Marskidata logo
Marskidata logo
Ota yhteyttä

On varmasti monia esteitä siihen, ettei myyjän ja asiakkaan välinen vuorovaikutuksellinen ja luottamuksellinen keskustelu synny tai vaikkapa tietoturvaan liittyvistä asioista keskustelu ei vain saa tuulta purjeiden alle. Kokemuksesta väittäisin usein syyksi yhden merkittävän haitan keskustelussa. Vaikka myyjä haluaa myydä, ei keskustelu sido asiakasta ostamaan mitään. Mutta keskustelu myyjän kanssa voi olla asiakkaan kannalta monin verroin merkityksellisempää, mitä aluksi voisi luulla. Lue siis eteenpäin, niin kerron mikä on tämä yksi merkittävä haitta keskustelussa.

Tuskallinen tarina

Lähdetään liikkeelle tarinalla myyntinaisesta nimeltä Tiina ja hänen asiakastaan Ismosta. IT-päällikkö Ismo tapasi IT-myyjä Tiinan toimistollaan. Tiina yritti keskustella Ismon kanssa tietoturvan tilasta, mutta Ismo torppasi keskustelun useaan otteeseen todeten, että ”kaikki on meillä kunnossa. Meillä on IT-palveluille toimittaja, joka hoitaa myös tietoturvan ja kaikki on täysin kunnossa”. Keskustelut jäivät ”torsoksi”, mutta myyjän kanssa hierottiin lopulta kauppaa työasemien elinkaaripalvelusta.

Kuukausia eteenpäin

Tiinan myymä elinkaaripalvelu otettiin käyttöön Ismon työpaikalla, mutta samoihin aikoihin yhtiön toiminta lamaantui yllättäen. Yhtiön palvelimet kryptattiin ja yhtiön sähköpostiosoitteista alkoi virrata sidosryhmille sekä asiakkaille kalasteluviestejä ja asiattomia ”törkyviestejä”. Mainehaitta alkoi kasvaa tunti tunnilta. Yrityksen johto vaikutti hätääntyneeltä ja tunnelma töissä kaoottiselta.

Ismo soitteli toistuvasti IT-palveluntarjoajalleen, mutta apua ei tuntunut tulevan helpolla. Ismo vaati apua vasteajalla ”heti”. Lopulta useamman tunnin jälkeen palveluntarjoaja teki selväksi, että he ovat toimittaneet palomuurit ja tietoturvalisenssejä Ismon edustamalle firmalle, mutta ei sen kummempaa. Ismo alkoi ymmärtää, että tosipaikan tullen ei ollut vasteaikaa mihin tukeutua. Palveluntarjoajan kanssa oli toki sovittu perustason IT-tuesta neljän tunnin vasteajalla, mutta tietoturvaan liittyvä reagointi oli tämän ulkopuolella. Toimittajalta toki sai sitä, mutta ilman sitoumusta nopeaan vasteaikaan.

Todellinen tietoturvan tilanne

Tietoturva Ismon työpaikalla osoittautui olevan sitä luokkaa, että lisenssejä oli asennettu työasemille ja palomuurit löytyivät. Juuri muuta ei oltukaan tehty, eikä aitoon hätään varauduttu. Tietoturvapuolelle ei ollut hankittu reagointipalvelua kireällä vasteajalla. Ismo ymmärsi, että kun tästä todella isolla rahamäärällä selviydytään ja suuren liiketoimintahaitan kautta, niin johtoryhmä haluaa selityksen yrityksen tietoturvan tasosta. Silloin Ismo muisti keskustelunsa Tiinan kanssa. Tiina halusi puhua tietoturvasta ja hänellä olisi selvästi ollut ratkaisuja tietoturvan kehittämiseen. Aitoa reagointia ja suojautumista.

Mikä on tarinan opetus?

Olettamus ja olettamisen mukanaan tuoma pettymys tai suoranainen epäonnistuminen. Tässä tarinassa olettaminen on johtanut olettajaa harhaan; Ismo oletti tietoturva-asioiden olevan kunnossa. Olisiko paremmin sujunut keskustelu tietoturvasta voinut estää epäonnistumisen, mainehaitan ja rahallisen tappion? Väitän, että vuorovaikutteisella keskustelulla olisi voitu välttyä jopa tämän kaltaiselta tilanteelta. Keskustelun jälkeen Ismon ratkaistavaksi olisi jäänyt joko kiristää vaatimuksia nykyisen palvelutuottajan suuntaan tai vaihtaa Tiinan edustamaan yritykseen, joka jo ensi metreillä osoitti aitoa halua auttaa asiakastaan ja varmistaa Ismon yrityksen hyvän tietoturvan tason.

Myyjän näkökulmasta

Olen tehnyt yli 14 vuotta B2B-myyntiä ja huomannut olettamisen olevan läsnä loppujen lopuksi myynnin kaikissa vaiheissa. Esimerkiksi myyntisyklin alkupäässä kuulemme usein keskustelua kylmäsoittojen ja asiakaskontaktoinnin vaikeudesta, koska myyjä olettaa: ”ei se asiakas kuitenkaan vastaa” tai ”ei se asiakas tällaiseen ’spiikkiin’ lämpene”. Myyjän on luotettava ammattitaitoonsa ja siihen, että halu auttaa asiakasta hänelle merkityksellisissä haasteissa, tuottaa kyllä tulosta. Ei aina, mutta tarkka asiakas kyllä tunnistaa sen hyvän kaverin, jonka kanssa kannattaa tehdä yhteistyötä. Myyjän ei kannata myöskään olettaa, että asiakas muistaa kaiken palaverissa käydyn asian. Asioita täytyy käydä läpi aika ajoin uudestaan ja myyntityö on erityisen vahvasti laji, jossa perusasioista kiinnipitäminen johtaa menestykseen.

