseksi se, joka havaitsee ja torjuu tietoturvauhkia.

Tietoturvajärjestelmien valinta yrityksissä perustuu ihmisten päätöksiin. Myös ihmisen tekemät painotukset korostuvat. Yrityksen kyberturvallisuus on tarkkaan ottaen juuri niin vahva kuin päätöksiä tehneet ihmiset, joten osin väite pitää paikkansa.

Tietoturva kehittyy vain tietoturvakulttuuria kehittämällä. Se taas vaatii sitoutumista, arvostusta, kyseenalaistamista, sisäistämistä ja osaamisen kehittämistä.”

5. Mikään järjestelmä ei ole täydellinen

”Mikään järjestelmä ei ole tarpeeksi suojattu. Moni luottaa suojausmenetelmiin sokeasti. Oletetaan esimerkiksi, että vahva tunnistautuminen poistaa identiteettivarkaudet, ja että eristämällä voi estää kaiken muun paitsi fyysisen tunkeutumisen. Tarpeeksi vahva puolustautuminen on tarpeellista. Silti kaikki kannattaa kyseenalaistaa ainakin kerran.”

6. En kiinnosta kyberhyökkääjiä

”Moni miettii harhaanjohtavasti, että vain isot yritykset tai julkisuuden henkilöt kiinnostavat hyökkääjiä. Näin perustellaan sitä, ettei omaa yritystä tai konetta suojata hyökkäykseltä. Meistä jokaisella on salattavia tietoja, joista halutaan pitää huolta. Kukapa haluaisi luovuttaa omat pankkitunnuksensa tai avata yrityksen järjestelmät kenelle tahansa?

Koska jokainen voi olla kohde, on mietittävä, mitkä tiedot ovat tärkeitä ja riittääkö nykyinen tietoturva suojaamaan ne.”

7. Pahikset valtaavat maailman

”Kyberturvallisuuteen pitää suhtautua vakavasti, mutta järkevästi. Uhkia ei pidä estää jarruttamalla oman yrityksen toimintaa digitaalisissa ympäristöissä. Eivät yrityksen salaiset tiedot ole turvassa paperillakaan. Hakkereista on tehty supersankarielokuvien pahiksia, joilla on kyky tuosta vain hyökätä mihin tahansa järjestelmään.

Usein kuulee puhuttavan, että yrityksiin kohdistuu miljoonia hyökkäyksiä. Tämä on vähän kuin laskisi bakteerien määrää. Määrää enemmän ihmisiä pitäisi kiinnostaa epidemiat ja perushygienia sekä oma alttius tietylle pöpölle.”

8. Kyberhyökkäyksen huomaa heti

”Monesti uskotaan, että virukset ja haittaohjelmat voidaan havaita heti, kun ne ovat iskeneet järjestelmään. Moni virus toimii yleensä laitteistojen ja ohjelmien taustalla jopa vuosia. Kone ei siis heti hidastu tai osoita merkkejä saastumisesta.”

Perehdy OPn kyberoppaaseen ja turvaa yritystoimintasi jatkuvuus myös kyberuhkien aikakaudella.

Kybervakuutus auttaa yritystäsi varautumaan kyberriskeihin ja muuttuvaan sääntelyyn. Tutustu OPn kybervakuutukseen.

Tuoreimmat
Yrittäjä, muista höllentää tahtia: lue työterveyspsykologin ohjeet lomailuun
Yrittäjä, muista höllentää tahtia: lue työterveyspsykologin ohjeet lomailuun
Lomailu on hyvinvoinnin ja työssä jaksamisen kannalta tärkeää kaikille. Jos pitkän kesäloman pitäminen tuntuu mahdottomalta, jo lyhyet lomapätkät ja töiden jaksottaminen tuovat kaivattua palautumista.
Unelmana lehmät
Unelmana lehmät
Tällä viikolla yksi isoista unelmistani toteutuu, kun emolehmät saapuvat tilallemme. Vajaa kymmenen vuotta sitten siat lähtivät ja tilamme muuttui kasvinviljelytilaksi. Silloin vanhat sikalat...
Kotoa pois muuttava nuori: ota haltuusi oman talouden selviytymispakkaus
Kotoa pois muuttava nuori: ota haltuusi oman talouden selviytymispakkaus
Kuinka monta pankkikorttia tarvitsen? Perustaisinko tyttö- tai poikaystävän kanssa yhteisen tilin? Onko kotivakuutus pakollinen? Millainen matkavakuutus on hyvä? Ota haltuusi tämä tietopaketti...
Älä heitä tölkkejä luontoon – Vahingot voivat olla tuhoisat
Älä heitä tölkkejä luontoon – Vahingot voivat olla tuhoisat
Pellolle heitetty metallitölkki on naudoille hengenvaarallinen uhka. Nuoren Macy-lehmän kohtalo on vältettävissä viemällä roskat niille kuuluviin paikkoihin.

OP sosiaalisessa mediassa