KYBERTURVALLISUUS. digitalisoituvassa maailmassa. Digitaalinen murros. Uudet liiketoimintamahdollisuudet

Transkriptio

1 KYBERTURVALLISUUS digitalisoituvassa maailmassa Digitaalinen murros Uudet liiketoimintamahdollisuudet Kyberturvallisuus ei ole uhka, vaan mahdollisuus Näin hallitset kyberriskit Entä jos vahinko on jo sattunut? Kyberturvallisuutta palveluna

2 1 Digitaalinen murros DIGITALISOITUVA MAAILMA TARJOAA entistä enemmän mahdollisuuksia, mutta siihen liittyy myös uusia uhkia. Mitä enemmän toimimme verkossa, sitä haavoittuvampaa toimintamme on. Digitaalisessa toimintaympäristössä yhteiskunnan ja asiakkaiden vaatimukset kasvavat ja edellyttävät panostuksia. KUN LIIKETOIMINTAA UUDISTETAAN ja kehitetään, tietoturvakysymykset jäävät liian usein taka-alalle. Turhan yleistä on sekin, että yritykset laiminlyövät oman tietoturvansa seurantaa ja päivittämistä. Verkottuvassa yhteis kunnassa yritysjohdon tulee ottaa enemmän vastuuta yrityksen riskien hallinnasta, josta osan muodostaa kyberturvallisuus. ORGANISAATIOISSA KYBERTURVALLISUUTEEN LIITTYVÄT kysymykset on usein jätetty IT-osaston vastuulle, vaikka niiden pitää olla osa liiketoiminnan kovinta ydintä ja riskienhallintaa. Yritysjohdon tulee huolehtia yrityksensä kyvystä kehittää laadukkaita tuotteita ja palveluita tietoturva-asioita laiminlyömättä sekä kehittää osto-osaamistaan kyberturvallisuusasioissa. DIGITALISAATIO MUOKKAA PERINTEISEN tilaaja-tuottajamallin useista toimijoista koostuviksi ekosysteemeiksi ja arvoverkostoiksi. Kun näiden ekosysteemien omistajuus hämärtyy, kysymys niiden kyberturvallisuudesta monimutkaistuu. Se taas avaa myös mahdollisuuksia uudenlaiselle liiketoiminnalle. Trendi on nähtävissä yli toimialarajojen, mikä osaltaan edelleen monimutkaistaa hallittavaa kokonaisuutta. KERROMME TÄSSÄ OPPAASSA, mitä asioita on huomioitava ja mitä askeleita otettava, kun omaa organisaatiota johdetaan kyberturvalliseksi. 8,5 % EOS 17,5 % Liike- 6,5 % Joku muu 1,5 % Ulkopuolinen palveluntarjoaja Kuka vastaa kyber turvallisuudesta organisaatioissa? toiminta- johto vain 56 % organisaatioista käsittelee kyberturvallisuutta johdon tasolla. 33,5 % Tietoturvajohtaja tai -osasto 32,5 % IT-johto tai -osasto

