MAINOSLIITE MAINOSLIITE
Editor HelsingIn tuottamaKAUPALLINEN kaupallinen asiantuntija-extra Editor HelsiNGIn tuottama ASIANTUNTIJA-EXTRA
Tietoturva & Riskienhallinta EXTRA
Marraskuu 2020 julkaisu on Editor HelsiNGIn tuottama kaupallinen asiantuntija-EXTRA. Editor Helsinki on itsenäinen yritysviestinnän asiantuntija.
Vastaava tuottaja VALTTERI RANTALAINEN | AD JENNI HYTTINEN TUOTANTO-AD MARIA TAARI Painopaikka Sanomapaino 2020
Editor Helsinki Oy | www.editorHELSINKI.fi | Valtteri Rantalainen p. 040 561 7703 tuotanto@editorhelsinki.fi
Huawei näyttää tietä avoimuudellaan s. 4
Digiavain tarjoaa tilaisuuden tietovarkaalle Viime aikoina paljastuneet tietomurrot ovat saaneet hälytyskellot soimaan lukuisissa organisaatioissa. s. 2
Kyberturvan tärkeys korostuu pandemian aikana Tietoturvaratkaisuja tuottava Trend Micro satsaa tutkimustyöhön ja tietoturvauhkien kartoittamiseen. Yritys suosittelee tietoturvakäytäntöjen päivittämistä työntekijöiden jatkaessa etätöissä pandemian aikana. Trend Micron kyberturva-asiantuntija Kalle Salmisen mukaan loppukäyttäjä on tietoturvan kannalta tärkein yksittäinen tekijä, kun puhutaan työnteon onnistuneesta siirtymästä toimistoilta kotikonttoreille. – Pandemian yllättäneessä maailmassa työnteon muuttuessa suurimmalta osalta etätyöksi, tämä ”uusi normaali” korostaa loppukäyttäjän tietoturvatietoisuutta, tietoturvallisiin toimintatapoihin sitoutumista sekä valppautta työvälineiden kuten sähköpostin kanssa. Kyberturvallisuus on kaikkea muuta kuin staattinen asia ja hyökkääjät soveltavat muuttuneen toimintaympäristön luomia mahdollisuuksia aktiivisesti. Trend Micron teettämän ”Head in the Clouds” -kyselytutkimuksen mukaan 79 % suomalaisista myöntää käyt-
tävänsä työkannettavaansa henkilökohtaiseen surffailuun ja 33 % sanoo käyttävänsä yrityksen tietoja usein tai aina henkilökohtaisilta laitteiltaan ja yli kolmannes
etätyöntekijöistä ei ole perehtynyt tietoturvaan eristäytymisen aikana. Pandemian aikana on havaittu selkeää kasvua kodin älylaitteisiin ja reitittimiin
kohdistuvissa hyökkäyksissä verkkorikollisten pyrkiessä käyttämään yritysverkkoja heikommin suojattuja kotiverkkoja ponnahduslautana yrityksiin kohdistuvissa
hyökkäyksissä. Yleisimmin hyökkäykset tehdään sähköpostitse tietojenkalasteluviestejä käyttäen. Tutustu Trend Micron verkkosivuilla 2020 Mid-
year Cybersecurity -raporttiin, joka kokoaa yhteen uusimmat tietoturvauhkat. Trendmicro.com -> Research -> Security Reports
Japanilainen vuonna 1988 perustettu Trend Micro on yksi kyberturvan globaaleista pioneereista ja yksi maailman suurimmista tietoturvayhtiöistä. Trend Micro toimii yli 50 maassa ja työllistää noin 7000 tietoturva-alan asiantuntijaa. Yritys tarjoaa kerroksellisia ja skaalautuvia tietoturvaratkaisuja hybridikonesaliympäristöihin, tietoverkkoihin, päätelaitteisiin ja pilvipalveluihin.
www.trendmicro.com
MAINOSLIITE
Editor HelsingIn tuottama kaupallinen asiantuntija-extra
2 TIETOTURVA & RISKIENHALLINTA
Vuonna 1995 perustettu SSH.COM on yksi suomalaisen tietoturvateknologian pioneereista. Teemu Tunkelon ja Miikka Sainion mielestä lepsuja tietoturvakäytäntöjä voi verrata taloyhtiöön, jonka yleisavain on hukassa ja siitä on tehty kenenkään huomaamatta kopioita.
