Viimeaikaiset tietomurrot eivät ole jättäneet kenellekään epäselväksi, kuinka tuhoisia vaikutuksia voikaan olla huonosti hoidetulla kyberturvallisuudella – tai kyberturvattomuudella.
Hyökkääjien ja puolustajien, eli meidän kyberturvakonsulttien ja muiden järjestelmistä huolehtivien fokus on vuosien varrella hieman muuttunut. Aiemmin huolehdittiin lähinnä taloudellisen informaation suojaamisesta, tarkoituksena estää esimerkiksi osavuosikatsausten liian aikainen leviäminen tai sisäpiiritiedon väärinkäyttö. Toimialasta riippuen myös teollisuusoikeudet ja muut liikesalaisuudet ovat olleet kiinnostuksen kohteena. Viime vuosina myös henkilötiedon merkitys suojattavana pääomana on kasvanut. Henkilötiedon arvo ja merkitys on vihdoin ymmärretty tietosuoja-asetuksen ja muun sääntelyn asettaessa selkeämpiä vaatimuksia. Osasyynä on myös se, että digitalisaation myötä yhä enemmän henkilötietoa ja muutakin arkaluonteista tietoa on altistettu verkkoon ja hyökkääjien armoille.
Vuosikymmen sitten ei olisi ehkä tullut mieleenkään, että terapiaistuntojen muistiinpanoja ja muita erittäin arkaluonteisia henkilötietoja olisi edes tarpeen pitää digitaalisessa muodossa, saati sitten internetin kautta saatavilla. Tätä tarvetta voidaan edelleenkin kyseenalaistaa. Mutta varsinkin jos digitalisoinnin tielle päätetään lähteä, tavoittelemaan tiedon saatavuuden ja rajapintojen avaamisen mahdollistamia liiketoimintahyötyjä, täytyy tietysti huolehtia tietopääomien tietoturvasta ja tietosuojasta.
Keinoja tietomurtojen riskienhallintaan
Tietomurtojen riski on siis olemassa ja sen merkitys on ymmärretty. Hyvä niin. Miten näitä riskejä sitten voidaan hallita? Seuraavassa muutamia keinoja, joilla kaltaisemme tietoturvakonsultit pyrkivät riskejä ymmärtämään, pienentämään tai muuten hallitsemaan. Kaikilla näilläkään keinoilla ei välttämättä siltikään pystyttäisi estämään esimerkiksi potilastietoja varastavaa ja niillä uhrejaan kiristävää verkkorikollista, mutta ainakin yritettäisiin tehdä siitä mahdollisimman hankalaa.
1) Missä tieto on ja mitä sillä tehdään?
Ensimmäinen askel on edelleen tunnistaa merkittävimmät tietopääomat, ja ymmärtää niitä käsittelevät järjestelmät. Merkittävyys riippuu organisaation toiminnasta, mutta hyvä olisi huomioida ainakin edellä mainitut henkilötiedot, taloudellinen informaatio, ja liikesalaisuudet. Hyvä lähtökohta ajan tasalla olevan listauksen muodostamiseen on tietosuoja-asetuksen vaatimus, jossa käsittelytoimet (eli ne prosessit, joilla merkittävimpiä tietoja käsitellään) kartoitetaan ja otetaan samalla kantaa mm. niiden säilytysaikaan ja -paikkaan liittyviin vaatimuksiin. Samalla tulee kuin huomaamatta listattua myös ne järjestelmät, joissa tietoja käsitellään ja säilytetään.
2) Miten järjestelmä on tehty?
Tietopääomien ja käsittelytoimien filosofisen luonteen pohtimisen sijaan kunnon konsultti hyppää heti itse asiaan ja pyrkii katsomaan pellin alle. Kun on saatu suunta, mikä tieto on organisaatiossa tärkeintä ja mitkä järjestelmät pelaavat suurinta roolia, voidaan katsoa valittuja järjestelmiä hieman tarkemmin. Toimeksiannosta riippuen, voi olla hyvinkin selvää mitä riskiä ja hyökkäysvektoreita lähdetään minkäkin järjestelmän osalta analysoimaan. Yleensä ei kuitenkaan ole aikaa eikä resursseja tehdä kaiken kattavaa analyysia. Yrityskaupan due diligence on hyvä esimerkki eräänlaisesta epäjatkuvuuskohdasta, jolloin vuosikausien määrätietoisen kehittämisen ja jatkuvan parantamisen sijaan pitäisi saada nopea läpileikkaus tilanteesta, ja jollain tavalla ymmärtää mikä järjestelmien tietoturvan taso oikein on. Haavoittuvuusskannauksilla ja muilla teknisillä toimenpiteillä on tässä tärkeä rooli, mutta kaikkea ei voi skannata, joten nekin olisi osattava kohdistaa oikein.
Mitä varoitusmerkkejä kokenut konsultti sitten ainakin katsoo, jos täydelliseen arkkitehtuurin analyysiin ei ole aikaa?