Asiakkaan näkökulmasta

Asiakkaan ei myöskään kannata olettaa liikaa asioita. Kun tehdään tarjouspyyntöjä ja kilpailutuksia, jotka johtavat täysin päättömiin tai vertailukelvottomiin tarjouksiin toimittajilta, niin kaikki tuhlaavat aikaansa. Todennäköisesti jokainen osapuoli lopulta pettyy. Lisäksi voidaan sanoa, että kun jonkin osa-alueen oletetaan olevan kunnossa (mutta ei kuitenkaan oikeasti tutkita onko), niin huomiota ei keskitetä asiaan, johon ehkä kannattaisi. Pitää olla luotettava IT-kumppani ja osaava kaveri kertomaan, mitä kannattaisi harkita tai mitä olisi syytä ottaa huomioon.

Inhimillistä todellisuutta

Vuosien varrella olen nähnyt itse tietoturvan suhteen järkyttävässä kunnossa olevia ympäristöjä. Esimerkiksi palveluita, joista asiakkaat maksavat, mutta jotka eivät sitten tosipaikassa kuitenkaan toimi. Olen nähnyt tehtaan, joiden liukuhihnat voisi pysäyttää tien toiselta puolelta perustasoisen teini-ikäisen hakkerin toimesta. Olen nähnyt toimistohotellin, jonka asiakasyhtiöiden verkot olivat täysin avoimia kaikille. Olen nähnyt finanssialan toimijan, jonka asiakasrekisterit olivat suojaamatta avoimessa verkossa ja vielä pahan tietomurron, sekä sitä seuranneen mainehaitankin jälkeen ”kaikki oli kunnossa: ei tarvitse edes keskustella tietoturvasta”. Kaikissa näissä tapauksissa kaiken takana on ollut ihmisiä, jotka ovat olettaneet kaiken olevan niin kunnossa, ettei kannata edes keskustella aiheesta.

”Älä oleta ja tee tätä virhettä, vaan keskustele! Tarkistamalla asiat selviävät.”

Ole utelias ratkaisujen suhteen

Mikä olisi mielestäni oikea ratkaisu tähän koko teemaan? Kiteytän sen tähän. Asiakas: älä oleta, vaan selvitä ja keskustele. Ole utelias ratkaisujen ja muuttuvan maailman suhteen. Myyjä: älä oleta, vaan toimi, toista ja pidä perusasioista kiinni.

Meillä ei ole mahdollisuutta höllätä tietoturvan suhteen, vaan on varmistettava asioiden oikea laita. Edelleen asiakas päättää ja myyjä kuuntelee, sekä osoittaa asiantuntijuutta tarjoamalla asiakkaan IT-ympäristöön tai asiakkaan kulloinkin olevaan tarpeeseen järkeviä ja kustannustehokkaita ratkaisuja. Niin hyvä ja asiantunteva IT-kumppani toimii.

PS. Sinua saattaa kiinnostaa myös kollegani Arton blogit Tietoturva päättäjän näkökulmasta, osa 1 ja osa 2. Lue lisää Marskidatan palveluista Tietoturva ja IT-palvelut yrityksille. Tutustu myös asiakastarinaan Arbonaut valitsi Marskidatan tietoturvansa vahvistajaksi ja Mastsystem on tyytyväinen kokonaisvaltaisen IT-kumppanin palvelualttiuteen.

Niin ja ole yhteydessä meidän hyviin tyyppeihin myyntitiimissä myynti@marskidata.fi.

Edellisessä blogissani Tietoturva päättäjän näkökulmasta, osa 1 käsittelin sitä, että tietoturvaa ei voida enää tänä päivänä sivuttaa tai toteuttaa välttämättömänä pahana, vaan yritysjohdon tulee herätä todellisuuteen. Keskisuurissa ja suurissa yrityksissä tietoturva vieritetään usein IT-osaston vastuulle. IT-osaston koko on yleisesti 1–2 asiantuntijaa 100 työntekijää kohden, pienemmissä yrityksissä IT on lähes aina ulkoistettu kumppanille ja toimiston ”osaavin kaveri” hoitaa IT-osastoa oman työn ohella. Vastuu on aina kuitenkin johdolla ja tietoturvauhat koskevat kaiken kokoisia yrityksiä. Blogin tässä osassa mietimme, ovatko tietoturvan resurssit riittävät? Käymme läpi johdon vastuuta liiketoimintariskin ja hallinnollisen tietoturvan näkökulmasta.

Liiketoimintariskit

Mikä sitten on tämän sisäisen IT-osaston tai ulkoisen kumppanin kompetenssi vastata tietoturvasta? Samaisten viimeisen kymmenen vuoden aikana olen Account Managerina toimiessani tavannut satoja yritysten IT-vastaavia, joiden kaikkien tehtävänä on yksiselitteisesti pitää yrityksen IT-ympäristö toimintakykyisenä. He vaihtavat patterit hiireesi, ottavat sähköpostin käyttöön uuteen puhelimeesi, palauttavat unohtuneet salasanasi ja niin edelleen. Päivittäinen työkuorma on yleisesti sillä tasolla, ettei osaamisen kehittämiseen esimerkiksi tietoturvan saralla jää aikaa. Vajaan 18 vuoden aikana olen törmännyt vain kahteen IT-vastaavaan, jolla on ollut voimassa oleva sertifikaatti käytössä olevan tietoturvasovelluksen asiantuntijuuteen.

Riskien minimoimiseksi tietoturva tulisi rakentaa ja kehittää asianmukaisen mallin avulla. Tässä mallissa yritysten tietoturva rakentuu yleisesti kumppaneiden sertifioitujen asiantuntijoiden osaamisen hyödyntämiseen. Tällöin kumppanin verkkoasiantuntijat asentavat uuden palomuurin ja vastaavat ohjelmiston päivittämisestä palomuuripalvelun mukaisesti, päätelaitesuojaukseen on hankittu lisenssit kumppanilta, joissa asennuksen ja käyttöönoton hoitaa päätelaitesuojausohjelmistoon sertifioitu asiantuntija. Yrityksen IT- vastaavasta tulee pääkäyttäjä, jolle kumppani toimittaa korkeintaan raportit sovellusten keräämistä tapahtumista, ellei muuta ole sovittu.