3 2 Uudet liiketoimintamahdollisuudet NOPEASYKLISESSÄ DIGITALISOITUVASSA MAAILMASSA yrityksillä on tarve kehittää liiketoimintaansa edistäviä IT-ratkaisuja rinnakkain sekä perinteisillä että ketterillä menetelmillä. Kun nykyisiä toimintamalleja uudistetaan ja uusia liiketoimintamalleja kehitetään, kyber turvallisuuskysymykset täytyy pitää koko ajan prosesseissa mukana. Jos tietoturvakysymykset laiminlyödään, voidaan menettää se hyöty, joka on arvioitu saatavan nopeasti markkinoille tuodusta tuotteesta tai palvelusta. Jokainen uusi laite tai koodinpätkä voi olla uusi tietoturvauhka. Tietoturvariskien minimoimiseksi sovelluskehittäjiltä tulee vaatia nyt enemmän kriittisyyttä. ESINEIDEN INTERNET TUO kyberuhkiin uuden ulottuvuuden, kun digitaalinen ympäristö ohjaa yhä useammin fyysisiä laitteita. MYÖS PILVIPALVELUJEN YLEISTYMINEN tuo mukanaan uusia kyberuhkia. Yritysten kannattaa miettiä tarkkaan mitä strategisia tietoja pilveen viedään, kuka omistaa pilvipalvelun, kenelle tietoja luovutetaan ja miten tietosuojakysymykset on ratkaistu. Tyypillisesti pilvipalveluihin liitetään laaja varjo-it:n käsite. Varjo-IT:llä tarkoitetaan palveluita, joita henkilöstö käyttää päivittäin työtehtäviensä hoitamiseen, vaikka niitä ole koskaan yritystasolla käyttöön suunniteltu tai hyväksytty. TIETOTURVAUHKISTA ON TULLUT osa arkeamme eikä kukaan ole täysin suojassa tietomurroilta, verkkokalasteluilta tai palvelun estohyökkäyksiltä. Kyber uhkat ovat jalostuneet harrastelijoiden hyökkäyksistä järjestäytyneeksi rikollisuudeksi ja osaksi valtioiden välistä järjestelmällistä tiedustelutoimintaa. Kyberrikollisia on siellä missä raha liikkuu. yli 80 % organisaatioista uskoo, että kyberuhkiin varautumisen tarve on muuttunut kuluneen vuoden aikana.

4 2 Uudet liiketoimintamahdollisuudet SAMALLA KUN UHKAT lisääntyvät, kyber- ja tietoturvaa koskevat vaatimukset kovenevat. EU:n tietosuoja-asetus ja tiukentuva lainsäädäntö lisäävät paineita ylläpitää kokonaisvaltaisia tietoturvaratkaisuja. Organisaatiot itsekin vaativat häiriötöntä ja luotettavaa toimintaa koko arvoketjultaan. VAIKKA YRITYKSET OVAT viime vuosina investoineet kyberturvallisuuteen voimakkaasti, osa niistä on silti valmistautunut tietoturvauhkan toteutumiseen yllättävän huonosti. Omaa toimintaa on pyritty suojaamaan pääosin ostamalla tietoturva teknologiaa. Teknisten ratkaisujen on virheellisesti uskottu huolehtivan ongelmista automaattisesti eikä niiden toimintaa ole seurattu järjestelmällisesti. Samalla moni yritys on jättänyt miettimättä, miten sen pitää toimia kun se on joutunut tietoturvaloukkauk sen kohteeksi. Todellisuudessa suurin kustannus organisaation kyberturvallisuuden yllä pitämisessä tulee riittävästä ja tarpeeksi kyvykkäästä henkilökunnasta. Perinteiset turvamekanismit tulossa tiensä päähän Hallitsematon riski Budjetti Resurssit Kyvykkyydet Innovointi Turvallisuus Regulaatio Uhkat ENNEN NYT Innovointi Tehokkuus- ja tuottavuusvaatimukset yhdistettynä teknologiseen kehitykseen ajavat toimintaympäristön nopeaa muutosta ja uusia tapoja soveltaa olemassaolevaa. Uhkat Uhkatoimijat hyödyntävät uusia teknologioita ja innovaatioiden mukanaan tuomia mahdollisuuksia muita toimijoita nopeammin ilman regulaation asettamia rajoitteita. Regulaatio Lainsäädäntö, viranomaismääräykset ja standardit kehittyvät nopeasti nostaen vaatimustasoa ja kustannuksia. Regulaatio on kuitenkin aina askeleen jäljessä uhkakenttää ja innovaatioita.

