Ads 468x60px

maanantai 26. elokuuta 2013

Tietoturvan rooli kasvavassa ja kansainvälistyvässä yrityksessä

Onneksi yhä enenevässä määrin ymmärretään, että tieto on usean yrityksen kaikkein arvokkainta pääomaa sen sijainnista riippumatta. Silti saamme nauttia jokapäiväisten uutisten annista: tietomurrot, eri laitteiden ja sovellusten haavoittuvuudet, palvelunestohyökkäykset, yrityssalaisuuksien kalastelu... Tietoturvan pettäessä suorat tai kerrannaisvaikutukset (esim. mainevauriot) voivat olla yrityksen liiketoiminnan kannalta merkittäviä, jopa kohtalokkaita. Tietoturvan ei silti tulisi estää järkevää ja kannattavaa liiketoimintaa, pikemminkin luoda sille riittävät hygieeniset puitteet turvalliseen liiketoimintaan ja sen kehittämiseen. Tässä kirjoituksessa tuon esiin muutaman seikan kasvua tavoittelevien ja kansainvälistyvien yritysten huomioitavaksi.

Mikäli yritys tavoittelee kasvua ulkomailta, sen tulee proaktiivisesti huomioida tietoturva ja siihen liittyvä riskienhallinta. Paikallisia yhteistyökumppaneita valittaessa tulee tarvittavan liiketoimintaosaamisen lisäksi kiinnittää erityistä huomiota tietoturva- ja tietosuojaperiaatteisiin. Monelta harmilta vältytään, kun varmistutaan huolellisesti sopimusvaiheessa siitä, että osapuolet ymmärtävät ja huomioivat myös tietoturvaan ja tietosuojaan liittyvät vastuut, operatiiviset riskit sekä mahdolliset seuraamukset ja niihin liittyvän vastuunjaon ja pelisäännöt. Tämä vaatii emoyritykseltä riittävää suunnittelua, valveutuneisuutta ja ymmärrystä tietoturvan suhteen, jotta tietoturvan noudattaminen ja siihen liittyvät periaatteet voidaan onnistuneesti jalkauttaa myös yhteistyökumppaneiden keskuuteen. Yhteistyökumppaneiden arvioinnissa erään käteenkäyvän laatukriteerin tarjoavat erilaiset maailmanlaajuisesti tunnetut tietoturvasertifioinnit, kuten finanssialan PCI DSS-maksukorttiturvastandardi tai tietoturvan johtamisjärjestelmästandardi ISO27001, joka on IT-palveluntarjoajien sertifiointisalkun perustavaraa. Lisäksi taloushallintopalveluiden tarjoajia velvoittavat kansainväliset tilintarkastusstandardit kuten mm. ISAE3402. Näiden esimerkkien lisäksi on olemassa runsaasti maa- tai toimialakohtaisia sertifiointeja. Ymmärrettävä on, että mikään sertifiointi sinänsä ei voi taata täydellistä ja rikkumatonta tietoturvaa, mutta sertifioinnit antavat vahvan osoituksen siitä, että tietoturva ja siihen liittyvät riskit on yrityksessä huomioitu riittävällä tavalla.