Tekniseen tietoturvaan sertifioidut asiantuntijat pitävät osaamistaan yllä jatkuvasti, mihin yritysten IT-vastaavilla ei yksinkertaisesti ole mahdollisuutta. Teknisessä tietoturvassa vuosi on pitkä aika. Ratkaisuja tulee päivittää jatkuvalla syötöllä uhkien muuttuessa kiihtyvällä vauhdilla.

Tässä päästään yrityksissä yhden ongelman ytimeen: Tietoturvaa ei saada kerralla kuntoon, projektinomaisesti. Yrityksen tulisi prosessinomaisesti kehittää tietoturvaansa jatkuvasti ja sen tulisi olla osa yrityksen kulttuuria. 

Riskien hallinta

Miten päättäjän sitten tulisi toimia vastuullaan olevan tietoturvan suhteen? Tietoturvan teknisiin yksityiskohtiin on turha käyttäjätason osaamisella keskittyä, sen sijaan tulisi keskittyä kysymykseen riskistä. Mitä nämä yrityksen toimintaan liittyvät riskit voisivat olla?

Yrityksen johto vastaa siitä, että yritys toimii liikeidean mukaisesti ja toimitusjohtaja vastaa toiminnan tuloksesta. Jos yhden hiiren klikkaus johtaa 2–3 päivän tuotannon pysähdykseen, menetetään noin 1 % vuotuisesta liikevaihdosta ja tuloksesta, menetettyinä työpäivinä. Mikäli yrityksen arkaluontoisia tietoja päätyy esimerkiksi mediaan, voiko tämä maineen menetys johtaa tärkeimmän asiakkaan tai kumppanin menettämiseen ja mikä vaikutus sillä on yrityksen liikevaihtoon? Muistutan vielä, että GDPR- ja NIS2-sääntöjen rikkominen voi johtaa oikeudellisiin seurauksiin.

Onnistunut tietoturva

Liiketoimintariskin kannalta yritysjohdon tulee huolehtia omanaan siitä, että hallinnollinen tietoturva on kunnossa. Hallinnollinen tietoturva kattaa politiikan, menettelytavat ja toimintatavat, joita yritys toteuttaa tietoturvan parantamiseksi. Se sisältää esimerkiksi tietoturvapolitiikan, tietoturvasuunnitelman, riskienhallinnan, palautumissuunnitelman ja käyttöoikeuksien hallinnan. Järeimmillään yritys voi standardoida tietoturvansa osaksi kaikkea toimintaa, kansainväliseen tietoturvanhallinta standardiin ISO27001 (ISO/IEC 27000 Tietoturvallisuuden standardisarja). Tietoturva on niin vahva, mitä sen heikoin linkki on.

Siksi onnistunut tietoturva huomioi kaikki osa-alueet:

Järkikäteen resurssoinnissa

IT ja tietoturva mielletään helposti samaksi asiaksi, mutta eivät ne sitä ole, vaan kulkevat hyvin käsi kädessä ja päällekkäin, esimerkiksi ohjelmistopäivitykset ovat osa toimivaa IT- ympäristöä käytännön tasolla ja todella merkittävä osa tietoturvaa. Yritysjohdon olisi kuitenkin hyvä käsitellä näitä kahtena eri aiheena ainakin budjetoinnissa, hyvin usein tietoturvabudjetti on osa IT-hankintoja.

Mikä tietoturvassa sitten maksaa? Tietoturva ja siihen liittyvät palvelut vaativat aina korkeimman tason asiantuntijaosaamista. Tehty työ taas ei näy loppukäyttäjälle. Ensimmäisessä blogin osassa alussa mainitsemani epäilyttävä sähköposti on merkki siitä, ettei tekniset tietoturvaratkaisut toimi optimaalisesti, toimivassa ratkaisussa loppukäyttäjä ei edes saa epäilyttävää sähköpostia Saapuneet-kansioonsa. Tämän pienen näkyvän muutoksen eteen on mahdollisesti jouduttu hankkimaan uutta tekniikkaa ja sen käyttöönottoon tehty useampi päivä töitä. Korkean teknisen tietoturvatason ratkaisuissa nähdään, mitä kaikkialla yrityksen verkossa tapahtuu reaaliaikaisesti, mahdollisiin lauenneisiin uhkiin pystytään vastaamaan minuuteissa ja valvonta tapahtuu 24/7.

Tämän kaltaisten täyden valvonnan ja reagointipalveluiden kustannus on laajuudesta huolimatta keskimäärin vähemmän kuin yhden uuden työntekijän palkkakulut kuukausitasolla ja todennäköisesti paljon vähemmän kuin vaihtoehtoinen kustannus 1 % liikevaihdosta, mikäli tuotanto pysähtyy.

Marskidata IT-kumppanina

Marskidatan asiantuntijat auttavat yrityksen tietoturvan parantamisessa, tietoturvan alkukartoituksesta aina hallinnon konsultointiin, jolla luomme asiakaskohtaisen tietoturvapolun kehittyvälle tietoturvaprosessille. IT-kumppanina meillä on mahdollista täydentää palveluitamme kattavilla teknisillä tietoturvaratkaisuilla, jotka täyttävät myös NIS2-vaatimukset.

Tutustu asiakastarinaan Lakan Betoni sai tietoturvan kehityssuunnitelman Health Checkin myötä. Lue lisää NIS2-direktiivistä sivultamme OLETKO VALMIS NIS2-direktiiviin? ja tutustu palveluihimme Tietoturva.

Ota meihin yhteyttä, me autamme sinua!