Digiavain tarjoaa tilaisuuden tietovarkaalle
Viime aikoina paljastuneet tietomurrot ovat saaneet hälytyskellot soimaan lukuisissa organisaatioissa. Omaa turvatasoa perattaessa onkin voinut paljastua karu totuus. Tietojärjestelmät on rakennettu huolellisesti, mutta etenkin ylläpitäjien, ohjelmistoinsinöörien ja IT-konsulttien käyttäjäoikeuksien valvonta on pahasti retuperällä. Teksti: Timo Sormunen
Mikä on yhtiönne liiketoiminnan kannalta arvokasta dataa ja kenellä kaikilla on mahdollisuus päästä siihen käsiksi? Siinä yksi peruskysymys, jonka tietoturvaekspertit esittävät, kun he lähtevät taklaamaan tietoturvariskejä. Asiakkaan vastaukset voivat tulla aluksi kuin apteekin hyllyiltä, mutta muuttuvat usein jo muutaman täsmentävän jatkokysymyksen jälkeen epävarmemmiksi. Lopulta voidaan joutua tunnustamaan, ettei tiedonhallinnan kokonaisuus ole oikeastaan kenenkään hal-
lussa. Bisneskriittistä dataa on tallessa yrityksen omilla palvelimilla, pilvipalveluissa ja henkilöstön läppäreillä. Tietojärjestelmien ylläpitoja konsulttipalveluja ostetaan useilta eri tahoilta eikä järjestelmien käyttöoikeuksia valvo käytännössä kukaan. Kaiken kukkuraksi ohjelmistojen ja järjestelmien salasanat ovat voineet säilyä vuodesta toiseen samoina ja niitä on jaettu varsin huolettomasti myös eteenpäin. Lisäksi henkilöstön käyttöoikeuksia on jäänyt katkaisematta, vaikka työtehtävät tai työsuhteet olisivat vaihtu-
neet tai päättyneet jo aikoja sitten. Lukot uusiksi myös digimaailmassa
Edellä kuvatut tilanteet ovat tulleet vuosien varrella tutuksi myös kotimaisen tietoturvayhtiö SSH Communications Securityn (SSH.COM) toimitusjohtaja Teemu Tunkelolle ja teknologiajohtaja Miikka Sainiolle. Alan pioneeriyrityksiin lukeutuvan SSH.COM:in kokeneen asiantuntijakaksikon mukaan moni yritys valvoo omia toimi- ja tuotantotilojaan tarkemmin
kuin liiketoiminnan kannalta elintärkeää dataa, vaikka nimenomaan tietomurto ja siihen usein liittyvä kiristäminen voivat tietää koko yrityksen loppua.
”
Moni yritys valvoo toimi- ja tuotantotilojaan huomattavasti tarkemmin kuin oman liiketoiminnan kannalta elintärkeää dataa.
– Tonttia ympäröi kameroilla varustettu verkkoaita, ulko-ovi avataan vain vierailusta etukäteen sopineille eikä sisääntuloaulastakaan pääse omin päin eteenpäin. Samaan aikaan esimerkiksi organisaatioon immateriaalioikeuksiin, asiakasrekisteriin tai potilastietokantaan voi päästä käsiksi muutamalla simppelillä salasanalla, joita ei ole vaihdettu vuosikausiin ja joiden haltijoista ei ole kunnollista käsitystä, Tunkelo toteaa. – Tämä pätee erityisesti konsultteihin, IT-käyttäjiin ja ohjelmistoinsinööreihin,
jotka ylläpitävät yrityksen operatiivisen- ja liiketoiminnan kannalta kriittistä IT-infraa, hän lisää. Miikka Sainion mielestä lepsuja tietoturvakäytäntöjä voi hyvällä syyllä verrata taloyhtiöön, jonka yleisavain on hukassa ja siitä on tehty kenenkään huomaamatta kopioita. – Todennäköisesti talon kaikki lukot ja avaimet menevät tällaisessa tilanteessa pikavauhtia uusiksi. Samalla tavoin tulisi toimia myös yrityksissä, jos yksikin käyttöoikeus tai salasana kulkeutuu talon ulkopuolelle tai jää
