Tämä kirjoitus julkaistiin alun perin Mediumissa.
Tiedän, kuinka hankala aihe kyberturva voi olla toimitusjohtajille ja yritysten hallituksille.
Perustin vuonna 1988 kyberturvayritys F-Securen ja olin 18 vuotta sen toimitusjohtaja. Tänään F-Secure on sekä teknologialtaan että yrityksille suunnatulta palveluvalikoimaltaan Euroopan suurin kyberturvayritys. Olen ollut myös Nokian hallituksen puheenjohtaja vuodesta 2012 ja seurannut, kuinka maailmanlaajuinen teknologiayritys pyrkii suojelemaan itseään ja asiakkaitaan sekä rakentamaan turvallisuutta kaikkiin tuotteisiinsa ja ratkaisuihinsa.
Kyberturvallisuus on jatkuvasti muuttuva, hyvin tekninen ala, jolla toimitusjohtaja ei voi olla — eikä hänen pitäisi olla — asiantuntija. Valitettavasti aihetta ei voi enää täysin delegoidakaan. Yhä suurempi ulkoinen paine vaatii toimitusjohtajaa vastaamaan yrityksen kyvystä puolustaa itseään ja asiakkaitaan. Hallitus pyytää tilanneraportteja. Mikä tärkeintä, riskit ovat kasvaneet siihen pisteeseen, että kyberturva on väistämättä tullut toimitusjohtajan vastuulle.
Mutta mikä sitten on toimitusjohtajan rooli? Onko mahdollista löytää tasapaino etäisen, mitäänsanomattoman lintuperspektiivistä tarkastelun ja teknisiin yksityiskohtiin hautautumisen välillä? Kuinka toimitusjohtajan pitäisi valmistautua, jotta hänellä on riittävä ymmärrys ohjata yritystä eteenpäin?
Haaste on vielä vaikeampi hallituksille, joiden pitää ottaa kantaa moniin samoihin kysymyksiin kuin toimitusjohtajan, mutta jotka saavat tehtävässään vähemmän tietoa ja ovat vieläkin kauempana yrityksen toiminnasta. Kuinka paljon aikaa pitäisi varata kyberturvalle, ja kuinka usein? Mitkä ovat oikeita kysymyksiä toimitusjohtajalle? Kuinka voidaan tietää, mitkä yrityksen valmiudet ovat, ja mitkä niiden pitäisi olla? Kuinka edistymistä pitäisi mitata?
7 kyberturvaa edistävää käytännönläheistä askelta
Vastaus on aina osittain yrityskohtainen, mutta on olemassa käytännönläheisiä askeleita, jotka jokainen toimitusjohtaja tai hallitus voi ottaa. Jos johdat isoa pankkia tai puolustusalan yritystä, alla olevan listan lukeminen pitäisi olla helppoa, sillä todennäköisesti teet jo rutiininomaisesti kaiken listaamani. Toisaalta, mikäli johdat perinteisempää teollisuusliiketoimintaa, listassa voi olla asioita, joita et ole ajatellut.
1. Tunnista kaikkein kriittisimmät järjestelmäsi. On tärkeää, että toimitusjohtaja tietää, mitkä ovat ne IT-järjestelmät, joita ilman yritys ei voi elää. Sinun pitäisi arvioida järjestelmien merkitystä ainakin näistä näkökulmista: tulonmuodostus (kuinka järjestelmän menettäminen vaikuttaisi yrityksen tuloihin), brändi (kuinka esimerkiksi luottamuksellisten asiakastietojen menettäminen tai asiakkaiden liiketoiminnan häiriintyminen vaikuttaisivat) ja tulevaisuuden kilpailukyky (tuotekehityssuunnitelmien, tärkeimpien ohjelmistojen tai strategisten suunnitelmien menettäminen).
Yhä useammat yritykset liittävät tuotteisiinsa ja palveluihinsa erilaisia sensoriominaisuuksia. Joillekin perinteisemmille teollisuuden aloille tämä merkitsee hyppyä analogisesta digitaaliseen maailmaan. Tämä tarkoittaa, että tuotteisiisi on upotettu tietokoneita, ja ne voidaan hakkeroida. Siksi täytyy löytää uutta osaamista, jolla järjestelmät rakennetaan niin turvallisesti, etteivät asiakkaidesi järjestelmät tai omat kriittiset järjestelmäsi paljastu ratkaisuihisi asennettujen sensoreiden kautta.
Siksi et voi kriittisiä järjestelmiä tunnistaessasi keskittyä vain omiin IT-järjestelmiisi. Myös tuotannon valvontaprosessit ja kaikki niihin kytkettävät ratkaisut on käytävä läpi. On hyvä tutustua myös omaan toimitusketjuun ja kaikkiin toimittajien järjestelmiin, jotka kytkeytyvät omiisi. Samoin kuin sinä saatat olla asiakkaasi kyberpuolustuksen heikko lenkki, omat toimittajasi saattavat olla troijan hevosia, jotka päästävät tunkeutujat järjestelmiisi.
2. Ymmärrä ja keskustele avoimesti näihin kriittisiin järjestelmiin tunkeutumisen vaikutuksista ja siitä, mikä on suurin mahdollinen vahinko, joka niiden kautta voidaan aiheuttaa, mikäli hyökkääjä haluaa aiheuttaa mahdollisimman paljon pahaa.
