Tietomurron havaitseminen voi olla erittäin vaikeaa
Jaa sivu:
Tietomurtoja tehdään nykyään niin taitavasti, että jopa IT-ammattilaisen voi olla erittäin vaikea niitä havaita. Järjestelmän hidastelu tai oudot merkit tiedostonimissä ovat yleensä hälytysmerkkejä ongelmista, mutta niitä ei aina edes ilmene.
Esimerkiksi tämänhetkiset kryptovaluutan louhimiseen tarkoitetut haittaohjelmat asentuvat järjestelmiin huomaamattomasti. Ne piilottavat itsensä tietojärjestelmään nimillä, jotka muistuttavat tavallisia järjestelmätiedostoja. Lisäksi haittaohjelmat toimivat niin, että ne eivät kuormita järjestelmää liikaa. Tällöin ylläpitäjät tai valvontajärjetelmät eivät välttämättä huomaa haittaohjelmaa – tai jos huomaavatkin niin joskus vasta kymmenien, jopa satojen päivien kuluttua.
Siksi olisi tärkeää, että järjestelmien ylläpitäjillä on pääsy sellaisiin tietoihin, joista mahdolliset tietomurrot tai poikkeamat voidaan havaita.
Poikkeamailmoituksen tekemistä varten organisaatioon olisi hyvä luoda prosessikuvaus, jonkinlainen malli tai selkeä ”to do” -lista.
Mallissa tulisi kuvata poikkeamailmoituksen tekeminen, kenen vastuulla on ongelman jatkoselvittäminen ja mille tahoille asiasta tiedotetaan (esimies, it, viestintä, toimitusjohtaja, palveluntarjoajat, yhteistyökumppanit). Tämä turvaisi sen, että kaikki tietävät, miten selvitystyö etenee. Ja tarvittaessa selvitystyötä voisi koordinoida sellainenkin, jolle aihe ei välttämättä olisi niin tuttu.
Ja kun toimintamalli on tehty, järjestelmän käyttäjät on koulutettava tai ainakin ohjeistettava käyttämään sitä.
Käyttäjiä on myös kannustettava ilmoittamaan poikkeamista – siinäkin tapauksessa, että ilmoitus osoittautuisi turhaksi. On aina parempi ilmoittaa kuin jättää ilmoittamatta, sillä silloin asia tulee selvitettyä. Ilmoittamatta jäänyttä asiaa on vaikea selvittää.
Kyse on samasta kuin työtapaturmien ehkäisyssä ja turvallisuushavaintojen tekemisestä: turhaa havaintoa ei ole.
Sisäinen ja viranomaisille tehtävä ilmoitus
Järjestelmän käyttäjille on myös hyvä tehdä selväksi, että organisaation sisäinen poikkeamailmoitus on eri asia kuin viranomaisille tehtävä ilmoitus. Poliisille, Kyberturvallisuuskeskukselle tai tietosuojavaltuutetulle poikkeamailmoituksen tekee organisaatiossa erikseen nimetty henkilö.
Tietoturvapoikkeamia voi olla myös muualla kuin tietojärjestelmissä, esimerkiksi fyysisissä tiloissa, kameravalvonnassa, huoltorutiineissa, kulunvalvonnassa tai vaikkapa vanhoissa laitteissa, joita on jäänyt lojumaan työhuoneiden kaappeihin tai varastoon.
Poikkeamasta on kyse myös silloin, jos esimerkiksi roskikseen on laitettu luottamuksellista materiaalia. Organisaatiossa voi olla myös tiloja, kuten toimistoja tai kokoushuoneita, joihin ei saisi päästää ulkopuolisia. Jos tällaisissa tiloissa vierailee sinne kuulumattomia henkilöitä, niin kyseessä voi olla poikkeama – tietenkin riippuen siitä, miten poikkeama määritellään.
Asenne on usein tietotekniikkaa tärkeämpi tekijä. On arvioitu, että jopa 80 prosenttia tietoturvaongelmista johtuu käyttäjien tietämättömyydestä, huolimattomuudesta tai piittaamattomuudesta. Joku unohtaa kirjautua ulos poistuessaan tietokoneelta ruokatauolle. Toinen kirjoittaa salasanansa paperille ja pitää sitä työpöytänsä laatikossa.
Tietoturvapoikkeaman voi aiheuttaa myös kiusanteko, joko sisäinen tai ulkoinen, ja niistäkin tulisi tehdä ilmoitus. Ja vaikka omassa organisaatiossa asiat olisivat kunnossa, kumppanien tai alihankkijoiden huonot käytänteet voivat olla tietoturvariski.
Päivitys, koulutus ja kopiot
Järjestelmien ja IT-päätelaitteiden säännöllinen päivittäminen on tärkeä keino ehkäistä tietoturvaloukkauksia ja vähentää muun muassa automaattisia tietoturvahyökkäyksiä, joissa pyritään hyödyntämään internetin avoinna olevia päivittämättömiä järjestelmiä.
Toinen keino on käyttäjille säännöllisesti annettava tietoturvakoulutus, jonka tärkeyttä ei koskaan voi korostaa liikaa. Koulutuksen avulla voi myös motivoida työntekijöitä tekemään havaintoja – tietoturvahavainto voi olla myös ”positiivinen”. Mitään ei ehtinyt tapahtua, kun hälytysmerkki huomattiin ajoissa ja ongelma korjattiin.
Kolmas ja yhtä tärkeä ehkäisykeino on varmuuskopiointi. Säännöllisesti otetut ja toimiviksi testatut varmuuskopiot pelastavat tilanteen ison vahingon sattuessa.
Tietoturvapoikkeamaan on reagoitava aina. On kaikkien etu, että työpaikka on turvallinen paitsi taloudellisesti myös toiminnallisesti. Mitä vähemmän on häiriöitä, sen enemmän yrityksellä on kilpailuetua.