Voiko tulostaminen olla uhka tietoturvalle? Voidaanko tulostimia käyttää palvelunestohyökkäyksissä ja pääseekö niiden kautta uittamaan haittaohjelmia yrityksen IT-ympäristöön? No entä skenaario, jossa tunnistautumaton käyttäjä skannaa monitoimilaitteella, ja tulostettuja papereita lojuu printterin vieressä pöydällä, tai yrityksen vierailija saa käyttöönsä talon wifi-verkon, jotta pääsee tulostamaan.
Voisiko nämä aiheuttaa tietoturvariskin?
Vastaus näihin kaikkiin kohtiin on KYLLÄ!
Yrityksellä voi olla käytössään ikivanhoja monitoimilaitteita ja tietoturvakäytäntöjä, jotka eivät ole enää tätä päivää. Ikävät skenaariot voivat silloin olla mahdollisia, jos tulostimien tietoturva ei olekaan ajan tasalla.
On syytä tarkistaa, ovatko yrityksen tulostimet tietoturvallisesti yrityksen verkossa.
Tietoturva tulostamisessa on kokonaisuus, mikä voidaan jakaa kahteen osioon.
1. Käyttäjätason tietoturva
2. Laitteiden, ohjelmistojen ja verkkojen tietoturva
Aloitetaan tästä, eli käyttäjätason tietoturvasta tulostusympäristössä, sillä se vaikuttaa työntekijöiden työhön konkreettisesti. Jokainen meistä tunnistautuu käyttämälleen päätelaitteelle henkilökohtaisilla tunnuksilla, oli kyseessä sitten läppäri, tabletti tai älypuhelin. Miksi näin on?
Haluamme pitää henkilökohtaiset asiat ja tiedostot ominaan, niin, ettei kuka tahansa pääse niihin käsiksi. Haluamme myös suojata omaa identiteettiämme. Tuskin kukaan haluaa, että tuntematon henkilö käyttää hänen identiteettiään omanaan.
Eli yksinkertaisuudessaan haluamme turvata tietoa ja rajoittaa sen käyttöoikeuksia.
Haluatko sinä, että joku muu lueskelee tai vie tulostamasi paperit mennessään tulostimelta? Tuskin. Mahdollinen tilanne voisi olla, että tulostat arkaluotoista talous- tai HR-tietoa. Ajattelit poimia pikaisesti sen tulostimelta, mutta väliin tulikin puhelu, joka oli pakko ottaa, ja tällä aikaa asiakirjat tulostuivat yhteiskäyttöiselle tulostimelle kaikkien luettaviksi.
Aamulla töiden alkaessa huomataan, että pari vanhaa sopimusmappia on unohtunut monitoimilaitteen viereen pöydälle. Pienen ihmettelyn ja tutkinnan jälkeen, laitteen lokista löytyy tieto, että joku on lähettänyt 220 sivua sopimustietoa outoon sähköpostiin, mutta kuka?
Aivan samat lainalaisuudet koskevat tulostusympäristöä. Käyttäjien tietojen, tiedostojen ja identiteetin suojaaminen pitää olla kunnossa. Samoin myös pääsyhallinta tulostusympäristössä.
Tulostusympäristön hallintaan löytyy Marskidatalta ratkaisu pilvipohjaisen tulostuksenhallinnan avulla. Helposti käyttöönotettavan järjestelmän avulla käyttäjiä on helppo hallita Entra ID -käyttäjähallinnan kautta. Tällöin voidaan myös määrittää tulostamisen ja skannaamisen oikeuksia käyttäjäryhmien avulla.
Laitteiden käyttäjille järjestelmä tuo turvaa tulostamiseen, kun omat tulosteet eivät joudu vääriin käsiin, vaan tulostuvat paperille vasta tunnistautumisen jälkeen. Laitteelle tunnistamisen voi tehdä kulkuavaimella, kortilla tai vaikka mobiililaitteella. Tulosteet voi myös ottaa ulos eli tulostaa, miltä tahansa yrityksen tulostimelta, jos vaikka oman osaston laite sattuu olemaan varattuna.
Tulostaminen on mahdollista myös suoraan SharePoint- tai Teams-kansioista, ilman, että tiedostoja avaa omalle työasemalle. Tietoturvan näkökulmasta tämä vaatii sen, että käyttäjällä on oikeus kansioihin. Etä- ja mobiilitulostus on myös mahdollista, mikä tuo vapautta tulostamiseen.
Skannauksessa voidaan hyödyntää järjestelmän tunnistautumista, esimerkiksi skannaamalla suoraan Microsoft 365 -sovellusten kansioihin. SharePoint, Teams ja henkilökohtainen OneDrive ovat tuettuja. Sähköpostilähetyksissä voidaan lähetysoikeuksia rajoittaa tietoturvan näkökulmasta esimerkiksi yrityksen ulkopuolelle lähtevien osalta. Normaali sähköpostin osoiteluettelo on käytettävissä samalla tavalla kuin Outlookin lähetyksissä.
Monitoimilaitteet ovat kuin mikä tahansa tietokone verkossa, joka voi saastua tai joka voidaan valjastaa haittaohjelmalla keräämään yrityksen verkosta tietoa tulevaa kyberhyökkäystä varten. Tämän vuoksi laitteiden, siellä käytettävien ohjelmien ja verkkoliikenteen suojaaminen on erittäin tärkeää, aivan kuten muiden IT-laitteiden, jotka verkossa pyörivät.
ZeroTrust-arkkitehtuurin mukaisesti ”mihinkään ei luoteta”.
Nykyaikaiset laitteet valvovat itse itseään. Aina käynnistyksen yhteydessä laite tarkastaa itsensä tuntemattomien sovellusten tai tiedostojen varalta. Mikäli laite havaitsee jotain poikkeavaa, käynnistysprosessi keskeytyy.
Laitteen tallennustila on vahvasti salattu, jotta kriittinen tieto pysyy turvassa. Sisään rakennettu tietoturvaohjelmisto valvoo ja varmistaa laitteen käytönaikaisen suojauksen.
Mikäli yrityksessä on SIEM-järjestelmä (suojaustiedot ja tapahtumien hallinta) käytössä, voidaan nykyaikaiset tulostinlaitteet liittää järjestelmään, jolloin myös tulostinlaitteiden suojauksen tila saadaan liitettyä keskitettyyn valvontaan.
Eritasoisien käyttöoikeuksien perusteella pystytään rajaamaan laitteiden ja sen käyttämien sovellusten määritysten muuttamista ja samalla rajaamaan tuntemattomien ohjelmistojen asentumisen koneelle.
Käytettävien ohjelmistojen tietoturva nojaa vahvaan tunnistautumiseen ja sitä kautta saatuihin käyttöoikeuksiin. Moniportaisella käyttöoikeusrakenteella ja MFA:lla varmistetaan, että ohjelmistojen määrityksiin pääsee vain auktorisoidut henkilöt. Myös tulostamisen verkkoliikenne tulee huomioida tietoturvallista tulostusympäristöä rakennettaessa.
Tutustu aiheeseen tarkemmin blogissa Monivaiheinen tunnistautuminen, eli MFA.
Edelleen tänä päivänä tulostusympäristö on yksi päänvaivaa aiheuttavista asioista henkilöille, jotka vastaavat yrityksen IT-ympäristön tietoturvasta. Ulkopuolisten kyberhyökkäysten määrä kasvaa jatkuvasti. Myös pienemmät yritykset ovat kiinnostuksen kohteena. On syytä huolehtia myös tämä osa-alue ajantasaiseen kuntoon.
Enemmissä määrin yrityksiä ohjataan lakien ja asetuksien kautta, joilla pyritään määrittämään yritysten kyberturvatasoa, sekä palautumiskykyä hyökkäysten varalta. Esimerkkinä monia yrityksiä koskettava NIS2-direktiivi, mikä astui voimaan 18.10.2024. Tutustu lisää aiheeseen OLETKO VALMIS NIS2-direktiiviin?
Suomalaisissa yrityksissä perus IT:n tietoturva onkin usein kunnossa liiketoiminnan vaatimalla tasolla. Onko samalla otettu huomioon tulostusympäristön ja sen tuomat haavoittuvuuden mahdollisuudet?
Mikäli tulostusympäristön tietoturva kaipaa tarkastelua, ota yhteyttä omaan yhteyshenkilöösi, myynti@marskidata.fi tai allekirjoittaneeseen. Tutustu lisää aiheeseen Marskidatan tulostusratkaisut.
Käyttäjän tietoturvan osa-alueet:
Laitteiden tietoturvan osa-alueet:
Minimoidaan tietoturvariskit yrityksen verkossa ja laitetaan tulostusympäristön asiat kuntoon.
Kohti tietoturvallista tulostusympäristöä!