Yritysjohdon, johtoryhmän jäsenten tai yksittäisen toimitusjohtajan ymmärrys tietoturvasta tulisi olla käyttäjän tasoa ylemmällä tasolla. Käyttäjä esimerkiksi ymmärtää olla avaamatta epäilyttävän näköisen sähköpostin, ehkä, mikäli sellainen sähköpostilaatikon Saapuneet-kansioon ilmestyy. Yritysjohdon tulee hallita erittäin monimutkaista kokonaisuutta nimeltä Yrityksen tietoturva. Jos ymmärrys tietoturvasta on käyttäjän tasolla, kuinka päättäjä osaa tehdä oikeat hankintapäätökset tarvittavista tietoturvatekniikoista tai muodostaa yrityksen säännöistä ja käytänteistä tietoturvapolitiikan, jota yritys noudattaa kaikessa tekemisessään?

Vastuu on kannettava

Vastuu yrityksen tietoturvasta on aina yrityksen johdolla, hallituksella ja toimitusjohtajalla myös henkilökohtaisesti. Yrityksen oma IT-osasto tai IT-kumppani ei ole vastuussa tietosuojaloukkauksista tai tietomurroista. NIS2-direktiivin ja tulevan lain mukaan yrityksen johto vastaa kyberturvallisuuden riskienhallinnan valvonnan ja toteuttamisen järjestämisestä. Se myös hyväksyy riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Yrityksen johdolla tulee olla riittävä perehtyneisyys kyberturvallisuuden riskienhallintaan.

Harmillista onkin todeta, että kokemukseni mukaan suhtautuminen NIS2-direktiiviin on vieläkin suurella osalla yrityksiä varsin välinpitämätöntä. Kysyttäessä, miten asiaan on valmistauduttu, vastaus on hyvin usein:

 ”Tulkintamme mukaan, se ei koske meitä.”

Vastaus on jokseenkin hämmentävä, sillä eikö tietoturvan parantaminen aiheuta toimenpiteitä, ellei se koske kyseistä yritystä suoraan lainsäädännön puitteissa?

Vaadittava tietoturvan taso

NIS2-direktiiviin kuuluvien yrityksien vastuu toimitusketjun tietoturvasta tulee huomioida. Marskidata on esimerkiksi saanut useita yhteydenottoja koskien asiakkaidemme kumppanien lähettämiä selvityspyyntöjä koskien asiakkaidemme tietoturvaa. Lähettäjien joukossa on esimerkiksi suuria vähittäiskauppaketjuja, kuntahankinta yhteenliittymiä tai suuria metsä- ja metallialan yrityksiä. Kyselyt pohjautuvat usein kansainväliseen tietoturvanhallintastandardiin ISO27001 (ISO/IEC 27000 Tietoturvallisuuden standardisarja) tai Yhdysvaltain standardisointi- ja teknologiainstituutin (NIST) standardeihin. On pääteltävissä, että kaikki kyseisten tahojen kumppanit saavat samaisen kyselyn täytettäväksi, sillä vastaanottajaorganisaatioiden koot voivat vaihdella muutamasta hengestä satoihin työntekijöihin.

Mitä tapahtuu, mikäli yritys ei täytä kyselyn mukaista ”tietoturvatasoa”?

Esimerkiksi yhdessä tapauksessa 25 kohdan kyselyssä viisi kohtaa oli asetettu pakolliseksi ehdoksi edetä tarjouskilpailuun ja näiden kohtien toteutuminen tulee pystyä näyttämään toteen. Tietoturva tai sen asianmukainen hallinta muodostavat näin ollen liiketoimintariskin yrityksen toiminnalle. Standardisoitu ja jatkuvan kehityksen prosessissa oleva yrityksen tietoturva toimii varmasti yrityksen kilpailuetuna.

Tietoturva megatrendiksi

Viimeisen kymmenen vuoden aikana moni yritys on pohtinut vaikutustaan ympäristöön ja omaa vastuullisuuttaan. Tämä on johtanut valtaisaan aaltoon standardoida yrityksen toiminta ympäristöjohtamisen standardin ISO 14001 täyttäväksi (ISO 14000 Ympäristöjohtamisen standardisarja). Tämä on johtunut osittain julkisesta sekä sisäisestä paineesta vihreän siirtymän aikakaudella. Vastaavaa ei ole tapahtunut yrityksissä tietoturvan puolella, vaikka kuukausittain saamme lukea mediasta hakkeroiduista yrityksistä tai yhteisöistä. Kansalaisia kehotetaan varovuuteen tiettyjen tahojen viestejä avatessa, koska hakkereiden on kerrottu ottaneen yrityksen viestinnän haltuun. Tapauksia on jatkuvasti enemmän, ne ovat yhä suurempia ja kohdistuvat yhä lähemmäksi suomalaisia yrityksiä ja yhteisöjä.

Mikäli päättäjien päässä ajatus on edelleen tasolla, ”olemme pärjänneet näillä ratkaisuilla kymmenen vuotta” tai ”miksi kukaan nyt meidät haluaisi hakkeroida”, on vain ajan kysymys koska näin tapahtuu omalle kohdalle.

Tietoturvauhat koskettavat kaikkia

Ottaen huomioon NIS2-direktiivissä mainitut vastuut, Account Managerina olen kohdannut viimeisen kymmenen vuoden aikana vain kourallisen päättäjiä, jotka ovat osoittaneet mielenkiintoa oman yrityksensä tietoturvaan. Keskisuurissa ja suurissa yrityksissä päättäjät yleisesti kertovat yrityksen tietoturvan olevan IT-osaston vastuulla. IT-osaston koko on yleisesti 1–2 asiantuntijaa 100 työntekijää kohden, pienemmissä yrityksissä IT on lähes aina ulkoistettu kumppanille ja toimiston ”osaavin kaveri” hoitaa IT-osastoa oman työn ohella. Tietoturvauhat koskevat myös pieniä yrityksiä. Vaikka suuret yritykset ovat usein enemmän uutisotsikoissa tietomurtojen ja tietoturvaloukkausten yhteydessä, pienet yritykset eivät ole immuuneja tietoturvauhille. Päinvastoin pienet yritykset voivat olla houkuttelevia kohteita hyökkääjille todennäköisesti helpompana kohteena tai reittinä ison kumppanin järjestelmiin. Yksinkertaisena ohjeena päättäjän tulisi kysyä omalta IT-osastolta tai kumppanilta:

”Onko meillä tietoa tai näkymää siitä, mitä meidän verkossamme tapahtuu tai on tapahtunut?”