Tietovuoto voi merkitä yritykselle niin kilpailuedun menettämistä kuin sanktioita, joilla voi olla jopa kohtalokkaita seurauksia. Esimerkiksi hollantilainen tietoturvayritys, varmenteiden myöntäjä (Certificate Authority) DigiNotar joutui lopettamaan liiketoimintansa tietovuodon seurauksena vuonna 2011. Euroopan unionin tuleva tietosuoja-asetus nostaa tietovuodot valokeilaan antaessaan tietosuojaa valvoville viranomaisille suoran sakotusoikeuden. Uuden asetuksen mukaan tietosuojasäännösten rikkomisesta voidaan langettaa sakko, joka voi olla nousta jopa kahteen prosenttiin rikkomuksen tehneen yrityksen globaalista liikevaihdosta. Suurten sanktioiden todennäköisyyttä ei pienennä se fakta, että useissa suomalaisissa yrityksissä tietoturvasta ja tietosuojasta ei ole välttämättä huolehdittu riittävällä tasolla. Olemme kaikki kuulleet sanonnan ”There ain’t no such thing as bad publicity”. Tietovuotoja ja tietoturvaloukkauksia voidaan myös hyödyntää yrityksen markkinoinnissa. Yleisöä kiinnostava ”tietoturvailmiö” (kuten esim. poikkeavasti muotoiltu www-sivu tai ”vahingossa” vuotanut tuotevideo) voi tuoda suurtakin julkisuutta ja toimia täten erinomaisena ja edullisenakin markkinointiviestinnän muotona. On kuitenkin huomattava, että tällainen toiminta edellyttää hyvin tarkkaa harkintaa, ajoitusta, kohdekulttuurien tuntemusta sekä viestinnällistä valmiutta vastata median tiedusteluihin asiaa koskien, unohtamatta hyvin suunniteltua ja johdettua prosessia tietoturvan ja tietovuotojen hallintaan.

Liiketoiminnan kasvu on itseoikeutetusti kasvuyrityksen ykkösprioriteetti. Hyvin hoidettu tietoturvallisuus luo kasvulle perustan ja edellytykset ja minimoi ikävien sattumien riskiä. Huolehdithan, että tietoturvaan liittyvät roolit ja vastuut on selkeästi määritelty yrityksesi sisällä sekä yhteistyökumppaniesi välillä. Muista myös, että tietoturvavaatimusten toteutuminen käytännössä pitää varmistaa, unohtamatta sitä, että työnantajayrityksellä on valvontavastuu tietoturvamääräysten noudattamisesta.

Menestyksekästä ja tietoturvallista liiketoimintasyksyä!

torstai 22. elokuuta 2013

Pelikehittäjä Riot Gamesin palveluihin murtauduttu - kerrankin tiedot suojattu oikein

Pelikehittäjä Riot Gamesin palveluihin on murtauduttu. Pelikehittäjä julkaisi asiasta tiedotteen blogissaan. Tarkkoja yksityiskohtia murrosta ei ole julkaistu. Ilmeisesti se on kuitenkin rajoittunut vain yhteen järjestelmään, joka ei edes enää ole aktiivisessa käytössä. Lisäksi tiedot olivat - kerrankin - oikein suojattuja.

Murrossa hyökkääjät pääsivät käsiksi noin 120 000 asiakkaan tietoihin. Tiedot ovat kaikki ajalta ennen vuoden 2011 heinäkuuta. Tiedoissa on vähintäänkin nimi, käyttäjänimi, sähköposti sekä salatut & suolatut salasanat ja luottokorttinumerot. Olennaista on, että merkittävimmät tiedot eli salasana ja luottokorttinumero olivat salattu oikeaoppisesti. Suolauksella ainakin salasanojen pitäisi olla turvassa. Luottokorttinumerot voivat puolestaan olla murrettavissa, sillä niiden pituus on tunnettu ja ne noudattavat tiettyä kaavaa. Esimerkiksi ensimmäiset merkit kertovat myöntäjän, joita on rajallinen määrä. Viimeinen merkki on tarkistesumma, joka on laskettavissa suoraan Luhnin algoritmillä. Riski ei kuitenkaan ole kovin merkittävä, sillä ilmeisesti korttien voimassaoloaika ei sisältynyt vuotaneisiin tietoihin. Tietenkin myös tämä on arvattavissa, mutta validointi on jo hieman haasteellisempaa.