Tällä hetkellä on vaikea olla törmäämättä keskusteluihin, joissa aiheena on Microsoft 365 Copilot, tekoälypohjainen työkalu, jonka avulla käyttäjät voivat parantaa luovuuttaan, tuottavuuttaan ja taitojaan. Ei siis ihme, että sen ympärillä käy kuhina ja organisaatiot sekä käyttäjät haluavat hyötyä sen tuomista eduista. Teknisestä näkökulmasta Microsoft 365 Copilotin käyttöönotto ei vaadi aikaa vieviä asennuksia järjestelmänvalvojilta tai käyttäjiltä.
On kuitenkin tärkeä ymmärtää, mitä tietoa Microsoft 365 Copilot pystyy tarjoamaan käyttäjilleen, ja mitä asioita on otettava huomioon ennen sen käyttöönottoa. Tähän blogiin olen nostanut muutaman aihealueen, joihin kannattaa tutustua ennen käyttöönottoa.
Copilot tarjoaa käyttäjälle vastauksia sisällöstä, johon käyttäjällä on vähintään tarkasteluoikeudet. Tämän vuoksi on tärkeää tiedostaa, missä yrityksen sensitiivinen data sijaitsee ja kenellä kyseiseen dataan on oikeudet. Copilot ei hyödynnä pelkkiä suoria käyttöoikeuksia, vaan riittää että käyttäjälle on jaettu linkillä pääsy johonkin sijaintiin tai tiedostoon.
Käyttäjä on voinut esimerkiksi luoda jakolinkin OneDrivessa tai SharePointissa sijaitsevaan tiedostoon käyttäen asetusta ”Yrityksen X henkilöt”, mutta on lähettänyt tuon linkin vain yhdelle henkilölle. Tähän mennessä on mahdollista, että muut käyttäjät eivät ole tiedostoa löytäneet. Copilotin käyttöönoton jälkeen Copilot osaa tarjota kaikille yrityksen käyttäjille vastauksia liittyen kyseisen dokumentin sisältöön.
Onko ympäristössä mahdollisesti vanhentunutta tietoa, josta Copilot saattaa tarjota vastauksia käyttäjille? Onko Teams-tiimien ja muiden SharePoint-sivustojen tiedostokirjastot ja sisältösivut ajan tasalla?
Copilot tarjoaa lähtökohtaisesti käyttäjille vastauksia viimeksi muokatuista tai luoduista tiedostoista, mutta on myös mahdollista, että käyttäjä saa vanhentunutta tietoa, jos tiedostoista on useita versioita eri sijainneissa. On siis tärkeä varmistaa, että tiedostojen versionhallinta on kunnossa ja vanhentuneet dokumentit on poistettu tai siirretty sijaintiin, joka on rajattu pois Copilotin hausta.
Tunnisteiden avulla voit määritellä, kuinka arkaluontoisia organisaatiosi tiedot ovat. Voit käyttää niitä esimerkiksi sähköposteissa tai tiedostoissa, ja näin vaikuttaa myös Copilotin tuottamiin tuloksiin. Jos esimerkiksi tiedostolle määritetty tunniste käyttää salausta, tämä vaatii käyttäjältä vähintään oikeudet kopioida kyseisestä tiedostosta, jotta Copilot voi palauttaa tietoja kyseisestä kohteesta.
Tunnisteet myös periytyvät Copilotin avulla luotuihin dokumentteihin. Jos luot uuden dokumentin Copilotin avulla ja dokumenttiin on tuotu sisältöä sisäiseksi määrittelystä dokumentista, luokittuu uusi dokumentti automaattisesti sisäiseksi.
Vaikka tämän työtäsi tehostavan niin sanotun tekoälyassistentin käyttöönotto polttelee jo sormenpäitä, ota silti oma aika tarkastella Microsoft 365 -ympäristöäsi. Listasin sinulle ne asiat, jotka tulisi ainakin ottaa huomioon ennen Microsoft 365 Copilotin käyttöönottoa:
Marskidatalta saat Microsoft 365 Copilotin lisenssien lisäksi opastusta Copilotin käyttöönottoon. MD Copilot -palvelumme sisältää tietoturvallisen käyttöönoton ja Copilot-koulutuksen. Koulutuksen avulla henkilöstö oppii, miten vapauttaa aikaa rutiininomaisissa työtehtävissä, sekä miten tehostaa tuottavuutta.
Myyntitiimimme auttaa kartoittamaan tilanteesi, ota rohkeasti yhteyttä myyntiin myynti@marskidata.fi tai soita suoraa omalle Marskidatan luottomyyjällesi. Mikäli yrityksesi on uusi lisenssitilaaja, kysy lisätietoja loppuvuoden 2024 lisenssialennuksesta.
VPN-yhteys tulee yleensä esiin terminä töitä tehdessä ja käyttäessä laitteita tai järjestelmiä. Tämä näkyy myös Marskidatan ServiceDeskissä tukipyyntöinä ja kysymyksinä. Yleisimmät VPN:ään liittyvät ongelmat ilmenevät niin, etteivät yhteydet tai tunnukset toimi. Käyttäjät eivät esimerkiksi pääse kirjautumaan sisään tietokoneelle tai johonkin yrityksen järjestelmään. Ensimmäiseksi ServiceDeskissä kysymmekin, ”onko sinulla VPN päällä?”
Tarkoituksenani on avata hieman, mitä VPN yksinkertaisimmillaan on, ja miksi sekä mihin sitä käytetään.
VPN-yhteyden avulla luodaan yrityksen oma sisäverkko, jonka käyttäminen vaatii internetyhteyden ja käyttäjätunnukset. Näin luodaan kriittisistä palveluista huomattavasti turvallisimpia, kun niihin ei ole pääsyä julkisesta verkosta.
VPN:ää käytetään ja mainostetaan pääasiassa sen tietoturvan vuoksi. Yksityiskäyttäjällekin siitä voi olla hyötyjä, mutta enemmän siitä hyötyvät yritykset ja sen työntekijät.
Tämä kuitenkin tietysti riippuu siitä, millä tavalla ja miten turvallisesti internettiä käyttää. Ilman VPN-yhteyttä datasi, esimerkiksi sijaintisi, verkko-osoitteesi (IP:si), sekä selaushistoriasi on käytännössä kenen tahansa saatavilla ja hyödynnettävissä.
En myöskään voi suositella ilmaiseksi saatavaa VPN-yhteyttä, sillä sitten samalla antaa kaiken datan VPN-yhteyden ylläpitäjälle. Kauhuskenaariona voisi olla, että yritys myy datasi eteenpäin saadakseen rahaa. Yhteyden ylläpito ei kuitenkaan ole ilmaista, joten kannattaa miettiä onko ilmainen VPN sen arvoista?
VPN:ää on monentyyppistä. Annan nyt muutaman esimerkin yrityksessä mahdollisesti vastaantulevista VPN-yhteyksistä.
Esimerkiksi yrityksen intra hyödyntää todennäköisesti VPN-yhteyttä, jotta samaan verkkopalveluun on mahdollista päästä useasta eri toimipisteestä. Toimipisteiden verkot voidaan yhdistää toisiinsa ”tunneleilla”, jotta verkot ja laitteet keskustelevat helposti ja turvallisesti keskenään.
Tavanomaisemmin käyttäjältä löytyy tietokoneeltaan mahdollisuus etäkäytettävään VPN-yhteyteen. Tätä VPN-yhteyttä voi olla mahdollista käyttää myös puhelimesta.
Tämä tarkoittaa sitä, että tietokoneella on ohjelmisto, josta työntekijä kirjautuu sisään VPN-tunnuksillaan ja pääsee yhdistymään yrityksen verkkoon. Näin tietokoneen internetyhteys toimii ikään kuin olisit toimistolla paikan päällä.
VPN-yhteys mahdollistaa etätöitä tehdessä käyttäjälle huomattavasti turvallisemman verkkoyhteyden ja tiedostojen tietoturvallisemman säilytyksen. Tämä on tärkeää huomioida, jos yrityksen verkosta pääsee muun muassa verkkokansioihin.
Samalla tavoin voidaan rajoittaa esimerkiksi jonkin ohjelmiston toimintaa niin, että se toimii vain yrityksen verkossa. Tällä tavoin rajoitetaan mahdollisuutta ulkopuoliselle väärinkäytölle. VPN:n avulla verkkoon yhdistymällä käyttäjät voivat kuitenkin päästä käyttämään ohjelmistoa, vaikka eivät olisi fyysisesti verkon lähettyvillä.
Käyttäjä kirjautuu VPN-ohjelmistoon sisään. VPN-palvelin löytää käyttäjän, toteaa oikeuksien olevan kunnossa, jolloin muodostuu ”tunneli”. Tunneliksi kutsumme VPN:n luomaa salattua yhteyttä. VPN-ohjelmisto ja palvelin kryptaavat eli muuntavat koodiksi kaiken datan, joka tunnelissa kulkee, tunnuksella, jonka vain järjestelmä tietää.
