Kuka käyttää järjestelmää ja mistä?

09.11.2016
Pekka Lindqvist

Yli 800 tietoturva-alan ammattilaista nimesi omat työntekijät yrityksen yksittäiseksi tärkeimmäksi haavoittuvuudeksi. Tulos kävi ilmi tänä vuonna ilmestyneessä Cyberthreat Defence Report -selvityksessä.

Suurimman riskin muodostavat henkilöt, joilla on laajat käyttöoikeudet yrityksen tietojärjestelmiin. He ovat hakkereiden maalitauluja, eivätkä tunnista kaikkia riskejä ja tapoja, joilla tietoa voidaan nykyään varastaa.

Ihminen on myös voimavara, jonka kyky ymmärtää kokonaistilanne ja yhdistellä asioita on teknologiaan verrattuna ylivertainen. Ihminen ymmärtää ympäröivää maailmaa ja voi tunnistaa todelliset tietoturvaongelmat tavallisista järjestelmän hälytyksistä.

Tietomurrot ja verkkohyökkäykset ovat edelleen lisääntyneet. Useampi kuin joka toinen tietoturva-asiantuntija uskoo organisaationsa joutuvan tänä vuonna onnistuneen kyberhyökkäyksen kohteeksi.

Vaikka investoinnit tietoturvaan kasvavat, organisaation usko sen omaan kykyyn torjua hyökkäyksiä hiipuu. Digitaloudessa dataan pitää päästä käsiksi mistä ja milloin vain. Tietojärjestelmien määrä on kasvanut ja tuntemattomia verkkoja käytetään yhä enemmän. Tietoturvasta on tullut äärimmäisen monimutkaista ja tietoturvaan sekä yksityisyydensuojaan liittyvät määräykset ovat lisääntyneet.

Liian laajat käyttöoikeudet ovat muodostuneet yrityksissä isoksi haasteeksi. Käytössä olevat identiteetin- ja pääsynhallinnan järjestelmät ovat jääneet kehityksestä jälkeen. Toimintaa on automatisoitu vasta vähän, ja käyttöoikeuksia hallitaan pitkälti manuaalisesti. Silloin myös virheiden määrä kasvaa.

Kuulemme tositarinoita työntekijöistä, jotka ovat päässeet aiemman työnantajansa järjestelmiin ja tietoon käsiksi jopa kuukausia lähdön jälkeen. Suomalaisille on jostakin syystä erityisen vaikea luopua käyttöoikeuksista ja vanhoista vastuista. Tarvitaan menetelmiä ja prosesseja, joissa käyttöoikeudet perustuvat todelliseen tarveharkintaan.

Liiallinen rajoittaminen ei kuitenkaan palvele liiketoimintaa eikä huomioi yksilöä. Tehokas ja liikkuva työnteko edellyttää pääsyä tietojärjestelmiin.

Yritykset eivät voi ulkoistaa tietoturvaan liittyvää vastuuta

Käyttöoikeuksia voidaan antaa, kunhan tietopääomaa suojataan tehokkaasti. Tämä edellyttää it-ympäristön reaaliaikaista seurantaa, tietoturva-analytiikkaa sekä tietoturvatapahtumien käsittelyä.

Yritykset eivät voi ulkoistaa tietoturvaan liittyvää vastuuta. Ulkopuolinen taho ei ymmärrä yrityksen toimintaa yhtä hyvin kuin oma henkilöstö. Moni ei ole vielä oivaltanut tätä.

Työntekijöiden identiteetit eivät ole staattisia. Niiden muuttaminen ja manipulointi muodostaa suuren riskin. Tietoturvakuilu on erityisen syvä, kun yrityksessä on runsaasti dataa mutta samanaikaisesti heikko läpinäkyvyys siihen.

Tietohallinnossa pitäisi keskittyä laitteiden seurannan sijasta identiteettien, käyttöoikeuksien ja kirjautumisten hallintaan. Silloin tiedetään, kuka käyttää mitäkin järjestelmää ja mistä.

Kun murtautujat käyttävät oikeita identiteettejä, ainoa tapa tunnistaa murto on havaita poikkeamat normaalista käytöstä. Käyttäjien tunnistaminen ja tieto siitä, mitä he tekevät auttavat ymmärtämään, mitkä toimet sekä käytösmallit voivat johtaa tietomurtoihin sekä miten niitä voidaan estää.

Organisaatiot ostavat yhä useammin sovelluksensa palveluina, suoraan pilvestä tai perinteisemmältä sovellustarjoajalta. Data ja sovellukset hajaantuvat eri paikkoihin.

Silloin oma kontrolli käyttöön voi kadota, etenkin kun samalla pitää mahdollistaa palveluiden käyttö erilaisilla päätelaitteilla. Organisaation ei kuitenkaan tarvitse luopua hyvin hallitun identiteetin käytöstä, vaikka palvelua tuotetaan muualla ja käyttö on mobiilia.

Ihminen tulisi myös tutkimusyhtiö Gartnerin mukaan nostaa yrityksissä vahvemmin tietoturvan keskiöön. Tarvitaan identity of everything -ajattelua, jossa myös käyttäjille tarjotaan mahdollisuus tunnistaa käyttämänsä tietojärjestelmä oikeaksi.

Yhä useammin kommunikaatio tapahtuu kahden järjestelmän välillä. Myös niiden tulee voida luottaa toistensa identiteetteihin.

Julkaistu TIVI 11/2015 Vieraskynä -osiossa.

Tutustu myös vuoden 2016 Cyberthreat Defence Report