Valistunut arvaus voisi olla, että kyseessä on vanha laskutusjärjestelmä, jonka ylläpito on myös unohtunut, koska se ei enää ollut aktiivisessa käytössä.

keskiviikko 14. elokuuta 2013

Silmäys kyberturvallisuuteen

Kyberturvallisuus-termin käyttö on nykyretoriikassa hyvinkin kirjavaa ja se vaikuttaa tarkoittavan miltei mitä tahansa käyttäjästä ja kontekstista riippuen - tämän ovat tietoturvan parissa tekemisissä olevat ihmiset varmasti Suomessakin huomanneet, kuten myös Gregor Campbell artikkelissaan (http://www.infosecurity-magazine.com/view/32534/comment-cybersecurity-and-reality-whats-in-a-word/). Kyberturvallisuudesta puhuttaessa tietojärjestelmät, elektroniikka ja esim. automaatioteknologia ovat keskeisessä roolissa.

Esimerkinomaisesti voisi sanoa, että kyberturvallisuudella tarkoitetaan kriittisen infrastruktuurin (esim. huoltovarmuuskriittisten organisaatioiden ja toimintojen, kuten energianjakelun, logistiikan, terveydenhuollon tai kriisipalveluiden) sekä sitä ylläpitävien, toisiinsa yhteydessä olevien järjestelmien kokonaisvaltaista tietoturvallisuutta. Verrannollisesti: siinä missä tietoturvallisuus on perinteisesti toimintaa yhden yksittäisen yrityksen, organisaation tai vaikkapa kansalaisen kannalta, kyberturvallisuus on laajemman ja yhä useammin globaalin kokonaisuuden huomioimista. Tässä kokonaisuudessa tietoturva kaikkine alalajeineen on luonnollisesti vahvasti läsnä.

Kaikesta huolimatta suurin osa kyberturvallisuudesta on itse asiassa "vanhan kunnon" perinteisen tietoturvallisuuden asianmukaista ja kokonaisvaltaista seurantaa ja ylläpitoa. Loppu koostuu siitä, että yhteiskunta (valtio, mukaanlukien puolustusvoimat, yritykset, organisaatiot) on asian suhteen aktiivinen ja seuraa kyberturvallisuusuhkien kehitystä proaktiivisesti ja laajemmin myös valtiorajojen ulkopuolella riittävän valmiuden muodostamiseksi.

Kansainvälisestä kyberturvallisuusyhteistyöstä hyvänä esimerkkinä mainittakoon Euroopan Unionin tämän vuoden helmikuussa julkistama kyberturvallisuusstrategia (http://europa.eu/rapid/press-release_IP-13-94_fi.htm) ja verkko- ja tietoturvaa koskeva direktiiviehdotus (Directive on Network and Information Security). Direktiiviehdotus edellyttää kaikkien EU:n jäsenvaltioiden, internetin toiminnan mahdollistajien ja kriittisten infrastruktuurien ylläpitäjien sekä kriittisten palvelujen tarjoajien yhteistyötä kyberturvallisuuden edistämiseksi, parantamalla mm. tietojärjestelmien sietokykyä ja vähentämään verkkorikollisuutta sekä vahvistamaan EU:n kansainvälistä kyberturvallisuuspolitiikkaa ja verkkopuolustusta.

Suomalaisittainkin vilkkaana käyvä yhteiskunnallinen kyberturvallisuuskeskustelu ja maamme oma kyberturvallisuusstrategia (http://www.yhteiskunnanturvallisuus.fi/fi/materiaalit/doc_download/50-suomen-
kyberturvallisuusstrategia-ja-taustamuistio) edistänevät myös ymmärrystä siitä, kuinka monitahoisen ja alati muuttuvan ilmiön tietoturva sekä siihen sidoksissa olevat riskit ja uhat muodostavat. KPMG on aktiivisesti mukana suomalaisen Tietoturvaklusterin (http://fisc.fi/) toiminnassa edistämässä Suomen kyberturvallisuusstrategian implementointia.

Tervetullutta on, että Suomessa toimivien yritysten ja organisaatioiden johto osallistuu aktiivisesti keskusteluun, sillä Suomi tavoittelee kyberturvallisuuden mallimaan statusta vuonna 2016. Eri toimijoiden yhteistyö esimerkiksi juuri toimintamallien ja -valmiuden suhteen on tämän tavoitteen toteutumisen kannalta välttämättömyys.