Suurin tietoturvauhka voit olla sinä itse

Saat puolestani heittää ensimmäisen kiven, jos et koskaan ole lähettänyt luottamuksellista työpostia henkilökohtaiseen sähköpostiin. Seuraava kivi menemään, jos et ole tallentanut salasanoja paperilapulle ja hukannut sitä. Ihmettelen myös, jos et ole käyttänyt samoja salasanoja henkilökohtaisessa ja työkäytössä. Ja kukapa ei tuntisi kaveria, joka vahingossa on lähettänyt sähköpostia väärään osoitteeseen kera luottamuksellisen aineiston, tai ketään, joka ei olisi langennut tietojen kalasteluun tai hyväksynyt tuiki tuntematonta esimerkiksi LinkedIn-kontaktiksi. Useissa tietomurtotapauksissa hyökkääjä saa pääsyn yrityksen tietokantoihin tavallisen työntekijän ihan sinänsä inhimillisen, mutta ajattelemattoman toiminnan seurauksena.

Kun lehdet kirjoittavat tietomurroista tai tietoturvauhista, puhutaan useimmiten ulkopuolisista uhista: hakkereista, poliittisista toimijoista tai rikollisista, jotka yrittävät tunkeutua järjestelmiin. Ja toki tämä kaikki on totta. Mielikuva hupparihemmosta näytön himmeässä valaistuksessa on kuitenkin yhtä tosi kuin tilapäistyöntekijä, jolle on vahingossa annettu turhan laaja pääsy järjestelmiin tai työntekijä, joka vain uteliaisuuttaan selailee yrityksen tietokantoja. Uhrin onkin helpompaa syyttää ulkopuolista tahoa. Useimmiten julkisuudessa ei mainitakaan, että tosiasiassa tietomurto oli seurausta yrityksen sisäpiirin mokasta.

Vuoden 2016 Cyber Security Intelligence Index -tutkimuksessa IBM havaitsi, että 60 % kaikista tietomurtohyökkäyksistä oli seurausta yritysten sisäpiirin, työntekijöiden, tilapäistyövoiman tai kumppaneiden, toiminnasta. Näistä hyökkäyksistä kaksi kolmesta oli tahallista ja tietoista toimintaa ja kolmannes huolimatonta toimintaa, joka altisti yrityksen tietomurrolle. Toimialakohtainen vaihtelu oli tunnistettavissa. Alat, joissa henkilötiedoilla, yrityssalaisuuksilla tai rahalla sinänsä on suuri painoarvo, olivat uhille alttiimpia. Yhteistä kaikille toimialoille oli ihmiset ja heidän toimintansa. Bob Kalka, Vice President, IBM Security, uskookin, että täytyy ymmärtää ihmisten käyttäytymistä, niin hyvässä kuin pahassakin, jotta voidaan rakentaa tehokkaita tietoturvajärjestelmiä.

Tarkoituksella pahaa tahtovat työntekijät ovat todellistakin todellisempi uhka. He voivat toimia erilaisin motiivein: etsiä rahanarvoista tietoa, tehdä suoranaisia petoksia tai olla vain jostakin syystä katkeria työnantajaansa kohtaan. Sisäpiiriläiset, joilla on pääsy järjestelmiin, toimivat järjestelmän näkökulmasta ikään kuin oikeutetusti ja ovat näin ollen tietoturvajärjestelmien tavoittamattomissa. Lisäksi heillä saattaa olla mahdollisuus poistaa toimintansa jäljet.

Yksinkertainen ratkaisu olisi tietysti tiukat rajoitukset, mutta tämä puolestaan rajoittaisi tuottavuutta, innovatiivisuutta ja tiedonjakoa, sekä lopulta turhauttaisi käyttäjät raivon partaalle. Onneksi tilanne ei kuitenkaan ole aivan toivoton.

Tekoälyn ja analytiikan ansiosta potentiaaliset yrityksen sisältäkin tulevat uhat voidaan havaita. Lisäksi jokaisen esimiehen tulee ymmärtää tietoturvan perusasiat, sillä niillä pääsee jo pitkälle.

• Keskity kriittiseen tietoon. Pahaa tahtovat ihmiset yleensä tietävät, mitä ja mistä etsivät. Rajoita kriittisiin tietoihin pääsyä ja tarkkaile niiden käyttöä.
• Ota analytiikka käyttöön. Ihmiset ovat tapojensa orjia. Useimmat meistä tulevat töihin samaan aikaan ja toimivat muutenkin ennustettavasti. Samaa voidaan sanoa tietotekniikan käytöstämme. Analytiikan avulla voidaan havaita poikkeava käyttäytyminen jopa yksilötasolla ja siten arvioida, mitkä järjestelmät ovat mahdollisesti joutuneet murretuiksi.
• Tunne työntekijäsi. On tärkeää ymmärtää, ketkä käyttäjät voivat potentiaalisesti saada aikaan suurimmat vahingot. Heidät ja kriittiset tietokannat tulee asettaa etusijalle havainnoinnissa. Erityisesti järjestelmävalvojat, yrityksen ylin johto ja avainkumppanit ovat houkuttelevia kohteita niin ulkopuolisille rikollisille kuin sisäpiirin pahaa tarkoittaville tahoille.
• Muista perusasiat. Tietoturva-ammattilaiset tapaavat rakastaa uusimpia ohjelmistoja, mutta tosiasia lienee, että perusasiat kuntoon laittamalla ollaan jo pitkällä, ainakin sisäpiiriläisten osalta. Automatisoimalla ohjelmistopäivitykset saadaan merkittävästi lyhennettyä haavoittuvuusaikoja ja verkkoon pääsyn mahdollisuutta. Identiteetin ja pääsynhallinnan sekä salasanojen periaatteiden käyttöönotolla identiteetin varastaminen vaikeutuu. Kaiken kaikkiaan kyse on henkilöstön kouluttamisesta ja yhteisymmärryksestä siitä, että tietoturva on lopulta kaikkien etu eikä haitta. Joskus jopa kannattaa testata ihmisiä lähettämällä heille esimerkiksi testisähköpostia ja katsomalla lankeavatko he asetettuihin ansoihin. Ja vaikkeivat lankeaisikaan, ruokapöytäkeskusteluissa tietoisuus taatusti kasvaa.

Kun seuraavan kerran luet mehevän jutun tietoturvamurrosta, muista, että murtaja on todennäköisesti päässyt sisään jonkun sisäpiirin jäsenen möhläyksen seurauksena tai on itse sisäpiiriläinen, vaikka tuskin tätä jutussa mainitaankaan. Kun EU:n uusi tietosuoja-asetus astuu voimaan keväällä 2018, kannattaa viimeistään olla valmiina. Lue, kuinka me voimme auttaa tässä: http://www-05.ibm.com/fi/security-gdpr/index.html

Kirjoittaja:

Tero Rauhala

Markkinointijohtaja, tietoturvaratkaisut, IBM