Pelon sokaisemat
11-vuotias lapsi voi hakkeroida vaalijärjestelmää. Palvelunestohyökkäyksiä voi ostaa pikkurahalla. Maailmassa luodaan haitallisia ohjelmistoja tuhansia päivässä. Tietoturvauhista kertominen ja vaaran uhalla herkuttelu eri medioissa on meille arkipäivää.
Jokainen meistä tunnistaa myyntimiehen, joka saarnamiehen lailla soittaa tuomiopäivän pasuunaa ja kertoo uhista liiketoiminnallemme. Taustalla on tietysti halu parantaa tietoturvaa edustamillaan ratkaisuilla tai palveluilla.
Mitä me teemme? Miten reagoimme? Kun uhkailusta ja kauhukuvista tulee päivittäinen mantra, lakkaamme reagoimasta niihin. Meitä ei enää pysäytä tuhansien tietokoneiden hyökkäys tai tietomurrot. Meidän on jatkettava niillä resursseilla, joita meillä on. Olemme turtuneet uhkakuviin.
Mitä minulla on?
Asiantuntijakonsulttimme törmäävät hyvin usein tilanteeseen, jossa asiakas on ostanut tietoturvaominaisuuksia johonkin ratkaisuun, mutta joko ei tiedosta niiden olemassa oloa tai on siirtänyt ratkaisun implementointia myöhemmäksi.
Tietoturvan ohella käytettävyys on olennainen osa toimivaa IT-järjestelmää. Tämän vuoksi osa tietoturvaominaisuuksista jätetään käyttämättä tai ne ovat vain osittain käytössä. Tästä voidaan ottaa esimerkkinä palvelinlaitteisto, jossa päätelaitetietoturvassa on tingitty esimerkiksi palomuurin tai uusien haittaohjelmien tunnistamisen osalta. Asiakas voi itse asiassa omistaa hyvin paljon hyödyntämättömiä tietoturvamahdollisuuksia.
Mitä minä näen?
Kun tuomiopäivän kauhun viesti näkyy uutisissa esim. kiristysohjelmina moni organisaatio on epätietoinen siitä, onko vastaava mahdollista omassa ympäristössä. Näkyvyyteen panostaminen on mielestäni enemmän päätös suunnittelusta kuin valtava investointi. Kaikki näkyvyyden osa-alueet eivät edellytä valtaisaa käyttöönottoprojektia ja investointeja armadaan konsultointityötä.
Otetaan ihan perusesimerkki inventaariosta. Onko minulla käytössä jotain sovellusta, josta näen päätelaitteissani olevat ohjelmistoversiot? Miten tätä inventaariota voidaan hyödyntää? Olennaista on ymmärtää, että tietoturvahaavoittuvuudet liittyvät aina ohjelmistoversioihin. Jos en tiedä käytössäni olevia ohjelmistoversioita, en tiedä koskeeko tietoturvahaavoittuvuus minua. Jos en tiedä, olen käytännössä sokea.
Lähi- ja kaukonäkö ovat tarpeen
Tietoturvaa tulee suunnitella. Olennaista on hahmottaa, mitä arvokasta liiketoiminnassa suojataan ja miten. Tietoturva on osa laatuajattelua ja siihen liittyvä jatkuva evaluaatio on järkevää. Mielestäni älykäs IT-infrastruktuuri tukee liiketoimintaa tarjoamalla näkyvyyden sovellusten käyttäytymisen kautta. Tämä on oltava tietoinen muutos hankinnoissa. Muutoin meillä on edessä tilanne, jossa tietoturvauhkien tulva muodostaa uhkakuvia, joiden todellista tilaa on vaikea arvioida, koska meillä ei ole näkyvyyttä riittävästi omaan järjestelmiimme.
Dataverkkoja uusitaan jatkuvasti niiden elinkaaren loppuvaiheessa. Pelkän kapasiteetin lisäksi olisi syytä huomioida verkon kautta sovellus- ja tietoturvainformaation hyödyntämistä. Pelkkä tietoliikenneparametrien statistiikka ei kerro paljon, mutta pienelläkin investoinnilla voidaan tarkastella verkon sovellusten tietoturvatilaa, jos tämä vain huomioidaan laitteiden hankintojen yhteydessä. Tätä voidaan tehdä jatkuvana kertaluonteisena toiminteena tai implementoida se osaksi asiakkaan verkon kokonaispalveluita pysyvästi.'