MAINOSLIITE
Editor HelsingIn tuottama kaupallinen asiantuntija-extra
TIETOTURVA & RISKIENHALLINTA 3 asiaankuulumattomalle henkilölle, Sainio tähdentää. Tilaisuus tekee myös datavarkaan
Samaan hengenvetoon kaksikko muistuttaa, ettei vuosien kuluessa alati sotkuisemmaksi käyneestä tiedonhallintavyyhdistä kannata etsiä yhtä tai kahta syyllistä. Etenkin isommissa yhtiöissä ongelman juuret johtavat jo vuosien takaisiin ulkoistuksiin, joissa on ensin luovuttu omasta it-infrastruktuurista ja sen jälkeen asteittain myös omasta tukihenkilöstöstä. Palveluja on ulkoistusten myötä alettu kilpailuttaa, hankkia useilta eri toimijoilta ja myös yksittäisiltä konsulteilta. Töiden yleisen sujuvuuden, ajansäästön ja kustannusten säästämiseksi heille on annettu omia käyttäjä- ja kirjautumistunnisteita ilman kattavaa dokumentointia. – Tässä kiireessä jää helposti miettimättä ja samalla myös rajaamatta, mihin kaikkeen annetuilla tunnuksilla lopulta pääsee ja millaisiin käsiin ne voivat tätä kautta päätyä. Pahinta on, etteivät käyttöoikeudet ole välttämättä katkenneet, kun kyseiset projektit tai työsuhteet ovat päättyneet, Sainio toteaa. Yksi suurimmista sudenkuopista ja tietoturvariskeistä piileekin Tunkelon mukaan juuri tässä. Pahimmillaan setvittävänä on todellinen käyttäjäviidakko, josta kenelläkään ei ole enää selkeää kuvaa. – Sinisilmäisyyden sijaan on hyvä muistaa, että tilaisuus voi tehdä kenestä tahansa varkaan. Asiakas- ja
tuotekehitystiedoista maksetaan usein huomattaviakin summia. Jos niihin pääsee vaivattomasti ja huomaamattomasti käsiksi, saattaa houkutus olla yrityksen luottopelurillekin liikaa, Tunkelo tähdentää. Toimitusjohtajan näkemystä tukevat myös tilastotiedot. Niiden mukaan tietomurrot paljastuvat useimmiten vasta kuukausien, joskus jopa vuosien päästä. Vahingot ovat lähes poikkeuksetta miljoonaluokkaa.
nopeasti, missä riskialttiita digiavaimia majailee. Se myös varmistaa, että eri tietojärjestelmien digiavaimet päätyvät ainoastaan niille henkilöille, jotka niitä työssään aidosti tarvitsevat, avaimia käytetään vastuullisesti eikä niitä voi luoda luvattomasti. Yhtiön PrivX-tuotteen avulla puolestaan käyttäji-
en tunnistus sekä käyttöoikeuksien hallinnointi kevenee ja selkiytyy erityisesti pilviympäristöissä. Erilaiset aika- ja järjestelmärajaukset on helppo asettaa sekä tunnukset vaihtaa ja ”nollata” työtehtävien muuttuessa tai päättyessä. Ratkaisu ei myöskään jätä jälkeensä kiinteitä digiavaimia tai tilejä, joita voisi vää-
rinkäyttää. Käyttäjät eivät koskaan käsittele tai näe mitään yhteydenmuodostamiseen vaadittuja salaisuuksia. Silti jokainen istunto jättää tunnistettavan jäljen. Työkalujen avulla käyttöoikeusviidakko karsiutuu hallitusti ja samalla suojataan yrityksen kriittinen data riippumatta siitä, onko se levossa, liikkeessä vai aktii-
visessa käytössä. – Merkittävä osa tietoturvaan liittyvistä laiminlyönneistä johtuu siitä, että järjestelmien käyttö on työlästä ja ajan säästämiseksi päätetään hieman oikaista. Jos käyttö on sen sijaan helppoa, yksinkertaista ja nopeaa, tällaista houkutusta ei edes synny, Sainio lisää.
