Blogi: Miten PK-yritykset turvaavat tietonsa

Tietoturvallisuus

Tietoturvallisuus kattaa kaikki tiedon turvaamisen teoriat ja keinot. Tavoitteena on torjua uhat, välttää vahingot ja minimoida riskit. Digitaalinen turvallisuus on tärkeä osa tietoturvallisuutta. Massadata ja yleisen tietoturva-asetuksen uudistus ovat tuoneet tietoturva-asiat myös suuren yleisön tietoisuuteen.

Varonis Global Data Risk Report 2018 -tutkimus osoitti, että yhden haittaohjelmahyökkäyksen aiheuttamien tuhojen korjaaminen maksaa yritykselle keskimäärin 2,4 miljoonaa dollaria. On paljon järkevämpää välttää riskit ennakoivasti ja sijoittaa teknisiin tietoturvaratkaisuihin. Monet yritykset toimivat juuri niin, ja yritysten kokonaisinvestoinnit tietoturvaan ovatkin nousseet 102 miljardista dollarista 124 miljardiin dollariin kahden viime vuoden aikana.

Miksi PK-yritysten kannattaa pelata varman päälle

”Enää ei ole kyse siitä, joutuuko yritys hyökkäyksen kohteeksi, vaan ennemminkin siitä, milloin se tapahtuu. Riippumatta yrityksen koosta”, sanoo Florian Goldenstein, Konica Minoltan Saksan liiketoimintaratkaisujen tietoturvallisuusjohtaja. ”Suuret yritykset parantavat jatkuvasti valmiuttaan kohdata hyökkäyksiä. Siksi kyberrikolliset ovat kääntäneet katseensa pienten ja keskisuurten yritysten suuntaan”, tietoturva-asiantuntija summaa.

Yritykset ovat itse asiassa helppoa riistaa. Yllä mainitussa tutkimuksessa noin kolme neljäsosaa kaikista yrityksistä myönsi, että ne käsittelevät yli tuhatta vanhentunutta arkaluontoista tiedostoa, jotka aiheuttavat suuren tietoturvariskin. Kaikista yrityksistä jopa 41 % kertoi, että niillä on arkaluontoisia tietokantoja, kuten luottokorttinumeroita tai lääketieteellisiä dokumentteja, joita ei ole suojattu mitenkään.

Datan määrä kasvaa huimasti vuoteen 2025 mennessä

Statista GmbH:n vuosittain tuotetun digitaalisen datamäärän tilastoista voi päätellä, kuinka tärkeää tietoturvallisuus on nyt ja tulevaisuudessa. Tiedon määrän ennustetaan kasvavan vuoden 2018 tasosta eli 33 zetatavusta 175 zetatavuun vuoteen 2025 mennessä. Yksi zetatavu vastaa 1 000 exatavua. Numeroksi kirjoitettuna se olisi yksi ykkönen ja 21 nollaa.

IDC:n ja Seagaten Data Age 2025 -tutkimus olettaa tiedon määrän kasvavan huomattavasti vuoteen 2025 mennessä. Kun tähän mennessä loppukäyttäjät ovat tuottaneet suurimman osan maailmassa tuotetusta datasta, tutkimus osoittaa, että dataa saattavatkin tulevaisuudessa tuottaa enimmäkseen yritykset. Asiantuntijat odottavat yritysten tuottavan noin 60 % maailmanlaajuisesta datan määrästä vuonna 2025. Tutkimuksen mukaan loppukäyttäjät tulevat olemaan vuorovaikutuksessa verkkoon kytkettyjen laitteiden kanssa keskimäärin 4 800 kertaa päivässä vuonna 2025 pelkästään esineiden internetin (IoT) kautta. Ja kaikki tuo data on turvattava.

Datan määrän kasvu vaatii tietosuojaa ja -turvaa

Jotta datan määrän kasvua ja entistä suurempia datamääriä voitaisiin hallita tietoturvallisesti, täytyy yhdistää kaksi tärkeää konseptia: tietosuoja ja tietoturva. Näitä termejä käytetään usein toistensa synonyymeina, mutta niillä on pieni merkitysero. Ne määritellään seuraavasti:

• Tietosuojauksen määritelmä:
  Tietosuojaus takaa jokaiselle kansalaiselle oikeuden määrätä omien tietojensa käytöstä ja suojaa kansalaisia henkilötietojen väärinkäytöltä. Se, voidaanko tietoa kerätä ja mitä tietoa voidaan kerätä ja käsitellä kuuluu myös tietosuojan piiriin.
  