Kun data kulkee tunnelia pitkin, siihen ei pääse käsiksi ilman, että osaa purkaa salauksen. Palveluntarjoajasta riippuu, miten turvallinen salausmenetelmä siinä on. Kun data on siirtynyt laitteelta toiselle, VPN-järjestelmä voi taas dekryptata eli palauttaa datan ja datasta tulee jälleen luettavaa.
Ota rohkeasti yhteyttä Marskidatan ServiceDeskiin, mikäli sinulla tulee kysymyksiä VPN:stä. Marskidatalla autamme yrityksiä löytämään sopivat tietoliikenneratkaisut erilaisiin tilanteisiin. Näitä voivat olla esimerkiksi yhteyksien luominen etätyöntekijän työskennellessä muualla kuin toimipisteessä tai vaikka yhteyksien luominen toimipisteen sekä ulkoisen konesalin välille. Kysy lisää näistä ratkaisuissa, ota yhteyttä myynti@marskidata.fi.
Voit myös itse tutustua kirjoituksen lähteisiin Microsoft Azure: What is a VPN? (eng.).
Microsoft on virallisesti siirtänyt pitkäaikaisen tuotteen, Windows Server Update Service:n (WSUS) elinkaarensa päähän. Viimeinen tuettu versio tulee vielä Windows Server 2025 mukana, mutta WSUS:n elinkaari päättyy Server 2025:n kanssa. Lähde: Windows Server Update Services (WSUS) deprecation (eng.) Käymme tässä blogissa läpi muutamat Microsoftin ratkaisut WSUS:in tilalle, jotka sopivat suurelle osalle yrityksiä.
Aikaisemmin WSUS on täyttänyt alla olevista huomioista aika monta kohtaa. Voi sanoa, että sen ylläpito on ollut usein hyvin aikaa vievää ja vaatinut IT:n jatkuvaa valvomista, eikä raportointi ole ollut selkeää. Mitä tämä tarkoittaa käytännössä yrityksille?
Marskidatalla tekniset asiantuntijamme osaavat hahmottaa ja ehdottaa sopivat ratkaisut yrityksen haasteisiin. Suunnittelemme yhdessä asiakkaan kanssa yritykselle sopivan kokoisen ratkaisun aina asiakkaan tilanteen mukaan. Microsoftilla on ollut jo monta vuotta tarjolla näihin haasteisiin kolme ratkaisua, jotka soveltuvat useimpien yrityksien ratkaisuksi:
Meillä Marskidatalla on osaamista kaikkiin näihin ratkaisuihin. Lue eteenpäin, niin käyn läpi tarkemmin nämä ratkaisut.
Microsoftin Azure Arc Update Management on hybridiratkaisu, joka yhdistää Azuren sekä paikallisen konesalin päivittämisen, ylläpidon sekä raportoinnin yhden paneelin alle.
Kevyimmillään ratkaisulla voidaan parantaa raportointia liittämällä konesalin palvelimet Azure Arc:n avulla syöttämään päivitysdataa Azureen. Raportit on helppoja lukea ja niiden avulla voidaan tehdä selkeitä päätöksiä palvelinten päivityksiin.
Arc Update Managementin paras osuus on kuitenkin mahdollisuus päivittää yhden paneelin kautta Azuren sekä konesalin palvelimet, Windows tai Linux.
IT-osaston käyttämät työkalut vähenevät, automaatiota voidaan kehittää yhdellä yleisellä työkalulla ja raportointi voidaan automatisoida niin, että yritys voi suoraan sanoa päivittävänsä 100 % kaikista palvelimista.
Jos yrityksellä on vieläkin 2012R2-palvelimia, Azure Arc:n kautta, voidaan ostaa kuukausimaksulla tietoturvapäivityksiä, kunnes yritys saa migroitua vanhat sovellukset uusille alustoille.
Tässä on kyseessä business-lisenssiin kuuluva pilviratkaisu, jossa korvataan vanha WSUS ja käsin asennettavat päivitykset Intunen kautta, jaettavilla asetuksilla sekä automaatiolla. Ratkaisussa työasemat käsketään raportoimaan asiakkaan omaan Azure-ympäristöön rakennettavaan tilaan, josta saadaan keskitetysti raportti työasemien tilasta.
Raportoinnin lisäksi, WUFB:llä päätetään päivitysten kadenssi, päivitysryhmät sekä se, halutaanko samalla asentaa myös ajuri- tai firmwarepäivitykset.
Intune on lisäosa, joka kuuluu kaikkiin suuryrityslisensseihin. Ratkaisu on täysin Microsoftin ylläpitämä, asiakkaan täytyy vain päättää, millä syklillä työasemiin asennetaan päivitykset. Microsoft hoitaa kaiken muun.
Ratkaisuun kuuluu:
Käyttöönotto on todella nopeaa ja yritykselle saadaan selkeä yksi työkalu, johon määritellään halutut asetukset. Asetuksiin ei yleensä tarvitse tämän jälkeen koskea, koska Microsoft huolehtii tuettujen laitteiden osalta päivitysten laadusta sekä julkaisusyklistä.
Taklataan heti alkuun muutama harhaluulo, ennen kuin toteat Marskidatan asiantuntijalle, ettei ole tarvetta keskustella aiheesta.
Pitää muistaa, että esimerkiksi Maersk:n tapauksessa yrityksellä oli päivitetty 95 prosenttia laitteista, joka voi kuulostaa jo hyvältä prosenttimäärältä. Mutta laitteiden kokonaismäärä oli niin suuri, että kuukausi päivitysten julkaisusta, noin 100 palvelinta ja työasemaa oli vielä päivittämättä. Tästä muodostui todella suuri hyökkäyspinta, jota hyökkääjät käyttivät hyväksi. Tietoa tapauksesta: Virus seisautti kymmeniä terminaaleja.
Toimii, mutta Microsoft ei enää kehitä tuotteeseen yhtään ominaisuutta, ja kuka ei haluaisi päästä eroon ylimääräisistä päivitettävistä SQL- sekä WSUS-palvelimista?
NIS2 vaatii organisaation ottamaan huomioon ohjelmistojen toimitusketjun. Käytännössä yrityksen on päivitettävä toimittajan (Microsoft) ilmoittamat päivitykset mahdollisimman nopeasti, koska muuten yritys on jättänyt huomiotta tietoturvariskin.
Jos tämän takia yrityksen data vaarantuu, yrityksen johto on suoraan vastuussa vahingoista. Tämän takia on äärimmäisen tärkeää päivittää sekä raportoida päivitystasoista proaktiivisesti, jotta voidaan todistaa, että yrityksellä on ollut prosessi sekä toimintamalli riskien minimoimiseksi.
WUFB on ilmainen, maksat vain Azuressa logisäilytyksestä sekä ylläpidosta. Azure Arc Update Manager sisältyy Defender for Servers-lisenssiin tai on ostettavissa erillisenä kuukausimaksullisena lisäosana Arc-hallittuihin palvelimiin. Intune Autopatch kuuluu M3- tai E3-lisensseihin.
Jospa siis keskustellaan aiheesta ja katsotaan teidän yrityksellenne sopiva ratkaisu yhdessä läpi? Ota rohkeasti yhteyttä myynti@marskidata.fi.
Euroopan unioni pyrkii luomaan säännösten avulla turvallisemman ympäristön digitaalisemmaksi muuttuvalle liiketoiminnalle. NIS2-direktiivi tuo lisää kyberturvaan liittyviä vaatimuksia ja velvollisuuksia ensisijaisesti keskisuurille ja suurille organisaatioille.
Käytännössä tämä tarkoittaa sitä, että yritysten on tunnistettava verkkoihin, tietojärjestelmiin ja niiden fyysiseen ympäristöön kohdistuvia riskejä sekä määriteltävä keinot, joiden avulla näiltä suojaudutaan. Direktiivin soveltaminen alkaa 18.10.2024.
Aiempi NIS koski kahdeksaa toimialaa, nyt mukana on jo 18 yhteiskunnan sektoria, joista uusia ovat esimerkiksi tutkimustoiminta, jätehuolto ja julkishallinto. Käytännössä NIS2 kattaa suuren osan suomalaisista yrityksistä ja julkisista organisaatioista.
Yritysten tulee itse hahmottaa, koskeeko NIS2 niitä. Lisäksi yritysten tulee ilmoittautua valvovalle viranomaiselle, joka määräytyy toimialan mukaan. Pääsääntöisesti NIS2 koskee yrityksiä, joiden liikevaihto ylittää 10 miljoonaa euroa ja joissa on yli 50 työntekijää. Kaikista kriittisimmillä toimialoilla kokorajoitusta ei kuitenkaan ole.
Tarkista Kyberturvallisuuskeskuksen Kriittiset toimialat -taulukosta kuuluuko yrityksesi keskeisiin ja tärkeisiin toimialoihin, jota NIS2-direktiivin soveltaminen koskee. Ja tutustu aiheeseen myös Kyberturvallisuuskeskuksen sivulta NIS2 - Euroopan unionin kyberturvallisuusdirektiivi.