Digiavaimet uusjakoon ja oikeille henkilöille
Kuinka sitten tilkitä tieturva-aukkoja, joita on saattanut löytyä jo nopealla perkauksella pelottavan paljon? Teknologiajohtaja Miikka Sainion mukaan ensimmäinen ja tärkein askel on selvittää, kuinka laajalla joukolla on hallussaan yhtiön eri tietojärjestelmien digitaalisia avaimia. Sen jälkeen on käytävä tarkasti läpi, ovatko oman henkilöstön, yhteistyökumppaneiden ja alihankkijoiden valtuutukset ja käyttöoikeudet ajan tasalla. – Tässä kohtaa on hyvä tiedostaa, että 75 prosenttia tietomurroista tapahtuu nimenomaan digitaalisten avaimien avulla. Se ei ole mikään ihme, sillä tutkimusten mukaan yli 80 prosentilla yrityksistä on puutteita niihin liittyvissä prosesseissa, Sainio muistuttaa. Tietojen perkaaminen on manuaalisesti hidasta, työlästä ja tarkkuutta vaativaa. SSH.COM onkin kehittänyt selvitystyön helpottajaksi tehokkaita työkaluja. UKM:n (Universal Key Management) avulla näkee
SSH Communications Security • Liikevaihto 14,5 MEUR • Työntekijöitä globaalisti noin 100 • Suunnittelee ja toimittaa tietoturvaratkaisuja • Päämarkkina-alueet Aasia, Eurooppa, Yhdysvallat • Yli 3 000 asiakasta eri puolilla maailmaa
SSH.COM among leaders in the PAM market ”The PAM market is becoming more competitive and size alone will no longer keep vendors at the top. This is especially true in a period when vendors like SSH.COM can go from Challenger to Leader in one year due to a strong focus on technology and innovation.” - Paul Fisher, KuppingerCole Get the full KuppingerCole Leadership Compass 2020 report www.ssh.com
www.ssh.com
MAINOSLIITE
Editor HelsingIn tuottama kaupallinen asiantuntija-extra
4 TIETOTURVA & RISKIENHALLINTA
Mika Lauhde muistuttaa, että Huawein Suomen tutkimus- ja tuotekehitysosasto on ainoa paikka Euroopassa, jossa valmistetaan verkkojen tietoturvan kovan ytimen IC-piiriperheet.
Huawei näyttää tietä avoimuudellaan Tietoverkkojen turvallisuus, tai sen puute, on herättänyt runsasta keskustelua niin meillä kuin maailmalla. Tietoturvan ammattilaisen näkökulmasta tilanne on kuitenkin paljon parempi, mitä julkinen keskustelu tai varsinkaan someviestintä antaa ymmärtää. Syynä tähän on keskustelun politisoituminen, jolloin faktat tai tekniikan lainalaisuudet on helppo unohtaa. Näin tilannetta arvioi Huawein kansainvälisen verkkoturvallisuuden johtaja Mika Lauhde. Teksti: Maija-Liisa Saksa
– Tietoverkkojen turvallisuuteen liittyy aina poliittinen näkökulma eli kuka tekee ja mitä. Kun tietoturvallisuuteen liittyvää pelkoa halutaan käyttää lyömäaseena, ei tarvitse kuin ilmoittaa, että jokin on turvallisuudelle vaaraksi. Perusteluja ei tarvita, ja sama ilmiö on tullut meille tutuksi koronaepidemiastakin keskusteltaessa. Asiantuntijat sivuutetaan tai he joutuvat poliittisen painostuksen alaisiksi. – Suomessa voimme tehdä päätöksiä faktoihin perus-
tuen, mutta olemme kuitenkin osa globaalia maailmaa. Tietoverkkojen turvallisuuskeskustelun politisoituminen on johtanut siihen, että hallitukset ja päättäjät joutuvat puntaroimaan, mitkä ovat tosiasioita ja minkä takana on poliittinen agenda. Valitettavasti tämä kasvattaa epäluottamusta ja voi hämärtää rationaalista päätöksentekoa, arvioi Lauhde. Maailman tutkituin verkkolaitetoimittaja
Huaweillä luotetaan siihen,
että päättäjät ja kuluttajat ajattelevat kriittisesti ja luottavat tietoon. – Me toimimme täysin avoimesti. Standardisoimme tuotteemme, teemme yhteensopivuustestejä muiden valmistajien kanssa ja ulkopuoliset, yhtiöstä riippumattomat tahot sertifioivat tuotteemme. Olemme avanneet laitteemme ja ohjelmistomme hallituksille, eikä yksikään taho ole vielä pystynyt osoittamaan, että meillä olisi takaportteja tai turvallisuutta vaarantavia heikkouksia.
Lauhde toteaa tyytyväisenä, että Huawei on toiminut avoimuuden lisäämisessä tiennäyttäjänä ja yrityksessä toivotaankin, että myös muut
”
Kun tietoturvallisuuteen liittyvää pelkoa halutaan käyttää lyömäaseena, ei tarvitse kuin ilmoittaa, että jokin on turvallisuudelle vaaraksi.
verkko- ja laitevalmistajat seuraavat heitä esimerkillään. – Olemme maailman tutkituin ja siten myös turvallisin verkkolaitetoimittaja. Tarjoamme läpinäkyvästi hallituksille ja asiakkaille mahdollisuuden tarkastella lähdekoodiamme. Tavoittelemmekin sitä, että pystymme pysyvästi muuttamaan verkkojen tietoturvamarkkinointiin liittyvää kulttuuria. Kun avaamme omat tuotteemme ostajille, osaavat he vaatia tätä samaa muiltakin laitetoimittajilta.
