TEKSTI: Seija Uusitalo
Kyberturvallisuus on tänä päivänä tiivis osa arkea. Vielä vuosi sitten ei osattu ajatellakaan nyt maailmantilanteessa näkyviä uhkia kuten esimerkiksi Ukrainan sotaa ja kaasuputkivuotoja. Tietoturvallisuus on kuitenkin aina huomioitu teknologian kehityksessä, mutta mahdolliset uhkatilanteet ovat vaihdelleet.
Administer Pulssi -webinaarissa aina ajankohtaisesta tietoturvasta keskustelivat Timo Haapavuori Magic Cloudista sekä Jukka Vihtkari ja Riina Kosonen Administer-konsernista. Jukka Vihtikari toimii EmCellä tuotepäällikkönä, joten hän tuntee hyvin EmCe-tuotteiden tietoturva-asiat.
Keskustelijat ovat yhtä mieltä siitä, että maailman tilanteen muuttumisen näkee asiakkaiden lisääntyneissä kyselyissä: uhkatilanteita tunnistetaan nykyisin enemmän ja tietoturvasta ollaan aiempaa huolestuneempia.
Muutama vuosi sitten GDPR (tietosuoja) toi tullessaan paljon lisää rajoitteita henkilötietojen käsittelyyn, mikä on parantanut tietoturvaa merkittävästi. Yleinen tietotaso turvallisuusuhkista on lisääntynyt julkisuudessa esiintyneiden tapausten vuoksi. Konkreettinen osaaminen ei kuitenkaan keskustelijoiden mukaan ole vielä merkittävästi kasvanut, vaikka tietoisuus onkin noussut.
Julkisuudessa puhutaan usein kohdennetuista hyökkäyksistä tunnettujen tahojen järjestelmiin. Keskimäärin tietoturvauhat eivät kuitenkaan ole tällaisia, vaan ne ovat täysin automatisoituja, ja niissä skannataan meitä kaikkia kaiken aikaa – kun löydetään sopiva rako palomuurissa, automatiikka hoitaa tietovarkaat huomaamatta sisään, muistuttaa Timo Haapavuori. Kyberhyökkäyksen ensimmäinen uhri on yleensä tavallinen ihminen, jolta on jäänyt joku tietoturvaan liittyvä asia huomioimatta – yli 90 prosenttia tietoturvaloukkauksista syntyy näin.
Haapavuori korostaa, että tietoturvassa on tärkeä muistaa tiedon oleellisuus ja merkitys, jotta sille voidaan rakentaa oikeantasoinen tietoturva. Lomakuvien tietoturva voi olla kevyempi kuin salaisiksi luokiteltujen yritysasiakirjojen tai henkilötietojen. Alueellinen lainsäädäntö on myös huomioitava: se, onko tiedon sijaintipaikka Eurooppa tai Yhdysvallat, vaikuttaa tietojen käsittelyyn ja turvavaatimuksiin.
Pilvipalvelu vai oma tietovarasto?
Jukka Vihtkari muistuttaa ajantasaisen tiedon hallinnasta, on kyse sitten pilvipalveluista tai omista palveluista. Omissa palveluissa on tiedettävä ja hallittava paljon asioita, esimerkiksi juuri nyt Suomessa ajankohtainen sähkön riittävyys. Jos talvesta tulee kireä pakkastalvi ja Suomessa joudutaan turvautumaan sähkön säännöstelyyn, täytyy tietovarastojen olla varmistettuja mahdollisten sähkökatkojen osalta. EmCe on ratkaissut asian omissa tuotteissaan pilvipalveluna, jolla voidaan varmistaa palvelun toiminta mahdollisimman joustavasti myös poikkeustilanteissa.
Pilvipalvelut ovat turvallisia pienille yrityksille, joilla ei ole omaa resurssia tietoturvasta huolehtimiseen. On hyvä kuitenkin muistaa, että pilvipalvelu on pelkkä tietovarasto, tietojen varmistamisesta täytyy myös itse huolehtia.
Tärkeintä on varautuminen ja koulutus
Lähtökohtana hyvässä tietoturvassa on se, että jokaisen käyttäjän on huolehdittava omasta tietoturvastaan itse, vaikka viime kädessä yritysten tietoturvasta vastaakin yritysjohto. Tietoturvan ylläpito on jatkuva prosessi, sen pitää olla osa organisaatiokulttuuria ja siitä vastaa yrityksen ylin johto. Tietoturvavastuu on tärkeä nimetä jollekin henkilölle, joko talon sisällä tai ulkopuoliselle taholle, jotta se tulee myös hoidettua.
Timo Haapavuori nostaa esiin koulutuksen merkityksen, hyvät salasanakäytännöt ja mielellään kaksivaiheisen tunnistautumisen, joka EmCen palveluissakin on käytössä. Hän kertoo omassa yrityksessään hyvin toimineesta käytännöstä: tietoturvauhat ja -tilanteet käydään läpi henkilöstön kanssa kerran kuukaudessa, kerrotaan tilanteesta ja annetaan tapauksille kasvot: kuka teki ja mitä teki, ja mitä tilanteessa olisi voinut tehdä toisin. Asioista keskustelemalla opitaan parhaiten, ei syyllistämällä, Haapavuori korostaa.
Administer-konsernissa on tehty pitkäjänteistä työtä kyberuhkiin varautumisessa. Konsernissa on kymmeniä kumppaneita, mm. Magic Cloud. Hyvän tietoturvan rakentaminen syntyy yhteistyöllä.
Tilaisuuden kuulijat esittivät kysymyksiä mm. miten tulevan talven mahdollisiin sähkökatkoksiin voi varautua, Administer-konsernin palveluiden tietoturvasta sekä kaksivaiheisen tunnistautumisen ongelmasta, jos puhelinta ei ole jostain syystä käytettävissä. Kuuntele koko keskustelu ja vastaukset kysymyksiin linkistä ja nappaa parhaat vinkit oman yrityksesi käyttöön!