Se ei riitä, että IT-osasto hoitaa tietoturvan teknisesti kuntoon. Yrityksellä on oltava toimintamallit kyberriskien hallintaan ja niiden käytännön toteutus tulee myös pystyä näyttämään valvovalle viranomaiselle.
Luonnollisesti myös raportoinnin vaatimukset kasvavat. Merkittävästä poikkeamasta on ilmoitettava 24 tunnin kuluessa sen havaitsemisesta. Yksityiskohtaisempi jatkoilmoitus tulee tehdä kolmen vuorokauden kuluessa ja loppuraportin tulee olla valmis kuukauden kuluessa. Traficomin sivuille tulee sähköinen asiointipalvelu näitä ilmoituksia varten.
NIS2:ssa tämä määritellään tapahtumana, joka on aiheuttanut tai voinut aiheuttaa yritykselle palvelujen vakavan toimintahäiriön tai taloudellisia tappioita. Raportointia edellyttää myös toisille osapuolille aiheutunut huomattava aineeton tai aineellinen vahinko tai sellaisen mahdollisuus.
Alkuvaiheessa näitä ilmoituksia tehdään todennäköisesti varmuuden vuoksi, sillä sanktiot ovat merkittäviä. Sanktiot ovat enimmillään 10 miljoonaa euroa tai kaksi prosenttia yrityksen liikevaihdosta sen mukaan, kumpi summa on suurempi. Tämän lisäksi yrityksen ylin johto voidaan asettaa henkilökohtaiseen vastuuseen säännösten rikkomisesta.
Osa suomalaisista yrityksistä on ollut aktiivisia ja hoitanut asiat ajoissa kuntoon, mutta monet yritykset tulevat heräämään asian äärelle vasta määräpäivän lähestyessä.
Jos yrityksellä ei ole ollut tietoturvan johtamisjärjestelmää, edessä tulee olemaan iso työ. Tietoturvaan liittyvien toimintojen ja käytäntöjen omaksuminen organisaatiossa vie aikaa. Tässä on kyseessä toiminto, jota pitää johtaa määrätietoisesti ja aktiivisesti.
Minkälaiseen aikatauluun NIS2:n kohdalla kannattaa sitten varautua? Esimerkiksi ISO 27001 –tietoturvastandardin käyttöönottoon kuluu aikaa vähintään 9–12 kuukautta. Se antaa vähän osviittaa myös NIS2:n aikataulun hahmottamiselle.
NIS2-direktiivin vaikutukset yrityksiin ja organisaatioihin ovat merkittäviä. Direktiivi asettaa uusia vaatimuksia ja velvoitteita, jotka voivat vaatia huomattavia resursseja ja investointeja. Tässä muutamia keskeisiä vaikutuksia:
Yritysten on kehitettävä kattavat riskienhallintasuunnitelmat ja tietoturvapolitiikat, jotka kattavat kaikki mahdolliset kyberuhat. Tämä voi sisältää esimerkiksi säännölliset turvallisuusauditoinnit, haavoittuvuustestaukset ja henkilöstön koulutuksen.
Direktiivi edellyttää, että yritykset toteuttavat teknisiä toimenpiteitä kyberuhkien torjumiseksi. Tämä voi tarkoittaa esimerkiksi palomuurien, haittaohjelmien torjuntaohjelmistojen ja tunkeutumisen havaitsemisjärjestelmien käyttöönottoa. Lisäksi yritysten on varmistettava, että niiden järjestelmät ja ohjelmistot ovat ajan tasalla ja suojattuja.
Yritysten on luotava selkeät raportointikäytännöt turvallisuuspoikkeamien ja -uhkien varalta. Direktiivi edellyttää, että yritykset raportoivat tietoturvaloukkauksista ennalta määritellyissä määräajoissa, mikä voi vaatia nopeaa reagointia ja tehokasta tiedonhallintaa.
NIS2-direktiivi sisältää sanktioita yrityksille, jotka eivät noudata sen vaatimuksia. Tämä voi tarkoittaa esimerkiksi huomattavia taloudellisia seuraamuksia tai liiketoiminnan keskeytyksiä. Jäsenvaltioiden on myös perustettava valvontaviranomaiset, jotka varmistavat direktiivin noudattamisen ja valvovat yritysten toimintaa.
NIS2-direktiivi on merkittävä edistysaskel Euroopan unionin kyberturvallisuuspolitiikassa. Se asettaa uusia vaatimuksia ja velvoitteita yrityksille ja organisaatioille, mutta samalla se parantaa kriittisten infrastruktuurien ja palvelujen suojelua yhä monimutkaisemmissa kyberuhkien ympäristöissä.
Vaikka direktiivin noudattaminen voi vaatia huomattavia resursseja ja investointeja, sen tavoitteet ovat selkeät:
NIS2-direktiivi edustaa uutta aikakautta kyberturvallisuuden hallinnassa Euroopassa, ja sen vaikutukset tulevat olemaan kauaskantoisia.
Tutustu aiheeseen ja Marskidatan NIS2 Tietoturvakartoitukseen nettisivuiltamme Oletko valmis NIS2-direktiiviin? Tietoturvakartoituksessa Marskidatan asiantuntijat kartoittavat yrityksesi kyberturvallisuuden nykytilan ja vertaavat tätä NIS2-direktiivin velvoitteisiin. Saat tämän jälkeen esityksen tarvittavista kehitystoimenpiteistä ja dokumentointitarpeista.
Autamme mielellämme kartoittamaan tilanteenne, ota yhteyttä myynti@marskidata.fi.
Moni on varmasti törmännyt viimeaikojen uutisointiin Microsoftin yleisimmän käyttöjärjestelmän tuen lakkaamiseen ensi vuonna. Tämä on myös herättänyt huolta siitä, miten tämä vaikuttaa oman IT-ympäristön toiminnan jatkuvuuteen sekä tietoturvaan. Tilanne saattaa herättää pelkoja sekä huonoja muistoja edellisestä kerrasta, kun vastaava tapahtui Windows 7 -käyttöjärjestelmän osalta. Osalla meistä ei välttämättä ole ymmärrystä siitä, mitä tämä voisi tarkoittaa. Tilannetta voi verrata siihen, että jokainen meistä törmää päivityksiin lähes viikoittain, milloin matkapuhelin pyytää päivittämään ohjelmiaan, milloin uudehko auto pyytää päivittämään hallintajärjestelmänsä uuteen versioon.
Yleensähän päivitys tulee juuri silloin, kun on mahdollisimman kiire ja päivitystä pitää vain ärsyttävänä asiana. Moni ei kuitenkaan tule ajatelleeksi seurauksia siitä, kun päivitykset kyseiseen tuotteeseen lakkaavat. Vaikuttaa vain näennäisesti mukavalta, ettei laite vähän väliä pyydä sinua odottelemaan päivityksien valmistumista. Tilanne antaa valheellisen mukavuuden tunteen, sillä ulkopuolisen tunkeutujan tai haittaohjelman on helpompi juuri silloin ottaa laitteesi haltuun. Käyn blogissani läpi sitä, mitä muutos tuo tullessaan ja miten siihen voi varautua.
Microsoft on ilmoittanut antavansa tukea sekä tietoturvapäivityksiä Windows 10 -käyttöjärjestelmälle 14. lokakuuta 2025 asti (Windows 10 Home and Pro - Microsoft Lifecycle | Microsoft Learn). Tämän jälkeen kyseiselle käyttöjärjestelmälle ei enää julkaista tietoturvaa parantavia tai korjaavia päivityksiä. Kyseisen päivämäärän jälkeen ei työkoneissa enää pidä kyseistä käyttöjärjestelmää käyttää. Monelle tämä tarkoittaa pakollista siirtymistä Windows 11 -käyttöjärjestelmän käyttöön, vaikka se ei olekaan ottanut tuulta alleen kuten Microsoft oli toivonut.
Microsoft tarjoaa monelle Windows 10 -käyttäjälle mahdollisuutta ilmaiseen päivitykseen Windows 11 -käyttöjärjestelmään. Uudehkon koneen käyttäjälle tämä onkin oiva vaihtoehto. Käyttöjärjestelmän annetaan päivittää itsensä uuteen versioon ja sen jälkeen asia on kunnossa. Lähes poikkeuksetta päivitys onnistuu suoraan Windows 10 -käyttöjärjestelmän päälle, jolloin käyttäjän profiili tiedostoineen ja asetuksineen pysyy käytössä myös Windows 11:sta.
Useilla yrityksillä on kuitenkin mahdollisesti käytössään eri lisenssointiratkaisuja Microsoftilta, jolloin automaattinen päivitys ilmaiseksi ei onnistukaan, vaan lisenssit on mahdollisesti hankittava Windows 11 varten erikseen. Näissä asioissa Marskidata auttaa mielellään ja selvittää esimerkiksi sen, mitä päivityksen mahdollistaminen vaatii.