Mikäli vastaus on ei tai osittain, yritys ei voi NIS2-direktiivin mukaisesti ilmoittaa tietoturvapoikkeamasta, se ei tällöin myöskään täytä direktiivin vaatimuksia ja tärkeimpänä, yritys ei voi tehdä korjausliikkeitä ehkäistäkseen saman asian toistumista uudestaan. Miten asia voidaan korjata, mikäli ei tiedä mikä on rikki?

Herätys tähän päivään

Vielä ei ole myöhäistä pistää asioita kuntoon, mutta se on ensin aloitettava omasta asenteesta ja asennoitumisesta yrityksen tietoturvaa kohtaa.

Vastuu on sinulla, Päättäjä! Marskidata auttaa.

Marskidata IT-kumppanina auttaa sinua, jotta voit olla varma yrityksesi asianmukaisesta tietoturvan tasosta. Lue lisää NIS2-direktiivistä sivultamme OLETKO VALMIS NIS2-direktiiviin? Tutustu palveluihimme Tietoturva ja IT-palvelut yrityksille. Seuraavassa blogin osassa tulen pohtimaan sitä, ovatko yrityksen tietoturvaresurssit riittävät. Käymme läpi johdon vastuuta liiketoimintariskin ja hallinnollisen tietoturvan näkökulmasta.

Kyberrikolliset yrittävät päästä käsiin salattuun tietoon, jotta voivat esimerkiksi kiristää tai tuhota tärkeän tiedon tehden mittavaa haittaa liiketoiminnalle, sekä samalla yrityksen maineelle. Varmistukset ja palautukset ovat asia, joista monesti toivotaan, ettei niihin tarvitse koskaan turvautua, mutta silloin kun niitä tarvitaan, ne voivat olla viimeinen mahdollisuus saada hävinnyt tai rikkoutunut tieto takaisin yrityksesi saataville. Kovin inhimillistä, mutta äärimmäisen harmillista on se, että näihin havahdutaan usein vasta kun jotain ikävää sattuu.

Jotta näin ei kävisi, ota yrityksesi suojaukset ja varmistukset tarkasteluun pikimmiten. Toimivien ja suojattujen varmistusten lisäksi tarvitset myös reaaliaikaista tietoturvaohjelmistojen suojausta esimerkiksi työasemien ja palvelinten osalta. Tämän lisäksi päivitysten avulla on tärkeä ylläpitää IT-ympäristöä kokonaisuudessaan ajan tasalla. Varmistukset ovat siis se viimeinen ”perälauta”, joka voi vielä kenties pelastaa koko liiketoimintasi jatkumisen vaikeissa ongelmatilanteissa.

Lisäsuojaukset kyberrikollisia vastaan

Ulkopuolisten uhkien aiheuttamat vakavat ongelmat ovat selvästi kasvussa ja niiden hallinta vaatii entistä enemmän huomiota. 93 prosenttia Ransomware-hyökkäyksistä kohdistuu erityisesti varmistuksiin. Voit tutustua aiheeseen Ransomware-trendien, 1 200 uhrin ja lähes 3 000 kyberhyökkäyksen oppien kautta: 2023 GLOBAL REPORT.

Tarvitsevatko varmistukset lisäsuojausta sen lisäksi,
että ne toimivat hyvin päivittäin ja niitä seurataan?
Kyllä tarvitsevat, mutta minkä vuoksi?

Jos varmistuksia ei suojata, niin ne ovat alttiina seuraaville uhkatekijöille:

Varmistusten lisäsuojauksen kohdalla puhutaan esimerkiksi seuraavista termeistä:

Nämä suojaustavat eivät monesti ole oletusasetuksissa päällä varmistuksissa, vaan vaativat lisämäärityksiä ja/tai lisälisensointia. Mikäli termit ovat sinulle vieraita, jatka lukemista, jotta tiedät tärkeimmät pointit näistä termeistä.

Immutable Backup (Muuttumaton varmistus)

Immutable Backup tarkoittaa, että jo varmistettu tieto suojataan teknisesti niin, ettei sitä voida muuttaa, poistaa tai lukita pois käytöstä haluttuun aikarajaan asti varmistusten ottamisesta alkaen.
Palautukset ovat normaalisti siis saatavilla, mutta varmistukset ovat ”lukittuja”. Tämä antaa suojaa edellä listattuja uhkatekijöitä vastaan tehokkaasti, jo tehtyjen varmistusten osalta.

Immutable-suojaus voidaan toteuttaa varmistusten kohteen osalta varmistusohjelmistojen omilla työkaluilla ja/tai ohjeistuksilla (jos tuki olemassa), tai esimerkiksi julkisten pilvipalvelujen varmistuslevyjen osalta niiden omilla lukitus- ja versiointiasetuksilla.

On myös varmistuslaitteistoja, jotka toimivat varmistusten kohteena ja niissä on laitepohjainen sisäänrakennettu Immutable-ominaisuus muiden varmistusta tukevien toimintojen ohella mukana. Nämä ovat erittäin monipuolisia ja tehokkaita ratkaisuja. Esimerkkinä tällaisista ratkaisuista Dellin PowerProtect Data Domain Appliances.

Encryption (Kryptaus)

Varmistuksen aikana varmistettava tieto voidaan suojata kryptaamalla, jolloin varmistukset eivät ole luettavassa muodossa ulkopuolisten käsissä. Vaihtoehtoisesti kryptaus voidaan tehdä joissain tapauksissa varmistusten kohdelevyllä.

