Turvaa Tiedot

Oletko siirtymässä analogisista digitaalisiin rutiineihin ja ratkaisuihin? Varo siinä tapauksessa, etteivät digitaaliratkaisusi ole avoinna kuormitushyökkäyksille, asiakkaiden väärinkäytölle ja aggressiivisille tietomurroille.

Moln_Stralfors_875x580.jpg

Järjestelmäsi yritetään saada nurin internetin kautta ja ihmiset tulevat väärinkäyttämään palveluasi. Siitä voit olla ihan varma, sanoo PostNord Strålforsin IT Security Manager Jörgen Mellberg.

Läheskään kaikki yritykset eivät ole suojautuneet tällaisilta uhkilta riittävän hyvin.

– Tavallisin virhe on se, että yritykset lisäävät turvallisuusaspektin tuotteisiinsa ja palveluihinsa vasta jälkikäteen, Jörgen Mellberg huomauttaa.

Tästä voi olla paljon muutakin haittaa kuin se, että tuotteet ja palvelut ovat aluksi suojaamatta.

– Turvallisuusratkaisuja voi olla vaikeaa ottaa käyttöön jälkikäteen. Joskus yrityksen ratkaisut on jopa suunniteltava kokonaan uudelleen. Näin saatetaan ratkaista jokin tietty turvallisuusuhka, mutta ei kaikkia. Lisäksi turvallisuusratkaisut on aina edullisinta sisällyttää järjestelmään jo alusta alkaen.

Turvallisuusajattelu on tärkeää ottaa mukaan jo palvelun tai tuotteen suunnitteluvaiheessa.

Toinen tavallinen virhe on omatekoisten turvallisuusratkaisujen käyttö. Turvallisuusjärjestelmät ovat yleensä monimutkaisia, minkä vuoksi kaikkea on vaikeaa saada kohdalleen.

– Suunnittelijan on tunnettava turvallisuuden kaikki näkökohdat, ettei mikään pääse unohtumaan– ketju ei ole koskaan vahvempi kuin sen heikoin lenkki. Ilman tarkkaa valvontaa turvallisuutta on myös vaikeaa säilyttää hyvänä tuotteen tai palvelun koko elinkaaren ajan, Jörgen Mellberg toteaa.

– Yritykset tarvitsevat harvoin ratkaisuja, joita ei vielä ole olemassa. On parempi hankkia testattu ja hyväksi todettu turvallisuusjärjestelmä ja integ-roida se yrityksen muuhun järjestelmään.

Analysoi riskit

Jos yritys haluaa välttää riskejä, sen kannattaa varautua kaikkeen ajattelemalla kuin rikollinen. Juuri niin Jörgen Mellberg tekee – hän pyrkii ennakoimaan kaikki mahdolliset turvallisuusuhkat ja estämään siten niiden toteutumisen.

Uhkana ei välttämättä ole pahansuopa hakkeri, joka haluaa anastaa tietosi tai kaataa verkkosivustosi kuormitushyökkäyksellä. Joku saattaa aivan yksinkertaisesti käyttää palveluasi tavalla, jota et tullut ajatelleeksi – esimerkiksi twiittejä Twitterissä automaattisesti julkaiseva robotti.

– Ihmiset käyttävät palveluasi omiin tarpeisiinsa, halusitpa tai et. Tämän tiedostaminen jo alusta alkaen helpottaa palvelujen kehittämistä, Jörgen Mellberg sanoo.

Järjestelmiä suunniteltaessa on sen vuoksi pyrittävä estämään niiden käyttö ei-toivottuihin tarkoituksiin.

– Tämä edellyttää järjestelmän riskien tunnistamista. On tiedettävä, miten järjestelmä on rakennettu ja miten sitä halutaan käyttää. Mitä paremmin voimme ennakoida mahdollisia tapahtumia, sitä turvallisempia ratkaisuja me voimme rakentaa.

Oikea turvallisuustaso

Uhkia on monenlaisia. Yrityksen on mietittävä, tarvitseeko sen suojautua kaikilta olemassa olevilta uhkilta vai ainoastaan vakaviksi luokitelluilta.

– Riskit ja kustannukset on tärkeää saada tasapainoon. Turvallisuustarkastukset on mitoitettava oikein. Liian hyvä turvallisuustaso tulee yritykselle turhan kalliiksi, Jörgen Mellberg sanoo.

Lisäksi liian tiukat turvatoimet voivat pelottaa asiakkaat muualle.

– Olemme tottuneet käyttämään pankkitunnuksia kirjautuessamme verkkopankkiin. Mutta jos yksinkertaisempi ratkaisu olisi yhtä turvallinen, asiakkaat saattaisivat siirtyä siihen.

Sovita turvallisuus toiminnan mukaan

Yrityksen toiminta ratkaisee, millaisia turvallisuusratkaisuja yritys tarvitsee. Jos yritys esimerkiksi tarjoaa sähköisiä palveluja, palvelujen toimivuus on varmennettava redundanssin avulla. Lisäksi on tiedettävä, milloin asiakkaat käyttävät palvelua. Onko kuormitus jatkuvasti yhtä suuri vai huipussaan lyhyitä aikoja vuodesta? Jälkimmäisessä tapauksessa turvallisuusjärjestelmän on selvittävä lyhytaikaisesta suuresta kuormituksesta.

– Se voidaan ratkaista tasaamalla kuormitusta ja suunnittelemalla järjestelmä siten, että se kestää yhtäkkisen suuren ryntäyksen. Jos järjestelmä kaatuu, asiakas siirtyy toiselle toimittajalle, Jörgen Mellberg sanoo.

Voidaanko inhimillisiltä erehdyksiltä suojautua?

– Niiltä ei voi koskaan suojautua 100-prosenttisesti, koska erehtyminen on inhimillistä. Riskiä voidaan kuitenkin vähentää vaatimalla esimerkiksi, että muutosten tekeminen edellyttää kahden henkilön hyväksyntää. Näin toinen henkilö voi havaita toisen mahdollisesti tekemän virheen.

– Automatisoimalla toimintoja voidaan myös vähentää inhimillisten virheiden määrää ja saada sama tulos joka kerta.

Näin pääset alkuun turvallisuustyössä

  • 1. Varmista, että voit saada neuvoja tarvittaessa. Jos yrityksessä ei ole turvallisuusosaamista, käytä ulkoista toimijaa.
  •  2. Laadi ensin turvallisuuspolitiikka, jotta kaikki sekä yrityksen sisällä että sen ulkopuolella tietävät, miten turvallisuusasioista halutaan huolehtia.
  • 3. Tutustu olemassa oleviin säännöstöihin ja turvallisuusstandardeihin, esimerkiksi ISO 27000 -standardiin. Sen osa-alueiden joukosta voit valita ne, joita voidaan soveltaa teidän yritykseenne.
  •  4. Mieti, millaisia uhkia yrityksellä on ja millaisia turvallisuusratkaisuja niiden torjumiseen tarvitaan.
  •  5. Laita uhkat tärkeysjärjestykseen. Jos suurin uhka on tietokapasiteetti, hoida se kuntoon ensin. Ota sen jälkeen käsittelyyn seuraava uhka, esimerkiksi hakkereilta suojautuminen.
  • 6. Hanki jo useita vuosia käytössä ollut hyväksi todettu turvallisuusjärjestelmä. Oman turvallisuusjärjestelmän kehittäminen on hankalaa eikä siihen yleensä kannata ryhtyä.