- Onko järjestelmä jokin tunnettu kaupallinen tuote, vai sisältääkö se itse tehtyjä toiminnallisuuksia?
- Itse rakennetut tai runsaasti räätälöidyt järjestelmät voivat olla digitaalisen kilpailuedun mahdollistajia, mutta useimmiten niihin ei kohdistu yhtä määrämuotoista säännöllistä tietoturvatestaamista tai turvallisen kehittämisen periaatteita. Ei välttämättä aina kaupallisiin tuotteisiinkaan, mutta todennäköisemmin joku on jo joskus arvioinut niiden tietoturvaa ja ehkä löytänytkin korjattavaa.
- Ovatko järjestelmän toimittavat kumppanit (kehitys, ylläpito, liittymät ym.) tunnettuja ja hyvämaineisia vai onko mukana ehkä pienempiä, uudempia ja vähemmän koeteltuja pelureita?
- Toimivilla ulkoistusriskienhallinnan käytännöillä pyritään varmistumaan koko organisaation käyttämien alihankkijoiden riskeistä, myös tietoturvasta. Parhaimmillaan toimittajat on kartoitettu ja niiden toimintaa valvotaan esimerkiksi säännöllisten tarkastusten tai sertifiointien kautta. Mutta aina ei välttämättä edes tiedetä, mitä kaikkia toimittajia järjestelmäkokonaisuudessa käytetään.
- Mitä alustoja tai komponentteja järjestelmä käyttää?
- Vanhentuneet teknologiat ovat omiaan luomaan hyökkääjille mahdollisuuksia. Pahimmillaan esimerkiksi järjestelmän käyttämiä käyttöjärjestelmiä tai tietokanta-alustoja ei ole päivitetty vuosiin, tai valmistaja ei enää edes ylläpidä niitä ja tarjoa viimeisimpiä paikkauksia mahdollisesti havaittuihin haavoittuvuuksiin. Syvällisempi arkkitehtuurianalyysi voi paljastaa puutteita kattavammin, mutta ainakin käyttöjärjestelmän ja tietokannan versionumerot ovat oiva ”parasta ennen -päiväys” riskien tunnistamiseksi.
- Missä data maantieteellisesti sijaitsee?
- Pakota selvittämään, missä tieto on fyysisesti. Kuten sanonta kuuluu, pilvi on vain jonkun muun tietokone. Henkilötietojen säilyttäminen Euroopan talousalueen ulkopuolella voi olla hankalaa, jopa laitonta. Säilyttämisen lisäksi olisi syytä ymmärtää mistä tietoon pääsee käsiksi. Esimerkiksi Intiasta ei saa ylläpitää kaikkia järjestelmiä, ilman erityisiä toimia tiedon suojaamiseksi. Riski piilee regulaation lisäksi siinä, miten eri alueen palveluntarjoaja kohtelee eurooppalaisia käytäntöjä. Esimerkiksi yhdysvaltalaisen pilvipalvelun tarjoajan ei välttämättä ole pakko vastata tietopyyntöihin yhtä nopeasti mitä täällä päin tarvitsisi, saati luovuttaa tietoja takaisin palvelusopimuksen päättyessä.
3) Entä jos käy jotain?
Viimeisenä pika-analyysin vaiheena on varmistua tiedon ja järjestelmien jatkuvuus- toipumis- ja kriisinhallintamenettelyistä. Kaikkia tietoon kohdistuvia riskejä ei pystytä kokonaan eliminoimaan, mutta hyvillä suunnitelmilla ja harjoittelulla voidaan mahdollistaa oikea toiminta sitten, jos ja kun jotain tapahtuu. IT-alalla ovat olleet jo arkipäivää varmuuskopiointi, tiedon peilaus, sekä muut jatkuvuus- ja toipumissuunnitelmien sisältämät käytännöt. Joillekin toimialoille vasta tietosuoja-asetus GDPR toi ajatuksen siitä, että tietomurtoihin kannattaa varautua teknisen palautumisen lisäksi myös henkilöiden näkökulmasta. GDPR-seuraamusmaksujen ja muiden taloudellisten vahinkojen välttämiseksi on ainakin henkilötiedon käsittelijöillä oltava selkeät toimintatavat mietittyinä tietomurroista ilmoittamiselle. Asetus itsessään jo ohjeistaa tapaukset, joissa tietomurrosta on ilmoitettava viranomaisille ja joissain tapauksissa myös rekisteröidyille henkilöille itselleen. Kuten viimeaikaisesta uutisoinnista on huomattu, tietomurron kohteille ilmoittamisesta luistaminen saattaa pahimmillaan aiheuttaa inhimillistä kärsimystä ja lopunkin luottamuksen menettämistä. Tietosuojavastaavan toimisto ja seuraamuskollegio varmasti käsittelee näitä tapauksia jälkikäteen, mutta ilmoitusvelvollisuutta pitäisi pystyä noudattamaan muutenkin kuin GDPR-sakkojen pelossa.