5 3 Kyberturvallisuus ei ole uhka, vaan mahdollisuus KYBERTURVALLISUUS TARKOITTAA KOKONAISVALTAISTA tietoturvallisuuden ylläpitämistä ja kehittämistä verkottuneessa yhteiskunnassa. Oikeiden tietoturvaprosessien, hallintamallien ja työkalujen avulla voidaan turvata toiminnan jatkuvuus sekä kehittää ja valvoa omaa toimintaympäristöä. TIETO- JA KYBERTURVALLISUUS ovat liiketoiminnalle mahdollistajia. Usein niitä kuitenkin erehdytään pitämään pakollisena pahana, jonkinlaisena tarkistuspisteenä juuri ennen tuotantoon siirtymistä. Jos kyberturvallisuus huomioidaan vasta näin myöhäisessä vaiheessa, se on liiketoiminnalle enää pelkkä este. Kyberturvallisuustoimijoiden vastuulla on tarjota toimivia ratkaisuja, ei vain ongelmia ja syitä olla tekemättä asioita. DIGITALISAATION MYÖTÄ ERILAISET ketterät kehitysmallit ovat voimakkaasti kasvattaneet suosiotaan. Näissä malleissa kyber- ja tietoturvan merkitys korostuu entisestään. Kyberturvallisuus tulee ottaa ketterään kehittämiseen mukaan jo ideointivaiheessa eikä vasta sitten kun ohjelmisto on jo kehitetty. KUN LIIKETOIMINTAA KEHITETÄÄN, on hyvä muistaa, että kyberturvallisuutta rakennetaan pala kerrallaan. Kyberturvallisuus rakentuu perusasioiden hallitsemisesta, arvokkaan tietopääoman tunnistamisesta, tarpeettomien riskien välttämisestä, hyökkäyspinnan pienentämisestä ja havainnointikyvyn parantamisesta. Vasta sitten kun nämä asiat ovat kunnossa kannattaa panostaa erityisen kehittyneiden uhkien tunnistamiseen ja niiltä suojautumiseen. KYBERTURVALLISUUS ON MYÖS toiminnan kypsyyttä. Järkevää ei ole tavoitella kaikkea heti, vaan edetä vaiheittain. Ensin tehdään perustukset, aivan niin kuin taloa rakennettaessa; lopputulos on parempi, jos perustukset valetaan ennen rungon pystyttämistä ja vesikaton kiinnittämistä. Kyber- ja tietoturvallisuuden rakentamisen tavoitteena on kokonaisuutena jatkuvasti optimoitava ja mitattava toiminta, jota johdetaan kuten muutakin ydinliiketoimintaa.

6 4 Näin hallitset kyberriskit KYBERTURVALLISUUS ON RISKIENHALLINTAA. Organisaation on tiedettävä, miltä se suojautuu ja miten se sen tekee. Riskit voivat olla strategisia ja operatiivisia tai taloudellisia ja toiminnan jatkuvuutta uhkaavia. Riskit voivat liittyä myös maineeseen ja aineettomiin hyödykkeisiin tai ne voivat olla luonteeltaan juridisia tai geopoliittisia. LAAJASTI JULKISUUTTA SAANEET kyberturvallisuuden loukkaukset ja haittatapahtumat ovat merkittävästi lisänneet yleistä riskitietoutta. Ongelmana on kuitenkin edelleen todellisten riskien tunnistaminen ja arvottaminen oman liiketoiminnan näkökulmasta. Tavoitteena on päästä priorisoituun ja riskilähtöiseen päätöksentekoon siitä, mitkä riskit tulee käsitellä ja millä tavoin tai panoksin. Organisaatioiden tulee miettiä oman toimintansa kannalta keskeisimpiä riskejä ja niiden vaikutuksia esimerkiksi näin: Mitä tarkoittaa maineen ryvettyminen julkisuudessa? Kuinka paljon liike vaihtoa jää saamatta, jos keskeinen toiminto keskeytyy viikoksi, kuu kaudeksi tai vuodeksi? Miten käy liiketoiminnalle, jos tuotekehityspanokset valuvat kilpailijalle? 1 JOS RISKEILLE PYSTYTÄÄN määrittämään arvo, on helpompaa päättää niiden hallintakeinojen priorisoinnista ja investoinneista. Kybervakuuttaminen on nopeasti yleistyvä ja hyvä kyberturvallisuuteen liittyvien liiketoimintariskien hallintakeino, mutta vakuutuksen hankkiminen edellyttää yllä oleviin kysymyksiin vastaamista. KUN RISKIT ON tunnistettu, niitä voidaan hallita neljällä eri tavalla. Riskeiltä voi yrittää välttyä. Riskejä voi pienentää rajoittamalla niiden todennäköisyyttä tai vaikutusta. 2 3 Riskejä voi jakaa esimerkiksi vakuuttamalla tai siirtämällä riskiä sopimusteitse. 4 Riskit voi hyväksyä.