Kannattaa ottaa huomioon myös se, että vanha laitekanta saattaa estää päivityksen. Tilanne voi vaatia vanhojen koneiden uusimista, jotta työntekoa voidaan jatkaa tietoturvallisesti. Uusien koneiden mukana tuleekin jo Windows 11, joten kun kone otetaan käyttäjälle käyttöön, ovat asiat sen jälkeen kunnossa. Koneiden vaihdon yhteydessä hyvin toteutettu Microsoft 365 -palvelu ja käyttäjän tietojen tallennus OneDriven kautta pilveen tai omalle palvelimelle helpottaa käyttäjän siirtymistä vanhalta koneeltaan uuteen.
Marskidatalla haluamme helpottaa päätelaitteiden elinkaaren seurantaa ja järjestelmien ylläpitoa. Meiltä saat yrityksellesi päätelaitteet palveluna, tarkoittaen muun muassa läppäreitä, älypuhelimia ja tabletteja. Kaikki ne laitteet, jotka tarvitset työskentelyyn, saat ne meiltä valmiiksi asennettuina ja ylläpidolla. Lue lisää aiheesta nettisivultamme IT-laitteet ja ohjelmistot.
Monesti laitekanta käyttöjärjestelmineen on ostettu eri aikaan ja välttämättä aivan tarkkaa kuvaa laitteiden iästä tai niiden päivitettävyydestä Windows 11 -käyttöjärjestelmään ei ole. Lisäksi monesti käytössä on ohjelmistoja, joiden yhteensopivuudesta Windows 11 kanssa ei ole täyttä varmuutta. Tässä tilanteessa Marskidata onkin oiva yhteistyökumppani, jonka kanssa käydä läpi laitteistot, ohjelmistot sekä lisenssointi Windows 11 osalta. Kartoitamme tilanteen ja käymme asiakkaan kanssa läpi, mitä ympäristön saattaminen Windows 10:stä Windows 11 kohti vaatii.
Kun suunnitelma on tehty hyvin, aikataulut määritetty ja itse prosessi käynnistetty, voidaan laitekanta uusia hallitusti ja päivitykset tehdä oikeaoppisesti. Näillä keinoilla valmistaudutaan ja pidetään käyttökatkot tai muut haittaavat vaikutukset asiakkaan tuotantoympäristöön minimissään.
Lopputuloksena olemme saaneet ympäristön hyvissä ajoin kuntoon ennen lokakuun 14. päivää vuonna 2025 ja tuen lakkaamisesta ei tarvitse murehtia lainkaan.
Ole siis ajoissa liikkeellä ja valmistaudu, me autamme! Tekninen asiantuntija tarkistaa IT-ympäristön tilanteenne, jotta ikäviä yllätyksiä ei tule vastaan. Ota siis yhteyttä myyjiimme myynti@marskidata.fi, niin tarkistetaan yrityksesi tilanne kuntoon.
On varmasti monia esteitä siihen, ettei myyjän ja asiakkaan välinen vuorovaikutuksellinen ja luottamuksellinen keskustelu synny tai vaikkapa tietoturvaan liittyvistä asioista keskustelu ei vain saa tuulta purjeiden alle. Kokemuksesta väittäisin usein syyksi yhden merkittävän haitan keskustelussa. Vaikka myyjä haluaa myydä, ei keskustelu sido asiakasta ostamaan mitään. Mutta keskustelu myyjän kanssa voi olla asiakkaan kannalta monin verroin merkityksellisempää, mitä aluksi voisi luulla. Lue siis eteenpäin, niin kerron mikä on tämä yksi merkittävä haitta keskustelussa.
Lähdetään liikkeelle tarinalla myyntinaisesta nimeltä Tiina ja hänen asiakastaan Ismosta. IT-päällikkö Ismo tapasi IT-myyjä Tiinan toimistollaan. Tiina yritti keskustella Ismon kanssa tietoturvan tilasta, mutta Ismo torppasi keskustelun useaan otteeseen todeten, että ”kaikki on meillä kunnossa. Meillä on IT-palveluille toimittaja, joka hoitaa myös tietoturvan ja kaikki on täysin kunnossa”. Keskustelut jäivät ”torsoksi”, mutta myyjän kanssa hierottiin lopulta kauppaa työasemien elinkaaripalvelusta.
Tiinan myymä elinkaaripalvelu otettiin käyttöön Ismon työpaikalla, mutta samoihin aikoihin yhtiön toiminta lamaantui yllättäen. Yhtiön palvelimet kryptattiin ja yhtiön sähköpostiosoitteista alkoi virrata sidosryhmille sekä asiakkaille kalasteluviestejä ja asiattomia ”törkyviestejä”. Mainehaitta alkoi kasvaa tunti tunnilta. Yrityksen johto vaikutti hätääntyneeltä ja tunnelma töissä kaoottiselta.
Ismo soitteli toistuvasti IT-palveluntarjoajalleen, mutta apua ei tuntunut tulevan helpolla. Ismo vaati apua vasteajalla ”heti”. Lopulta useamman tunnin jälkeen palveluntarjoaja teki selväksi, että he ovat toimittaneet palomuurit ja tietoturvalisenssejä Ismon edustamalle firmalle, mutta ei sen kummempaa. Ismo alkoi ymmärtää, että tosipaikan tullen ei ollut vasteaikaa mihin tukeutua. Palveluntarjoajan kanssa oli toki sovittu perustason IT-tuesta neljän tunnin vasteajalla, mutta tietoturvaan liittyvä reagointi oli tämän ulkopuolella. Toimittajalta toki sai sitä, mutta ilman sitoumusta nopeaan vasteaikaan.
Tietoturva Ismon työpaikalla osoittautui olevan sitä luokkaa, että lisenssejä oli asennettu työasemille ja palomuurit löytyivät. Juuri muuta ei oltukaan tehty, eikä aitoon hätään varauduttu. Tietoturvapuolelle ei ollut hankittu reagointipalvelua kireällä vasteajalla. Ismo ymmärsi, että kun tästä todella isolla rahamäärällä selviydytään ja suuren liiketoimintahaitan kautta, niin johtoryhmä haluaa selityksen yrityksen tietoturvan tasosta. Silloin Ismo muisti keskustelunsa Tiinan kanssa. Tiina halusi puhua tietoturvasta ja hänellä olisi selvästi ollut ratkaisuja tietoturvan kehittämiseen. Aitoa reagointia ja suojautumista.
Olettamus ja olettamisen mukanaan tuoma pettymys tai suoranainen epäonnistuminen. Tässä tarinassa olettaminen on johtanut olettajaa harhaan; Ismo oletti tietoturva-asioiden olevan kunnossa. Olisiko paremmin sujunut keskustelu tietoturvasta voinut estää epäonnistumisen, mainehaitan ja rahallisen tappion? Väitän, että vuorovaikutteisella keskustelulla olisi voitu välttyä jopa tämän kaltaiselta tilanteelta. Keskustelun jälkeen Ismon ratkaistavaksi olisi jäänyt joko kiristää vaatimuksia nykyisen palvelutuottajan suuntaan tai vaihtaa Tiinan edustamaan yritykseen, joka jo ensi metreillä osoitti aitoa halua auttaa asiakastaan ja varmistaa Ismon yrityksen hyvän tietoturvan tason.
Olen tehnyt yli 14 vuotta B2B-myyntiä ja huomannut olettamisen olevan läsnä loppujen lopuksi myynnin kaikissa vaiheissa. Esimerkiksi myyntisyklin alkupäässä kuulemme usein keskustelua kylmäsoittojen ja asiakaskontaktoinnin vaikeudesta, koska myyjä olettaa: ”ei se asiakas kuitenkaan vastaa” tai ”ei se asiakas tällaiseen ’spiikkiin’ lämpene”. Myyjän on luotettava ammattitaitoonsa ja siihen, että halu auttaa asiakasta hänelle merkityksellisissä haasteissa, tuottaa kyllä tulosta. Ei aina, mutta tarkka asiakas kyllä tunnistaa sen hyvän kaverin, jonka kanssa kannattaa tehdä yhteistyötä. Myyjän ei kannata myöskään olettaa, että asiakas muistaa kaiken palaverissa käydyn asian. Asioita täytyy käydä läpi aika ajoin uudestaan ja myyntityö on erityisen vahvasti laji, jossa perusasioista kiinnipitäminen johtaa menestykseen.