Varmistusten tiedon avaamiseksi ja saattamiseksi luettavaan muotoon tarvitaan varmistusten ylläpitäjän asettamaa kryptausavainta (salasana). Muuten tieto pysyy suojattuna lukemisen osalta eli sitä ei voida hyödyntää esimerkiksi niin, että voitaisiin uhkailla kopioitujen varmistusten julkaisulla julkisesti tai käyttää tietoa hyödyksi muuten.

Ransomware/Malware Detection (Kiristyshaittaohjelmat/Haittaohjelmat)

Varmistusohjelmistoihin on viime vuosina alettu integroida mahdollisuus tunnistaa varmistettavasta tiedosta Ransomware- ja Malware -ohjelmille tyypillistä haitallista toimintaa.

Tällä voidaan tunnistaa jo aktiivisesta tuotantodatasta mahdollisten haittaohjelmien läsnäoloa ja estää niiden päätymistä varmistuksiin, joka saastuttaisi muutoin myös varmistuksissa olevan tiedon ja näin ollen palautuksista palautuisi myös haittaohjelmat takaisin aktiiviseen tuotantodataan.

On olemassa myös laitepohjaisia kokonaisratkaisuja, joilla suojausta voidaan nostaa vielä askelta korkeammalle, näissä ominaisuudet ovat myös korkealla tasolla. Esimerkiksi Ransomware-tapauksissa voidaan tuotannon palautumisaikaa lyhentää tällaisella järjestelmällä viikoista jopa tunteihin. Ratkaisu kykenee datan ensisijaiseen varmistamiseen, sen turvalliseen kopiointiin eristettyyn toiseen laitteistoon, lukitsemaan datan ja havaitsemaan mahdollisen korruption sekä haittaohjelmat. Lisäksi kattava monitorointi ja raportointi kuuluu laitteistoon.

Näissä laitepohjaisissa kokonaisratkaisuissa niin sanottu ”puhdas” palautus voidaan tehdä suoraan tuotantoympäristöön takaisin tai rinnalle olemassa olevaan DR/testiympäristöön tarpeen mukaisesti.
Alla on kuvattu Dell PowerProtect Cyber Recovery -ratkaisu, joka koostuu kahdesta erillisestä Dell DataDomain laitteistosta. Laitteiston ”Vault” osuus on eristetty tuotantoverkosta niin, ettei sitä Ransomware hyökkääjä pääse edes näkemään ja näin se on suoralta pääsyltä turvassa. Lue lisää aiheesta Dell PowerProtect Cyber Recovery.

Asiantuntijan apua Marskidatalta

On sitten kyberhyökkäyksiin tai suojauksiin liittyvät termit hallussasi tai eivät, me autamme sinua huolehtimaan yrityksesi kotipesän kuntoon kyberhyökkäysten varalta. Marskidatan asiantuntijat auttavat sinua kartoittamaan yrityksesi tarpeet varmennuksien ja lisäsuojausten varalta. Meidän palvelutarjonnastamme löytyy kattavasti erilaisia vaihtoehtoja. Voimme esimerkiksi kartoittaa yrityksen IT:n nykytilan ja toteuttaa tärkeitä parannuksia yrityksesi kyberturvallisuuden parantamiseksi. Koulutamme myös henkilöstöä tietoturvaosaamisessa, jotta inhimillisiä erehdyksiä sattuisi mahdollisimman vähän. Tutustu palvelutarjontaamme IT-palvelut yrityksille, sekä Solenovon asiakastarinaan konesalipalveluistamme Kustannustehokkuutta ja tarkempaa budjetointia konesalipalveluiden migraation myötä. Sinua saattaisi kiinnostaa myös blogimme Kyberpalautuminen ja Tietoturvakoulutus parantaa yrityksen kyberturvallisuutta ja säästää rahaa.

Meidän asiantuntijoillemme kyberturvallisuusratkaisut ovat arkipäivää, joten kerromme mielellämme lisää aiheesta. Otathan yhteyttä myynti@marskidata.fi, jos jokin jäi mielenpäälle!

Tietoturvahyökkäykset ovat yhä yleisempiä ja vakavampia uhkia yrityksille tänä päivänä.

Usein tietoturvaloukkaukset johtuvat henkilöstön inhimillisistä virheistä, kuten huolimattomuudesta, tietämättömyydestä tai huijatuksi tulemisesta.

Tyypillisimpiä kyberuhkia ovat:

Lue täältä kuinka luot turvallisen salasanan: Salasanojen historiaa ja nykypäivää: Näin luot tietoturvallisen salasanan - Marskidata

Lue täältä vinkit MFA:n käyttöönottoon: Monivaiheinen tunnistautuminen, eli MFA - Marskidata

Mutta onko henkilöstön tietoturvakoulutus taloudellisesti kannattavaa? Tässä kysymys, jonka pohtimiseen kannattaa käyttää hieman enemmänkin aikaa, joskus nimittäin saattaa tulla mieleen sellainenkin ajatus, että henkilöstön kouluttaminen on pelkästään kuluerä, joka ei juurikaan tuo rahaa kassaan. 

Todellisuudessa asia onkin nimittäin juuri päinvastoin, koulutuksen avulla voidaan vähentää tietoturvaloukkauksista aiheutuvia kustannuksia ja menetyksiä, joita ovat mm.

Tietoturvakoulutuksen tärkeyttä ei todellakaan pidä aliarvioida, sillä tietoturvariskit ovat jatkuvasti muuttuvia ja kehittyviä.

Koulutus auttaa henkilökuntaa myös ymmärtämään tietoturvan merkityksen ja sen vaikutukset yrityksen toimintaan, sekä tunnistamaan sosiaalisen manipulaation yrityksiä, kuten huijausviestejä ja tietojenkalastelusähköposteja.

Koulutus on siis investointi, joka tuo yritykselle säästöjä ja hyötyjä pitkällä aikavälillä.

Attack Simulation Training

Hyökkäyssimulaatiokoulutuksemme on yrityksille hyödyllinen ja helppo tapa parantaa henkilökunnan tietoturvaosaamista ja –suojautumista kyberhyökkäyksiä vastaan.

