Jo pelkästään sana kyberturvallisuus herättää mielikuvia ja asenteita melkein jokaisessa. Yhtä pelottaa, toinen on välinpitämätön ja kolmas suhtautuu uhkiin hysteerisesti.

Neuvoja on ainakin yhtä monta kuin niiden kysyjiä. CGI:n kyberturvallisuuteen erikoistunut konsultti Jyrki Huhta kertoo, miten asiat oikeasti ovat.

1. Eristäytyminen on paras puolustus

”Yleisesti ajatellaan, että toimiva ja läpäisemätön tietoturva syntyy rakentamalla linnaan mahdollisimman paksut seinät ja kapea silta. Lisäksi on oltava isot tykit ja lohikäärme vallihaudassa. Kun tämä työ on tehty, mikään tai kukaan ei pääse käsiksi järjestelmiin. Se on huono asia, sillä muurit on tarvittaessa avattava.

Mikään järjestelmä ei yksinään torju uhkia. Myös ihmisen älyä tarvitaan arvioimaan järjestelmien heikkouksia. Tietoturvaa pidetään usein virheellisesti vain IT-osaston ongelmana, mutta todellisuudessa hyvässä tietoturvassa on kyse laitteista, ohjelmistoista, toimintatavoista, yrityskulttuurista ja tiloista.”

2. Bad Rabbit -haittaohjelma on kaikkien aikojen pahin

”Viruksista, haittaohjelmista ja kyberhyökkäyksistä puhutaan paljon superlatiiveilla, jotka luovat vääränlaisia mielikuvia. Mikään virus ei ole täydellinen. Jokaisella hyökkäyksellä tai viruksella on omat kykynsä. Haittaohjelmat ovat jatkuvasti kohdistetumpia, osaavat kätkeä itsensä paremmin ja niiden poistaminen on entistä hankalampaa.

Kiristysohjelmien perheeseen kuuluva Bad Rabbit -haittaohjelma ei ole kaikkien aikojen pahin, vaikka uutiset niin väittäisivät. Kyse on median liioittelusta. Aikamme pahimpiin haittaohjelmiin ovat kuuluneet muun muassa MyDoom ja Conficker.”

3. Tietoturvaan sijoitettu raha maksaa itsensä takaisin moninkertaisesti

”Tietoturvan kohdalla hyvä lähtökohta on miettiä, mikä on yritykselle hyödyllistä. Ongelmana on, että tietoturvasta puhuttaessa on vaikea löytää perusteita investoinnille. Kukaan ei tiedä, kuinka paljon säästöjä tulee, jos hyökkäys torjutaan. Jos taas hyökkäys onnistuu, perinteisimpiin tietoturvaratkaisuihin tehdyt investoinnit voivat olla turhia. Tämän vuoksi vahingot täytyy torjua järkevästi ja varautua myös siihen, että siinä voi epäonnistua.”

4. Ihminen on tietoturvan heikoin lenkki

”Vaikka järjestelmät tekevät työn, ihmisen älyä voidaan hyödyntää tietoturvan parantamisessa ja seurannassa. Ihminen on toistaiseksi se, joka havaitsee ja torjuu tietoturvauhkia.

Tietoturvajärjestelmien valinta yrityksissä perustuu ihmisten päätöksiin. Myös ihmisen tekemät painotukset korostuvat. Yrityksen kyberturvallisuus on tarkkaan ottaen juuri niin vahva kuin päätöksiä tehneet ihmiset, joten osin väite pitää paikkansa.

Tietoturva kehittyy vain tietoturvakulttuuria kehittämällä. Se taas vaatii sitoutumista, arvostusta, kyseenalaistamista, sisäistämistä ja osaamisen kehittämistä.”

5. Mikään järjestelmä ei ole täydellinen

”Mikään järjestelmä ei ole tarpeeksi suojattu. Moni luottaa suojausmenetelmiin sokeasti. Oletetaan esimerkiksi, että vahva tunnistautuminen poistaa identiteettivarkaudet, ja että eristämällä voi estää kaiken muun paitsi fyysisen tunkeutumisen. Tarpeeksi vahva puolustautuminen on tarpeellista. Silti kaikki kannattaa kyseenalaistaa ainakin kerran.”

6. En kiinnosta kyberhyökkääjiä

”Moni miettii harhaanjohtavasti, että vain isot yritykset tai julkisuuden henkilöt kiinnostavat hyökkääjiä. Näin perustellaan sitä, ettei omaa yritystä tai konetta suojata hyökkäykseltä. Meistä jokaisella on salattavia tietoja, joista halutaan pitää huolta. Kukapa haluaisi luovuttaa omat pankkitunnuksensa tai avata yrityksen järjestelmät kenelle tahansa?

Koska jokainen voi olla kohde, on mietittävä, mitkä tiedot ovat tärkeitä ja riittääkö nykyinen tietoturva suojaamaan ne.”

7. Pahikset valtaavat maailman

”Kyberturvallisuuteen pitää suhtautua vakavasti, mutta järkevästi. Uhkia ei pidä estää jarruttamalla oman yrityksen toimintaa digitaalisissa ympäristöissä. Eivät yrityksen salaiset tiedot ole turvassa paperillakaan. Hakkereista on tehty supersankarielokuvien pahiksia, joilla on kyky tuosta vain hyökätä mihin tahansa järjestelmään.

Usein kuulee puhuttavan, että yrityksiin kohdistuu miljoonia hyökkäyksiä. Tämä on vähän kuin laskisi bakteerien määrää. Määrää enemmän ihmisiä pitäisi kiinnostaa epidemiat ja perushygienia sekä oma alttius tietylle pöpölle.”

8. Kyberhyökkäyksen huomaa heti

”Monesti uskotaan, että virukset ja haittaohjelmat voidaan havaita heti, kun ne ovat iskeneet järjestelmään. Moni virus toimii yleensä laitteistojen ja ohjelmien taustalla jopa vuosia. Kone ei siis heti hidastu tai osoita merkkejä saastumisesta.”

Tutustu Kybervakuutukseen ja pyydä tarjous.

Lue, kuinka leipomoyrittäjä selvisi tietoturvahyökkäyksestä.

Lue lisää yritysten kohtaamista yleisimmistä tietoturvariskeistä