Asiakkaan ei myöskään kannata olettaa liikaa asioita. Kun tehdään tarjouspyyntöjä ja kilpailutuksia, jotka johtavat täysin päättömiin tai vertailukelvottomiin tarjouksiin toimittajilta, niin kaikki tuhlaavat aikaansa. Todennäköisesti jokainen osapuoli lopulta pettyy. Lisäksi voidaan sanoa, että kun jonkin osa-alueen oletetaan olevan kunnossa (mutta ei kuitenkaan oikeasti tutkita onko), niin huomiota ei keskitetä asiaan, johon ehkä kannattaisi. Pitää olla luotettava IT-kumppani ja osaava kaveri kertomaan, mitä kannattaisi harkita tai mitä olisi syytä ottaa huomioon.
Vuosien varrella olen nähnyt itse tietoturvan suhteen järkyttävässä kunnossa olevia ympäristöjä. Esimerkiksi palveluita, joista asiakkaat maksavat, mutta jotka eivät sitten tosipaikassa kuitenkaan toimi. Olen nähnyt tehtaan, joiden liukuhihnat voisi pysäyttää tien toiselta puolelta perustasoisen teini-ikäisen hakkerin toimesta. Olen nähnyt toimistohotellin, jonka asiakasyhtiöiden verkot olivat täysin avoimia kaikille. Olen nähnyt finanssialan toimijan, jonka asiakasrekisterit olivat suojaamatta avoimessa verkossa ja vielä pahan tietomurron, sekä sitä seuranneen mainehaitankin jälkeen ”kaikki oli kunnossa: ei tarvitse edes keskustella tietoturvasta”. Kaikissa näissä tapauksissa kaiken takana on ollut ihmisiä, jotka ovat olettaneet kaiken olevan niin kunnossa, ettei kannata edes keskustella aiheesta.
”Älä oleta ja tee tätä virhettä, vaan keskustele! Tarkistamalla asiat selviävät.”
Mikä olisi mielestäni oikea ratkaisu tähän koko teemaan? Kiteytän sen tähän. Asiakas: älä oleta, vaan selvitä ja keskustele. Ole utelias ratkaisujen ja muuttuvan maailman suhteen. Myyjä: älä oleta, vaan toimi, toista ja pidä perusasioista kiinni.
Meillä ei ole mahdollisuutta höllätä tietoturvan suhteen, vaan on varmistettava asioiden oikea laita. Edelleen asiakas päättää ja myyjä kuuntelee, sekä osoittaa asiantuntijuutta tarjoamalla asiakkaan IT-ympäristöön tai asiakkaan kulloinkin olevaan tarpeeseen järkeviä ja kustannustehokkaita ratkaisuja. Niin hyvä ja asiantunteva IT-kumppani toimii.
PS. Sinua saattaa kiinnostaa myös kollegani Arton blogit Tietoturva päättäjän näkökulmasta, osa 1 ja osa 2. Lue lisää Marskidatan palveluista Tietoturva ja IT-palvelut yrityksille. Tutustu myös asiakastarinaan Arbonaut valitsi Marskidatan tietoturvansa vahvistajaksi ja Mastsystem on tyytyväinen kokonaisvaltaisen IT-kumppanin palvelualttiuteen.
Niin ja ole yhteydessä meidän hyviin tyyppeihin myyntitiimissä myynti@marskidata.fi.
Edellisessä blogissani Tietoturva päättäjän näkökulmasta, osa 1 käsittelin sitä, että tietoturvaa ei voida enää tänä päivänä sivuttaa tai toteuttaa välttämättömänä pahana, vaan yritysjohdon tulee herätä todellisuuteen. Keskisuurissa ja suurissa yrityksissä tietoturva vieritetään usein IT-osaston vastuulle. IT-osaston koko on yleisesti 1–2 asiantuntijaa 100 työntekijää kohden, pienemmissä yrityksissä IT on lähes aina ulkoistettu kumppanille ja toimiston ”osaavin kaveri” hoitaa IT-osastoa oman työn ohella. Vastuu on aina kuitenkin johdolla ja tietoturvauhat koskevat kaiken kokoisia yrityksiä. Blogin tässä osassa mietimme, ovatko tietoturvan resurssit riittävät? Käymme läpi johdon vastuuta liiketoimintariskin ja hallinnollisen tietoturvan näkökulmasta.
Mikä sitten on tämän sisäisen IT-osaston tai ulkoisen kumppanin kompetenssi vastata tietoturvasta? Samaisten viimeisen kymmenen vuoden aikana olen Account Managerina toimiessani tavannut satoja yritysten IT-vastaavia, joiden kaikkien tehtävänä on yksiselitteisesti pitää yrityksen IT-ympäristö toimintakykyisenä. He vaihtavat patterit hiireesi, ottavat sähköpostin käyttöön uuteen puhelimeesi, palauttavat unohtuneet salasanasi ja niin edelleen. Päivittäinen työkuorma on yleisesti sillä tasolla, ettei osaamisen kehittämiseen esimerkiksi tietoturvan saralla jää aikaa. Vajaan 18 vuoden aikana olen törmännyt vain kahteen IT-vastaavaan, jolla on ollut voimassa oleva sertifikaatti käytössä olevan tietoturvasovelluksen asiantuntijuuteen.
Riskien minimoimiseksi tietoturva tulisi rakentaa ja kehittää asianmukaisen mallin avulla. Tässä mallissa yritysten tietoturva rakentuu yleisesti kumppaneiden sertifioitujen asiantuntijoiden osaamisen hyödyntämiseen. Tällöin kumppanin verkkoasiantuntijat asentavat uuden palomuurin ja vastaavat ohjelmiston päivittämisestä palomuuripalvelun mukaisesti, päätelaitesuojaukseen on hankittu lisenssit kumppanilta, joissa asennuksen ja käyttöönoton hoitaa päätelaitesuojausohjelmistoon sertifioitu asiantuntija. Yrityksen IT- vastaavasta tulee pääkäyttäjä, jolle kumppani toimittaa korkeintaan raportit sovellusten keräämistä tapahtumista, ellei muuta ole sovittu.
Tekniseen tietoturvaan sertifioidut asiantuntijat pitävät osaamistaan yllä jatkuvasti, mihin yritysten IT-vastaavilla ei yksinkertaisesti ole mahdollisuutta. Teknisessä tietoturvassa vuosi on pitkä aika. Ratkaisuja tulee päivittää jatkuvalla syötöllä uhkien muuttuessa kiihtyvällä vauhdilla.
Tässä päästään yrityksissä yhden ongelman ytimeen: Tietoturvaa ei saada kerralla kuntoon, projektinomaisesti. Yrityksen tulisi prosessinomaisesti kehittää tietoturvaansa jatkuvasti ja sen tulisi olla osa yrityksen kulttuuria.
Miten päättäjän sitten tulisi toimia vastuullaan olevan tietoturvan suhteen? Tietoturvan teknisiin yksityiskohtiin on turha käyttäjätason osaamisella keskittyä, sen sijaan tulisi keskittyä kysymykseen riskistä. Mitä nämä yrityksen toimintaan liittyvät riskit voisivat olla?
Yrityksen johto vastaa siitä, että yritys toimii liikeidean mukaisesti ja toimitusjohtaja vastaa toiminnan tuloksesta. Jos yhden hiiren klikkaus johtaa 2–3 päivän tuotannon pysähdykseen, menetetään noin 1 % vuotuisesta liikevaihdosta ja tuloksesta, menetettyinä työpäivinä. Mikäli yrityksen arkaluontoisia tietoja päätyy esimerkiksi mediaan, voiko tämä maineen menetys johtaa tärkeimmän asiakkaan tai kumppanin menettämiseen ja mikä vaikutus sillä on yrityksen liikevaihtoon? Muistutan vielä, että GDPR- ja NIS2-sääntöjen rikkominen voi johtaa oikeudellisiin seurauksiin.
Liiketoimintariskin kannalta yritysjohdon tulee huolehtia omanaan siitä, että hallinnollinen tietoturva on kunnossa. Hallinnollinen tietoturva kattaa politiikan, menettelytavat ja toimintatavat, joita yritys toteuttaa tietoturvan parantamiseksi. Se sisältää esimerkiksi tietoturvapolitiikan, tietoturvasuunnitelman, riskienhallinnan, palautumissuunnitelman ja käyttöoikeuksien hallinnan. Järeimmillään yritys voi standardoida tietoturvansa osaksi kaikkea toimintaa, kansainväliseen tietoturvanhallinta standardiin ISO27001 (ISO/IEC 27000 Tietoturvallisuuden standardisarja). Tietoturva on niin vahva, mitä sen heikoin linkki on.
Siksi onnistunut tietoturva huomioi kaikki osa-alueet:
IT ja tietoturva mielletään helposti samaksi asiaksi, mutta eivät ne sitä ole, vaan kulkevat hyvin käsi kädessä ja päällekkäin, esimerkiksi ohjelmistopäivitykset ovat osa toimivaa IT- ympäristöä käytännön tasolla ja todella merkittävä osa tietoturvaa. Yritysjohdon olisi kuitenkin hyvä käsitellä näitä kahtena eri aiheena ainakin budjetoinnissa, hyvin usein tietoturvabudjetti on osa IT-hankintoja.