• Tietoturvan määritelmä:
  Tietoturva viittaa teknisiin ratkaisuihin ja organisatorisiin tietoturvakeinoihin, joilla turvataan hallinnollista tietoa ja yritystietoa. Se määrittää ja määrää mitä keinoja tiedon turvaamiseen käytetään. Tietoturvallisuus taas kattaa kaikenlaiset tallennetut tiedot.
  

Tietoturva määrittelee holistiset päämäärät

Oli kyseessä sitten henkilötiedot tai kehitykseen, tuotantoon tai asiakkaisiin liittyvät tiedot, tietoturvassa tulee ottaa huomioon lukuisia eri tekijöitä, jotta yrityksen kallisarvoiset tiedot pysyvät turvassa hakkereilta ja kyberhyökkäyksiltä. Tältä pohjalta tietoturvalle määritellään kattavat tavoitteet, jotta kaikkiin tarpeisiin voidaan vastata.

Tietoturvan tärkeimmät tavoitteet:

• tietojen väärinkäytön ehkäisy, esimerkiksi tietojen vahingoittuminen, poistaminen tai varkaus
• paras mahdollinen turva ulkoisia uhkia, kuten kyberhyökkäyksiä, vastaan
• huolellinen sisäinen turva, joka hallinnoi työntekijöiden pääsy- ja käyttöoikeuksia; tämä on tärkeä luottamuksellisuuden kulmakivi
• tiukasta tietoturvasta huolimatta yrityksen tietoihin tulee olla pääsy kaiken aikaa
• lisäksi on tietenkin varmistettava datan aitous
• ja tietoturvan on vielä viimeiseksi varmistettava, että kaikki tieto on ja pysyy vahingoittumattomana (tiedon eheys).

Ammattimaiset tietoturvan konseptit ja keinot ovat elintärkeitä

Strategisesti suunnitellut tietoturvakonseptit ja -toimenpiteet ottavat kaikki nämä tavoitteet huomioon ja tarkastelevat tietoturvaa kokonaisvaltaisesti. Se on oleellista, sillä IT-asiantuntijat tietävät kokemuksesta, että mitä enemmän tiedolla voi tehdä, sitä enemmän sillä voi tehdä pahaa. Toisin sanoen jos data on sinulle tärkeää, se voi olla tärkeää myös jollekulle muulle.

IT-ympäristöt ja -rakenteet ovat nykyään teknisesti monimutkaisia. Monet yrityksen työnkuluista on järjestetty yli maarajojen, niin että dataa voidaan käyttää ja jakaa kansainvälisesti.

Pienet ja suuret yritykset sopeutuvat uuteen tilanteeseen kiihtyvää vauhtia kasvamalla ja työskentelemällä entistä tehokkaammin. Valitettavasti työnteon ja tuotannon uudet keinot tuovat mukanaan myös uusia haavoittuvaisuuksia.

Tietoturvatoimenpiteet: tunnetko jo nämä viisi toimenpidettä?

Integroitu tietoturvakonsepti koostuu useista erilaisista, tehokkaista toimenpiteistä. Toimenpiteisiin kuuluu muun muassa seuraavat viisi teemaa, joita tulisi pohtia tietoturvan näkökulmasta: 

1. Verkkojen ja niiden reunojen suojaus
   Tähän sisältyvät palomuurien kaltaiset tietoturvatoimenpiteet. Palomuurit ovat turvallisuusjärjestelmiä, jotka suojaavat yksittäisiä tietokoneita tai tietokoneverkkoja luvattomalta pääsyltä. Tämä taso kattaa myös salausteknologian.
   