Esimerkiksi, vain harvat yritykset miettivät skenaariota, jossa intranet-, Outlook- ja VoIP-viestintä ovat poissa käytöstä. Kuinka saat yhteyden työntekijöihisi, jos he eivät pääse sähköpostiin, ja ette enää tallenna puhelinnumeroita? Voisin nimetä useita suuria yrityksiä, jotka ovat viime vuosina olleet tässä tilanteessa, ja niiden kyky toipua hidastui, koska alussa ei pystytty kommunikoimaan avainhenkilöiden kanssa.
3. Tunnista, millaisia hyökkääjiä toimintasi saattaa houkutella. Näin saat käsityksen siitä, millaisia hyökkäysrajapintoja he todennäköisesti käyttävät, ja mitkä heidän tavoitteensa saattavat olla. Tämä auttaa sinua suunnittelemaan puolustustanne.
4. Tilaa kaikkein kriittisimpiin järjestelmiisi kohdistuva “red team” -hyökkäys luotettavalta kyberturvayritykseltä. Älä kerro hyökkäyksestä etukäteen tietohallintojohtajallesi – näin saat todellista tietoa kyberturvatiimisi kyvyistä. Kannattaa lähteä siitä oletuksesta, että hyökkäys onnistuu (F-Secure on tehnyt viime vuosien aikana satoja ”red team” -hyökkäyksiä, ja tähän asti 100 prosenttia niistä on onnistunut.)
Kun arvioit hyökkäyksen tuloksia, kiinnitä huomiota näihin:
a. Voiko kriittisiin järjestelmiin tunkeutua (oliko torjuntakykysi riittävä estämään hyökkäyksen).
b. Jos “red team” -hyökkäys onnistui tunkeutumaan kriittisiin järjestelmiisi, ole onnellinen siitä, että kyseessä oli ystävällinen hyökkääjä, ja muistuta itseäsi kaikkein pahimmista tuhoista, joita epäystävällinen hyökkääjä olisi voinut aiheuttaa. Aloita jatkuva kehitysohjelma, mutta pyri myös välittömästi tukkimaan aukot, joita ”red team” käytti, jotta samanlainen hyökkäys ei enää onnistuisi.
c. Huomasiko kyberturvatiimisi hyökkäyksen, ja oliko havaintokykynne riittävä tunnistamaan, mitä tapahtuu.
d. Jos hyökkäys huomattiin, mitä kyberturvatiimi teki? On tiettyjä asioita, jotka pitäisi tehdä ja toisia, joita ei pidä. Jotkut näistä eivät ole ilmeisiä, kuten se, kytketäänkö laitteet, joihin on tunkeuduttu, pois muusta verkosta. Tämä voi varoittaa hyökkääjiä, että olet huomannut heidät, ennen kuin itseasiassa tiedät, mitä on tekeillä ja olet valmis aloittamaan tarvittavat toimet.
Kertoivatko he sinulle? Missä vaiheessa olisit halunnut, että sinulle kerrotaan? Milloin toimitusjohtajan odotetaan kertovan hallituksen puheenjohtajalle tai koko hallitukselle?
5. “Red team” -hyökkäys on luonnollisesti vasta ensimmäinen askel. Ajattele kyberturvaa lihaksena. Annoit sille “red team” -hyökkäyksellä nopean venytyksen ja sait arvokasta, mutta niukkaa tietoa kyvyistäsi. Jäljellä on paljon tehtävää, muun muassa:
a. Muutaman melko yksinkertaisen, teknisen kysymyksen esittäminen, jotta selvität, millä tasolla puolustuskykynne on.
b. Kyberturvapuolustuksenne tavoitetason asettaminen suhteessa uhkiin.
c. Valmiuksienne kehittämisen aloittaminen.
d. Jatkuva harjoittelu, jotta edistymistä voidaan mitata ja lihasta kasvattaa.
e. Tuloskortin luominen prosessin seuraamiseksi.
f. Tämän tuloskortin käyttäminen hallitukselle raportoitaessa.
6. Rakenna tietoisuutta. “Social engineering” on yksi ammattimaisten hyökkääjien tehokkaimmista työkaluista. Erityisesti ne työntekijät, joilla on pääsy avainjärjestelmiin, pitäisi kouluttaa tunnistamaan sosiaalisen manipuloinnin yritykset. Voit myös kouluttaa henkilöstöäsi havaitsemaan esimerkiksi kalastelu-sähköpostit, mutta älä oleta, että tämä estää hyökkäykset.
7. Lopuksi: jotta tämä toimisi, kulttuurin pitää olla sellainen, jossa ketään ei syytetä. Jos näin ei ole, ei ole myöskään toivoa todellisista parannuksista. Ihmisten pitää kokea voivansa raportoida virheistä, heikoista signaaleista ja epäonnistumisista nopeasti, jotta jatkuvaa parantumista ja oppimista voi tapahtua.
Toivon, että tämä antaa sinulle ajatuksia siitä, kuinka päästä alkuun. Mutta kun alkuun on päästy, on myös erittäin tärkeää, ettei pysähdytä. Jokaisen mukanaolijan pitää jatkaa oppimista – ja tämä tarkoittaa myös ulkopuolisten asiantuntijoiden hyödyntämistä.
Seuraavassa kirjoituksessani esitän muutamia yksinkertaisia kysymyksiä, jotka auttavat sinua ymmärtämään, millä tasolla yrityksesi kyberturva on.
Kategoriat