Mikä tietoturvassa sitten maksaa? Tietoturva ja siihen liittyvät palvelut vaativat aina korkeimman tason asiantuntijaosaamista. Tehty työ taas ei näy loppukäyttäjälle. Ensimmäisessä blogin osassa alussa mainitsemani epäilyttävä sähköposti on merkki siitä, ettei tekniset tietoturvaratkaisut toimi optimaalisesti, toimivassa ratkaisussa loppukäyttäjä ei edes saa epäilyttävää sähköpostia Saapuneet-kansioonsa. Tämän pienen näkyvän muutoksen eteen on mahdollisesti jouduttu hankkimaan uutta tekniikkaa ja sen käyttöönottoon tehty useampi päivä töitä. Korkean teknisen tietoturvatason ratkaisuissa nähdään, mitä kaikkialla yrityksen verkossa tapahtuu reaaliaikaisesti, mahdollisiin lauenneisiin uhkiin pystytään vastaamaan minuuteissa ja valvonta tapahtuu 24/7.
Tämän kaltaisten täyden valvonnan ja reagointipalveluiden kustannus on laajuudesta huolimatta keskimäärin vähemmän kuin yhden uuden työntekijän palkkakulut kuukausitasolla ja todennäköisesti paljon vähemmän kuin vaihtoehtoinen kustannus 1 % liikevaihdosta, mikäli tuotanto pysähtyy.
Marskidatan asiantuntijat auttavat yrityksen tietoturvan parantamisessa, tietoturvan alkukartoituksesta aina hallinnon konsultointiin, jolla luomme asiakaskohtaisen tietoturvapolun kehittyvälle tietoturvaprosessille. IT-kumppanina meillä on mahdollista täydentää palveluitamme kattavilla teknisillä tietoturvaratkaisuilla, jotka täyttävät myös NIS2-vaatimukset.
Tutustu asiakastarinaan Lakan Betoni sai tietoturvan kehityssuunnitelman Health Checkin myötä. Lue lisää NIS2-direktiivistä sivultamme OLETKO VALMIS NIS2-direktiiviin? ja tutustu palveluihimme Tietoturva.
Ota meihin yhteyttä, me autamme sinua!
Yritysjohdon, johtoryhmän jäsenten tai yksittäisen toimitusjohtajan ymmärrys tietoturvasta tulisi olla käyttäjän tasoa ylemmällä tasolla. Käyttäjä esimerkiksi ymmärtää olla avaamatta epäilyttävän näköisen sähköpostin, ehkä, mikäli sellainen sähköpostilaatikon Saapuneet-kansioon ilmestyy. Yritysjohdon tulee hallita erittäin monimutkaista kokonaisuutta nimeltä Yrityksen tietoturva. Jos ymmärrys tietoturvasta on käyttäjän tasolla, kuinka päättäjä osaa tehdä oikeat hankintapäätökset tarvittavista tietoturvatekniikoista tai muodostaa yrityksen säännöistä ja käytänteistä tietoturvapolitiikan, jota yritys noudattaa kaikessa tekemisessään?
Vastuu yrityksen tietoturvasta on aina yrityksen johdolla, hallituksella ja toimitusjohtajalla myös henkilökohtaisesti. Yrityksen oma IT-osasto tai IT-kumppani ei ole vastuussa tietosuojaloukkauksista tai tietomurroista. NIS2-direktiivin ja tulevan lain mukaan yrityksen johto vastaa kyberturvallisuuden riskienhallinnan valvonnan ja toteuttamisen järjestämisestä. Se myös hyväksyy riskienhallinnan toimintamallin ja valvoo sen toteuttamista. Yrityksen johdolla tulee olla riittävä perehtyneisyys kyberturvallisuuden riskienhallintaan.
Harmillista onkin todeta, että kokemukseni mukaan suhtautuminen NIS2-direktiiviin on vieläkin suurella osalla yrityksiä varsin välinpitämätöntä. Kysyttäessä, miten asiaan on valmistauduttu, vastaus on hyvin usein:
”Tulkintamme mukaan, se ei koske meitä.”
Vastaus on jokseenkin hämmentävä, sillä eikö tietoturvan parantaminen aiheuta toimenpiteitä, ellei se koske kyseistä yritystä suoraan lainsäädännön puitteissa?
NIS2-direktiiviin kuuluvien yrityksien vastuu toimitusketjun tietoturvasta tulee huomioida. Marskidata on esimerkiksi saanut useita yhteydenottoja koskien asiakkaidemme kumppanien lähettämiä selvityspyyntöjä koskien asiakkaidemme tietoturvaa. Lähettäjien joukossa on esimerkiksi suuria vähittäiskauppaketjuja, kuntahankinta yhteenliittymiä tai suuria metsä- ja metallialan yrityksiä. Kyselyt pohjautuvat usein kansainväliseen tietoturvanhallintastandardiin ISO27001 (ISO/IEC 27000 Tietoturvallisuuden standardisarja) tai Yhdysvaltain standardisointi- ja teknologiainstituutin (NIST) standardeihin. On pääteltävissä, että kaikki kyseisten tahojen kumppanit saavat samaisen kyselyn täytettäväksi, sillä vastaanottajaorganisaatioiden koot voivat vaihdella muutamasta hengestä satoihin työntekijöihin.
Mitä tapahtuu, mikäli yritys ei täytä kyselyn mukaista ”tietoturvatasoa”?
Esimerkiksi yhdessä tapauksessa 25 kohdan kyselyssä viisi kohtaa oli asetettu pakolliseksi ehdoksi edetä tarjouskilpailuun ja näiden kohtien toteutuminen tulee pystyä näyttämään toteen. Tietoturva tai sen asianmukainen hallinta muodostavat näin ollen liiketoimintariskin yrityksen toiminnalle. Standardisoitu ja jatkuvan kehityksen prosessissa oleva yrityksen tietoturva toimii varmasti yrityksen kilpailuetuna.
Viimeisen kymmenen vuoden aikana moni yritys on pohtinut vaikutustaan ympäristöön ja omaa vastuullisuuttaan. Tämä on johtanut valtaisaan aaltoon standardoida yrityksen toiminta ympäristöjohtamisen standardin ISO 14001 täyttäväksi (ISO 14000 Ympäristöjohtamisen standardisarja). Tämä on johtunut osittain julkisesta sekä sisäisestä paineesta vihreän siirtymän aikakaudella. Vastaavaa ei ole tapahtunut yrityksissä tietoturvan puolella, vaikka kuukausittain saamme lukea mediasta hakkeroiduista yrityksistä tai yhteisöistä. Kansalaisia kehotetaan varovuuteen tiettyjen tahojen viestejä avatessa, koska hakkereiden on kerrottu ottaneen yrityksen viestinnän haltuun. Tapauksia on jatkuvasti enemmän, ne ovat yhä suurempia ja kohdistuvat yhä lähemmäksi suomalaisia yrityksiä ja yhteisöjä.
Mikäli päättäjien päässä ajatus on edelleen tasolla, ”olemme pärjänneet näillä ratkaisuilla kymmenen vuotta” tai ”miksi kukaan nyt meidät haluaisi hakkeroida”, on vain ajan kysymys koska näin tapahtuu omalle kohdalle.
Ottaen huomioon NIS2-direktiivissä mainitut vastuut, Account Managerina olen kohdannut viimeisen kymmenen vuoden aikana vain kourallisen päättäjiä, jotka ovat osoittaneet mielenkiintoa oman yrityksensä tietoturvaan. Keskisuurissa ja suurissa yrityksissä päättäjät yleisesti kertovat yrityksen tietoturvan olevan IT-osaston vastuulla. IT-osaston koko on yleisesti 1–2 asiantuntijaa 100 työntekijää kohden, pienemmissä yrityksissä IT on lähes aina ulkoistettu kumppanille ja toimiston ”osaavin kaveri” hoitaa IT-osastoa oman työn ohella. Tietoturvauhat koskevat myös pieniä yrityksiä. Vaikka suuret yritykset ovat usein enemmän uutisotsikoissa tietomurtojen ja tietoturvaloukkausten yhteydessä, pienet yritykset eivät ole immuuneja tietoturvauhille. Päinvastoin pienet yritykset voivat olla houkuttelevia kohteita hyökkääjille todennäköisesti helpompana kohteena tai reittinä ison kumppanin järjestelmiin. Yksinkertaisena ohjeena päättäjän tulisi kysyä omalta IT-osastolta tai kumppanilta:
”Onko meillä tietoa tai näkymää siitä, mitä meidän verkossamme tapahtuu tai on tapahtunut?”
Mikäli vastaus on ei tai osittain, yritys ei voi NIS2-direktiivin mukaisesti ilmoittaa tietoturvapoikkeamasta, se ei tällöin myöskään täytä direktiivin vaatimuksia ja tärkeimpänä, yritys ei voi tehdä korjausliikkeitä ehkäistäkseen saman asian toistumista uudestaan. Miten asia voidaan korjata, mikäli ei tiedä mikä on rikki?