Koulutus suunnitellaan aina etukäteen yhdessä asiakkaan kanssa. Valitaan heidän tarpeisiinsa parhaiten sopivat menetelmät sekä sovitaan aikataulusta.

Koulutuksessa käyttäjille lähetetään sähköpostilla toden tuntuisia kalasteluviestejä, joita tänä päivänä muutoinkin saadaan lähes päivittäin. Viesteissä käyttäjää voidaan pyytää tilaamaan esim. seuraavan kuukauden virike- ja lounasetuudet tiettyyn päivämäärään mennessä mukana olevasta linkistä, kysellään osallistumista firman kesäjuhliin tai voidaan pyytää vaihtamaan vanhenevaa järjestelmän salasanaa

Kaikkiin viesteihin tehdään tarkoituksella pieniä virheitä, jolloin käyttäjillä on mahdollisuus havaita viestin olevan kalasteluviesti.

Päätöspalaverissa käydään läpi loppuraportti, josta selviää tarkemmin, miten viesteihin on reagoitu ja minkä verran kalastelulinkkejä on avattu, salasanoja syötetty sekä tunnuksia annettu kirjautumalla eri järjestelmiin.

Tämän jälkeen sovitaan mahdollisista jatkotoimenpiteistä ja lisäkoulutustarpeista.

Miten hyökkäyssimulaatiokoulutus tapahtuu?

Hyökkäyssimulaatiokoulutus on turvallinen ja helppo tapa selvittää henkilöstön valmiudet tietojenkalasteluhyökkäyksiä vastaan ja samalla saadaan lisätietoa mahdollisista lisäkoulutustarpeista sekä voidaan tarvittaessa tehdä tarkennuksia nykyiseen tietoturvaohjeistukseen ja tietoturvakäytäntöihin.   

Hyökkäyssimulaation menetelmiä ovat mm.

  1. Käyttäjätietojen kerääminen, jossa tavoitteena on, että käyttäjä antaa käyttäjänimen ja salasanan.  
  2. Haittaohjelmaliite, jossa tavoitteena on, että käyttäjä avaa haittaohjelman sisältävän liitteen
  3. Linkki haittaohjelmaan, jossa tavoitteena on, että käyttäjä avaa haittaohjelman sisältävän linkin
  4. URL-osoite, jossa tavoitteena on, että käyttäjä klikkaa väärennettyä URL-osoitetta ja lataamaan haittaohjelmia tai antamaan henkilökohtaisia tietoja.

Hyökkäyssimulaatiokoulutus voidaan tehdä kertaluonteisesti, jolloin saadaan tilannekuva yrityksen sen hetkisestä osaamistilanteesta.

Tietoturvan jatkuvuuden kannalta, suositeltavampi vaihtoehto olisi järjestää koulutus säännöllisesti 2–4 kertaa vuodessa, jolloin päästään seuraamaan pidemmällä aikavälillä henkilöstön tietoturvaosaamisen karttumista sekä taitojen kehittymistä tietoturvauhkien tunnistamisessa.

Mitä yritys hyötyy koulutuksesta?

Hyökkäyssimulaatiokoulutuksen hyödyt:

Attack simulation training auttaa siis suojaamaan yritystäsi paremmin kyberhyökkäyksiltä ja lisäämään henkilöstösi tietoturvaosaamista.

Kenelle palvelu sopii?

Palvelu sopii kaikille organisaatioille, jotka haluavat parantaa kyberturvallisuuttaan sekä kehittää henkilöstön taitoja ja osaamista kyberuhkien torjunnassa.

Tietoturvakoulutusta saa nyt helposti.

Tietoturva on tärkeä osa yritysten kokonaisturvallisuutta ja riskienhallintaa. Usein ihminen onkin tietoturvan heikoin lenkki. Kun käyttäjät tunnistavat potentiaaliset uhat, voivat he omilla toimenpiteillään vähentää riskiä joutua nettirikollisten uhriksi.

Voimme järjestää yrityksellenne räätälöidyn koulutuksen, jossa käymme tietoturva-asioita läpi käytännönläheisten esimerkkien kautta. Tämän jälkeen voimme tarvittaessa testata, miten oppi on mennyt organisaatiossanne perille.

Henkilöstön koulutuksen lisäksi tietoturvakartoitus teidän ympäristöönne? Lue lisää: Tietoturvakartoitus teidän ympäristöönne - MD M365 Health Check - Marskidata

Laita meille viestiä alla olevan lomakkeen kautta ja aloitetaan!

Missä kaikessa törmää sanaan tietoturva, ihan peruskäyttäjän näkökulmasta? Ja pystyykö Marskidata pitelemään minua kädestä, ihan koko matkan ajan?

Suojaa laitteet

Et ole ehkä ajatellut jokaista vaihetta työkalujesi käytössä, esimerkiksi sitä, kuinka monta kertaa työnantajasi on määritellyt käyttöösi erinäisiä tietoturvaan liittyviä toimenpiteitä. Harva tietokone esimerkiksi aukeaa ilman salasanaa tai kasvojen/sormenjälkitunnistusta, jolla varmistetaan, että käyttäjä olet varmasti sinä.

Seuraavaksi ehkä avaat sähköpostin, johon saatat Single Sign Onin ansiosta päästä esimerkiksi Windowsin AD-tunnuksilla sisään. Viimeistään siinä vaiheessa, kun lähetät sähköpostin, joudut (toivottavasti) valitsemaan, lähteekö viesti salaamattomana, ja onko vaikka liitetiedosto jollain lailla suojattu? Tietokoneen kiintolevyt on puolestaan suojattu BitLockerilla ja ties millä.

Puhelimissakin on iät ja ajat ollut PIN-koodit, suojauskoodit, kasvojentunnistukset, sormenjälkitunnisteet ym.  Kaikissa fyysisissä laitteissa, on lisäksi äärimmäisen tärkeää, että ohjelmistoversiot ovat ajan tasalla. Vanhentuneisiin ohjelmistoversioihin tehdään moninkertaisesti enemmän hyökkäysyrityksiä ja niiden haavoittuvuus on myös suurin syy, miksi niitä päivitetään. Kannattaakin tsekata kollegani Heikin blogi yrityksen tietoturvan parantamisesta.