Ristiriitaiset vaatimukset hämmentävät
Marraskuun alkupuolella tuli julkisuuteen tieto, jonka mukaan Euroopan Unioni kaavailee toimia tietoliikenteen vahvan salauksen heikentämiseksi. Ehdotuksen mukaan teknologiayhtiöiden pitäisi löytää tapa avustaa terrorismia vastaan taistelevia viranomaisia, jotta ne pääsisivät käsiksi salattuun viestintään. – Tämä ehdotus herättää varmasti ristiriitaisia ajatuksia. Samanaikaisesti kun vaaditaan lisää tietoturvaa,
Editor HelsingIn tuottama kaupallinen asiantuntija-extra
MAINOSLIITE
TIETOTURVA & RISKIENHALLINTA 5
suunnitellaan uusia lakeja, jotka heikentäisivät sitä. – Poliittisen keskustelun kannalta oleellista tuossa lakiehdotuksessa on, että se itsessään todistaa tietoverkkojen olevan turvallisia eikä niissä ole takaportteja mihinkään suuntaan. Huawei eivätkä muut verkkovalmistajat pysty avaamaan viestiliikennettä millekään taholle, sillä me emme omista kryptoavaimia, jotka mahdollistaisivat sen. Kun jollekin käyttäjälle, esimerkiksi hallitukselle, on varattu oma kaista verkosta, on se ikään kuin yhtenäinen putki, johon ei millään kei-
noin pääse matkan varrella väliin. Tieto kulkee kryptattuna putken päästä toiseen ja vain vastaanottajan laite pystyy avaamaan salauksen, selvittää Lauhde. 5G turvallisin aiempien sukupolvien verkoista
Keskustelun 5G:n turvattomuudesta Lauhde tyrmää täysin, sillä hänen mukaansa mikään aiempi tietoverkko tai järjestelmä ei ole ollut yhtä turvallinen. – 5G on ensimmäinen verkkojen rakentamisen teknologia, jossa on kaksi osaa. Ne linkittyvät mennei-
syyteen ja tulevaisuuteen. Menneisyyteen linkittyvä osa korjaa niitä virheitä, jotka ovat jääneet korjaamatta aiemmissa sukupolvissa. Samalla sinne on rakennettu ominaisuuksia, mitkä ottavat huomioon tulevaisuuden haasteita. Suunnittelussa on myös huomioitu, että 5G-verkkoihin liittyvällä ns. horisontaalisella teollisuudella, joka valmistaa esimerkiksi itseohjautuvia autoja tai robotti-imureita, ei ole yhtä vankka kokemus tietoturvasta kuin vuosikymmeniä verkkoja rakentaneilla yrityksillä.
Tämän ansiosta häiriöitä aiheuttava laite voidaan pudottaa ulos 5G-verkosta kunnes virheet on korjattu. – Olenkin sanonut useiden hallitusten edustajille, että vaikka maa ei koskaan käyttäisi kaikkia 5G:n ominaisuuksia, kannattaa se ottaa käyttöön, sillä se korjaa vanhempien verkkosukupolvien tietoturva-aukkoja, kertoo Lauhde. Vanhentuneet järjestelmät suurin riski
Mika Lauhde on ollut vuosia mukana EU:n verkko- ja tietoturvavirasto ENISA:n
Huawei Technologies
”
Olemme avanneet laitteemme ja ohjelmistomme hallituksille, eikä yksikään taho ole vielä pystynyt osoittamaan, että meillä olisi takaportteja tai turvallisuutta vaarantavia heikkouksia.
• Yksi maailman johtavista ICT-teknologian yrityksistä • Työllistää lähes 200 000 henkilöä maailmalla, joista yli 500 Suomessa • Ydintoimialueet: televiestintäverkostot, IT, älylaitteet ja pilvipalvelut • Suomen päätoimipiste Helsingissä, jonka lisäksi tutkimus- ja tuotekehityskeskukset Helsingissä ja Tampereella
www.huawei.com
toiminnassa. Se on listannut suurimpia tietoturvariskejä ja niistä tärkeimpiä ovat haittaohjelmat, internethyökkäykset, järjestelmien kuormitus ja identiteetin tai datan varastaminen. – Toki aina on vakoiluakin, mutta kymmenen kärki muodostuu perinteisistä tietoturvauhista, joista suurin on ehdottomasti vanhentuneet järjestelmät, joita ei enää ylläpidetä. Niihin on helppo murtautua ja hakkeri valitsee mieluummin helpon kuin vaikeaksi muodostuvan uuden teknologian kohteen, muistuttaa Lauhde.