Vielä ei ole myöhäistä pistää asioita kuntoon, mutta se on ensin aloitettava omasta asenteesta ja asennoitumisesta yrityksen tietoturvaa kohtaa.
Vastuu on sinulla, Päättäjä! Marskidata auttaa.
Marskidata IT-kumppanina auttaa sinua, jotta voit olla varma yrityksesi asianmukaisesta tietoturvan tasosta. Lue lisää NIS2-direktiivistä sivultamme OLETKO VALMIS NIS2-direktiiviin? Tutustu palveluihimme Tietoturva ja IT-palvelut yrityksille. Seuraavassa blogin osassa Tietoturva päättäjän näkökulmasta, osa 2 pohdin sitä, ovatko yrityksen tietoturvaresurssit riittävät. Käymme läpi johdon vastuuta liiketoimintariskin ja hallinnollisen tietoturvan näkökulmasta.
Kyberrikolliset yrittävät päästä käsiin salattuun tietoon, jotta voivat esimerkiksi kiristää tai tuhota tärkeän tiedon tehden mittavaa haittaa liiketoiminnalle, sekä samalla yrityksen maineelle. Varmistukset ja palautukset ovat asia, joista monesti toivotaan, ettei niihin tarvitse koskaan turvautua, mutta silloin kun niitä tarvitaan, ne voivat olla viimeinen mahdollisuus saada hävinnyt tai rikkoutunut tieto takaisin yrityksesi saataville. Kovin inhimillistä, mutta äärimmäisen harmillista on se, että näihin havahdutaan usein vasta kun jotain ikävää sattuu.
Jotta näin ei kävisi, ota yrityksesi suojaukset ja varmistukset tarkasteluun pikimmiten. Toimivien ja suojattujen varmistusten lisäksi tarvitset myös reaaliaikaista tietoturvaohjelmistojen suojausta esimerkiksi työasemien ja palvelinten osalta. Tämän lisäksi päivitysten avulla on tärkeä ylläpitää IT-ympäristöä kokonaisuudessaan ajan tasalla. Varmistukset ovat siis se viimeinen ”perälauta”, joka voi vielä kenties pelastaa koko liiketoimintasi jatkumisen vaikeissa ongelmatilanteissa.
Ulkopuolisten uhkien aiheuttamat vakavat ongelmat ovat selvästi kasvussa ja niiden hallinta vaatii entistä enemmän huomiota. 93 prosenttia Ransomware-hyökkäyksistä kohdistuu erityisesti varmistuksiin. Voit tutustua aiheeseen Ransomware-trendien, 1 200 uhrin ja lähes 3 000 kyberhyökkäyksen oppien kautta: 2023 GLOBAL REPORT.
Tarvitsevatko varmistukset lisäsuojausta sen lisäksi,
että ne toimivat hyvin päivittäin ja niitä seurataan?
Kyllä tarvitsevat, mutta minkä vuoksi?
Jos varmistuksia ei suojata, niin ne ovat alttiina seuraaville uhkatekijöille:
Varmistusten lisäsuojauksen kohdalla puhutaan esimerkiksi seuraavista termeistä:
Nämä suojaustavat eivät monesti ole oletusasetuksissa päällä varmistuksissa, vaan vaativat lisämäärityksiä ja/tai lisälisensointia. Mikäli termit ovat sinulle vieraita, jatka lukemista, jotta tiedät tärkeimmät pointit näistä termeistä.
Immutable Backup tarkoittaa, että jo varmistettu tieto suojataan teknisesti niin, ettei sitä voida muuttaa, poistaa tai lukita pois käytöstä haluttuun aikarajaan asti varmistusten ottamisesta alkaen.
Palautukset ovat normaalisti siis saatavilla, mutta varmistukset ovat ”lukittuja”. Tämä antaa suojaa edellä listattuja uhkatekijöitä vastaan tehokkaasti, jo tehtyjen varmistusten osalta.
Immutable-suojaus voidaan toteuttaa varmistusten kohteen osalta varmistusohjelmistojen omilla työkaluilla ja/tai ohjeistuksilla (jos tuki olemassa), tai esimerkiksi julkisten pilvipalvelujen varmistuslevyjen osalta niiden omilla lukitus- ja versiointiasetuksilla.
On myös varmistuslaitteistoja, jotka toimivat varmistusten kohteena ja niissä on laitepohjainen sisäänrakennettu Immutable-ominaisuus muiden varmistusta tukevien toimintojen ohella mukana. Nämä ovat erittäin monipuolisia ja tehokkaita ratkaisuja. Esimerkkinä tällaisista ratkaisuista Dellin PowerProtect Data Domain Appliances.
Varmistuksen aikana varmistettava tieto voidaan suojata kryptaamalla, jolloin varmistukset eivät ole luettavassa muodossa ulkopuolisten käsissä. Vaihtoehtoisesti kryptaus voidaan tehdä joissain tapauksissa varmistusten kohdelevyllä.
Varmistusten tiedon avaamiseksi ja saattamiseksi luettavaan muotoon tarvitaan varmistusten ylläpitäjän asettamaa kryptausavainta (salasana). Muuten tieto pysyy suojattuna lukemisen osalta eli sitä ei voida hyödyntää esimerkiksi niin, että voitaisiin uhkailla kopioitujen varmistusten julkaisulla julkisesti tai käyttää tietoa hyödyksi muuten.
Varmistusohjelmistoihin on viime vuosina alettu integroida mahdollisuus tunnistaa varmistettavasta tiedosta Ransomware- ja Malware -ohjelmille tyypillistä haitallista toimintaa.
Tällä voidaan tunnistaa jo aktiivisesta tuotantodatasta mahdollisten haittaohjelmien läsnäoloa ja estää niiden päätymistä varmistuksiin, joka saastuttaisi muutoin myös varmistuksissa olevan tiedon ja näin ollen palautuksista palautuisi myös haittaohjelmat takaisin aktiiviseen tuotantodataan.
On olemassa myös laitepohjaisia kokonaisratkaisuja, joilla suojausta voidaan nostaa vielä askelta korkeammalle, näissä ominaisuudet ovat myös korkealla tasolla. Esimerkiksi Ransomware-tapauksissa voidaan tuotannon palautumisaikaa lyhentää tällaisella järjestelmällä viikoista jopa tunteihin. Ratkaisu kykenee datan ensisijaiseen varmistamiseen, sen turvalliseen kopiointiin eristettyyn toiseen laitteistoon, lukitsemaan datan ja havaitsemaan mahdollisen korruption sekä haittaohjelmat. Lisäksi kattava monitorointi ja raportointi kuuluu laitteistoon.
Näissä laitepohjaisissa kokonaisratkaisuissa niin sanottu ”puhdas” palautus voidaan tehdä suoraan tuotantoympäristöön takaisin tai rinnalle olemassa olevaan DR/testiympäristöön tarpeen mukaisesti.
Alla on kuvattu Dell PowerProtect Cyber Recovery -ratkaisu, joka koostuu kahdesta erillisestä Dell DataDomain laitteistosta. Laitteiston ”Vault” osuus on eristetty tuotantoverkosta niin, ettei sitä Ransomware hyökkääjä pääse edes näkemään ja näin se on suoralta pääsyltä turvassa. Lue lisää aiheesta Dell PowerProtect Cyber Recovery.
On sitten kyberhyökkäyksiin tai suojauksiin liittyvät termit hallussasi tai eivät, me autamme sinua huolehtimaan yrityksesi kotipesän kuntoon kyberhyökkäysten varalta. Marskidatan asiantuntijat auttavat sinua kartoittamaan yrityksesi tarpeet varmennuksien ja lisäsuojausten varalta. Meidän palvelutarjonnastamme löytyy kattavasti erilaisia vaihtoehtoja. Voimme esimerkiksi kartoittaa yrityksen IT:n nykytilan ja toteuttaa tärkeitä parannuksia yrityksesi kyberturvallisuuden parantamiseksi. Koulutamme myös henkilöstöä tietoturvaosaamisessa, jotta inhimillisiä erehdyksiä sattuisi mahdollisimman vähän. Tutustu palvelutarjontaamme IT-palvelut yrityksille, sekä Solenovon asiakastarinaan konesalipalveluistamme Kustannustehokkuutta ja tarkempaa budjetointia konesalipalveluiden migraation myötä. Sinua saattaisi kiinnostaa myös blogimme Kyberpalautuminen ja Tietoturvakoulutus parantaa yrityksen kyberturvallisuutta ja säästää rahaa.
Meidän asiantuntijoillemme kyberturvallisuusratkaisut ovat arkipäivää, joten kerromme mielellämme lisää aiheesta. Otathan yhteyttä myynti@marskidata.fi, jos jokin jäi mielenpäälle!