Suojaa data

Kuvitellaan, että yrityksesi käyttää Microsoft 365 -palveluita ja, että sähköpostiasi ja muita toimisto-ohjelmistojasi hallittaan niin sanotusti pilvessä. Tiedostot asuvat tällöin Microsoftin pilvessä, käyttäjätunnukset ovat Microsoftin pilvessä, samoin salasanat, asiakasdokumentit, tietosuojan piirissä olevat henkilötiedot ja niin edelleen.

Suojaa yhteydet ja verkko

Tietokoneesi on kaiketi yhdistetty internettiin ja kun avaat selaimen, pääset ainoastaan ’sallittuihin’ verkko-osoitteisiin. Selaimen ohella koneellasi on ainoastaan sallittuja ohjelmistoja.

Muistathan myös, että kaikki internetiä käyttävät laitteet, kulkevat verkossa, eli verkkokin on hyvä suojata. Etätyöskennellessäsi luultavasti yritys on ratkaissut ongelman turvallisella VPN-ohjelmistolla, mutta toimistossa kiinteä verkko on suojattu palomuurilla, jossa taas on määritelty hyvinkin monta suojausmekanismia, sallituista ohjelmistoista ja sivuostoista myös sisäänpäin, laitteisiin, kuten tulostimiin, fakseihin, langattomiin tukiasemiin ja niin edelleen.

Koko liikennettä yrityksen laitteissa, verkoissa, palvelimella ja pilvessä valvotaan ja näissä käytetään automatisoituja mekanismeja suojautumiseen. MDR-palvelu (Managed Detection and Response), tulee olemaan käytössä 50 % organisaatioita, vuoteen 2025 mennessä, sanoo kaikki tietävä Gartner (vuonna 2021). Eli kyberuhkilta suojaudutaan härmäläisittäin havaitsemalla ja palautumalla. Tähän liittyen on hyvä tutustua Mikan blogiin kyberpalautumisesta ja Villen blogiin kiristyshyökkäyksistä.

Käytä turvallisia sovelluksia

Tietokoneellasi on pääkäyttäjäoikeudet, ainoastaan järjestelmänvalvojalla, joten tarvitessasi ohjelmistoa, jota sinulla ei vielä ole, joudut pyytämään sovelluksen latauslupaa. Yritykselläsi on käytössä Company Portal tai vastaava, minne järjestelmänvalvojat julkaisevat yrityksen sallitut sovellukset. Työpuhelimessa ei ole WhatsAppia tai muita sovelluksia, joissa on tietoturva-aukkoja tai, jotka ovat kaapattavissa tai tuttavallisemmin ’korkattavissa’.

GDPR-asetus pakottaa yritykset noudattamaan tietosuojaan liittyviä määräyksiä, jottei sinun tai työkaverisi henkilötietoja vuoda vääriin paikkoihin. Kun haluat antaa anonyymia palautetta esimiehelle tai nimettömän kehitysehdotuksen, Whistleblower-direktiivi varmistaa nimettömyytesi.

Näistä aiheista voit lukea lisää aiemmin julkaistuista blogeistamme:

Tunnistaudu turvallisesti

Yksityishenkilönä olet varmasti tutustunut muun muassa mobiilivarmenteisiin, kaksivaiheisiin tunnistautumisiin, jossa joudut yhdistämään esimerkiksi pankkitunnuksesi, käyttäjätunnuksesi, sähköpostiin tai tekstiviesteihin. Yhtä lailla monivaiheinen tunnistus on hyvä suoja myös työympäristössäsi. Sähköpostit voi lähettää salatusti, tiedostot voidaan suojata salasanalla, turvatulostuksella tulostimesta ei saa mitään ulos ilman tunnistautumista.

Jaa viisaasti

Kaikkia yrityksen tietoja ei voi kopioida pikakomennolla, esimerkiksi puhelimella tekstiviestiin, WhatsAppiin tai hakukoneen kenttään. Tämä ei ole ’pelkästään’ kiusantekoa, vaan yrityksen tiedot halutaan suojata mahdolliselta väärinkäytöltä. Tämä on myös sinun etusi.

Tietoturvakäytännöt

Tehkää yrityksessänne pelisäännöt tai ohjeistus tietoturvan käytöstä ja toimenpiteistä, jottei kaikki, vaikka uudet työntekijänne jatkuvasti kuormita järjestelmävalvojianne ja tietoturvavastaavianne.

Ole rohkeasti meihin yhteydessä, mikäli tietoturva-asiat askarruttavat. Meiltä voit tilata muun muassa tietoturvakartoitukset, projektisuunnitelmat ja tietoturvan pelikirjat.

Jos tämä kirjoitus synnyttää minkäänlaista huolta teidän tilanteestanne, laita savumerkkejä, niin katsotaan teidänkin tietoturvanne tila ja laitetaan heti kuntoon kohdat, joissa on havaittavissa puutteita. Tarkistamme työasemat, palvelimet, verkko, palomuurit, pilvipalvelut ja tapanne toimia, niin että sinäkin voit keksittyä tuottavaan työhön, murehtimisen sijasta.

Tulossa

Kesän jälkeen olemme myös julkaisemassa uusia tuotteita, joista tässä muutama tiiseri, pysy kuulolla:

Koska et kuitenkaan halua olla uutisissa näistä syistä, kannattaa oikeasti miettiä, mitkä asiat olette jo nyt huomioineet?

Tässä 14 kohdan checklist jolla voit testata omaa ympäristöänne:

Marskidata logo

Marski Data Oy

SaapumisohjeetLaskutustiedot
SaapumisohjeetLaskutustiedot

SaapumisohjeetLaskutustiedot
chevron-down