2. Päätelaitteiden tietoturva
   Tämä sisältää yrityksen sisäiset salasanat, virustorjunnan ja roskapostinestotoimet.
   
3. Todennusteknologia
   On myös tärkeää, että kaikki yrityksen tiedot suojataan tietoturvallisella pääsynvalvonnalla.
   
4. Suojaus tietojen menetykseltä
   Kyberhyökkäykset, sähkökatkot, oikosulut tai tulipalot – yllättävä tietojen menetys voi johtua monestakin syystä. Tietojen menetyksen syitä voi tutkia protokollien, lokitiedostojen ja varmuuskopiointityökalujen avulla, kun taas varmuuskopiointiohjelmistot varmistavat, että kaikesta datasta löytyy tietoturvalliset kopiot.
   
5. Tietoturva ja tiedonsiirto
   Tietoturvallinen tiedonsiirto on elintärkeää sisäisen ja ulkoisen viestinnän ja yhteistyön kannalta. 

Hyvät tietoturvakonseptit ottavat myös inhimillisen tekijän huomioon

Tietoturvauhat eivät rajoitu haittaohjelmiin ja hakkereihin. Tästä syystä kokonaisvaltaisen, ammattimaisen tietoturvan tuleekin sisältää koulutusta kaikille työntekijöille.

Inhimilliset tekijät ovat yksi tietoturvan suurista heikkouksista: muun muassa tiedon puute johtaa haittaohjelmilla saastutettujen liitteiden availuun tai vaarallisten linkkien napsautteluun.

Florian Goldenstein, Konica Minoltan tietoturvajohtaja

Työskentelipä työntekijä sitten hankintaosastolla, myynnissä, asiakaspalvelussa tai kehitystiimissä, hänen tulisi ymmärtää, että tietoturva on yksi yrityksen menestyksen keskeisimmistä tekijöistä, etenkin nyt kun datan määrä maailmassa kasvaa hurjaa vauhtia. On erittäin tärkeää, että jokainen tuntee yrityksen sisäiset tietoturvastandardit ja tietää, mitä tehdä kun tietoturva on uhattuna.

Läpinäkyvä IT-infrastruktuuri on kaiken A ja O

Sujuvasti toimivan tietoturvan perusvaatimus on selkeä ja läpinäkyvä infrastruktuuri.

Seuraavat osat ovat keskeisessä osassa hyvin suunnitellussa IT-infrastruktuurissa:

• yrityksen omat palvelimet/suojatut datakeskukset
• pilvipohjaiset ratkaisut
• tietoturva/suojaus järjestelmävirheitä/virheitä vastaan
• riskianalyysi/suojaustarpeiden analyysi, käyttölupien hallinta, päätelaitteiden tietoturvaratkaisut, mobiililaitteiden hallinta
• verkot/verkkoturvallisuus.

Tietoturvatoimenpiteisiin kuuluu myös tehokas palokunta: turvaa tulevaisuutesi nopealla reagoinnilla

PK-yrityksellä on asiat hyvin, jos se on varautunut toimimaan mahdollisimman nopeasti jopa yllättävän kyberhyökkäyksen aikana. Yllättäviin ongelmiin voi valmistautua määrittelemällä strategisen reagointiprosessin ja vahvistamalla sitä. Hyökkäyksen sattuessa haittaohjelmat voidaan havaita nopeasti ja niiden aiheuttamia vahinkoja rajoittaa.

Hyökkäyksen, torjunnan ja mahdollisen korjauksen jälkeen asiantuntevia tietoturva-asiantuntijoita tarvitaan vaiheeseen, jossa käydään onnettomuudesta opitut asiat läpi. Varta vasten tällaisia tapauksia varten koulutetut asiantuntijat käyttävät rikosteknisiä keinoja ja toimenpiteitä löytääkseen ne heikot kohdat, joiden takia yritys joutui hyökkäyksen kohteeksi. Lisäksi he analysoivat saastuneet järjestelmät seuratakseen hyökkäyksen reittiä. Analyysin perusteella muodostetaan strategia, jonka avulla data voidaan suojata vastaavia hyökkäyksiä vastaan paremmin.

Sellaiset PK-yritykset, jotka testaavat kaikkia tietoturvatoimenpiteitään ja -järjestelmiään säännöllisesti pelaavat varman päälle. Näin kallisarvoinen data on paremmassa turvassa pitkällä aikavälillä ja yrityksen senhetkistä tietoturvan tilaa voidaan arvioida milloin tahansa.

Tutustu, miten tietoturvapalvelut auttavat suojaamaan liiketoimintasi.