7 4 Näin hallitset kyberriskit KYBERRISKIEN VÄLTTÄMINEN ON hyvin teoreettista, sillä kybertoimintaympäristö on enenevässä määrin läsnä kaikessa toiminnassamme. Kolme muuta keinoa sen sijaan ovat käytettävissä. KYBERRISKIN PIENENTÄMINEN KOOSTUU lukemattomista eri toimenpiteistä. Perinteisesti riskejä on pyritty pienentämään preventiivisillä eli ennaltaehkäisevillä kontrolleilla, kuten käyttämällä palomuureja ja tunkeutumisen estojärjestelmiä tai pienentämällä hyökkäys pinta-alaa. Nämä keinot ovat edelleen tarpeen, mutta niitäkin on parannettava jatkuvasti sitä mukaa kuin kyberuhkat kehittyvät. Esimerkiksi verkon reunan puolustaminen ei enää riitä, vaan puolustusta on tehtävä myös syvyyssuunnassa ja sisäverkon sisällä. Koska parhaatkin nykyisistä preventiivisistä turvamekanismeista torjuvat vain osan uhkista, tarvitaan lisäksi kyky havaita toimintaympäristössä esiintyvät poikkeamat. Tällaiset poikkeamat voivat liittyä tietojärjestelmän kokoonpanomuutoksiin tai esimerkiksi verkkoliikenteen tai käyttäjän käyttäytymisen muutoksiin. VÄHINTÄÄN YHTÄ TÄRKEÄÄ on varautua sellaiseen tilanteeseen, jossa riski on toteutunut. Jotta vaste haittatapahtumiin on tehokas, tarvitaan riittävästi osaamista ja harjoittelua sekä investointeja työkaluihin. KYBERUHKIEN JATKUVA MUUTTUMINEN on haaste paitsi IT-henkilöstölle, myös loppukäyttäjille. Loppukäyttäjien kouluttaminen ja tietoisuuskampanjat kuitenkin j äävät vaikutuksiltaan vähäisiksi, sillä kohdennetut hyökkäykset ja huijaukset paranevat jatkuvasti niin, että haitallista linkkiä tai sähköpostiviestiä on toisinaan mahdotonta silmämääräisesti erottaa oikeasta. Tehokkaampaa on pienentää vahinkojen syntymisen mahdollisuutta valvonnan ja rajoittamisen keinoin. Riskienhallinta on optimointia Riskin todennäköisyys ja arvo toteutuessaan HYVÄKSYTTÄVÄ JÄÄNNÖSRISKI Vakuuttamisen kustannus Turvamekanismien kustannus Riskien välttämisen, pienentämisen ja siirtämisen kustannus

8 4 Näin hallitset kyberriskit RISKIENHALLINTA ON AINA tasapainoilua kustannusten ja hyötyjen välillä. Jokaisen organisaation on päätettävä, mikä on riittävä kyberturvallisuuden kypsyyden taso juuri sille. Kypsyystasoa ja nykyistä kustannus-hyötybalanssia voi selvittää erilaisilla kypsyystaso- ja Health Check -analyyseilla. JOS KYBERTURVALLISUUSPALVELUITA ja osaamista ostetaan palveluna, tietoturvan kokonaiskustannukset pienenevät eikä kertainvestointeja tarvitse tehdä. Asiakas saa parhaat osaajat ja asiantuntijat käyttöönsä kellon ympäri. Tiettyihin teknologioihin ei myöskään tarvitse sitoutua, vaan asiakkaalla on aina käytössään tarkoituksen mukaisimmat palvelut ja laitteet. Johda organisaatiosi kyberturvalliseksi TIEDOSTA RISKIT. Arvioi organisaatioosi kohdistuvia uhkia ja niistä aiheutuvia liiketoiminta riskejä. Arvioi organisaatiosi tietoturvallisuuden nykytilannetta, uhkakuvia, heikkouksia, valvontaa ja vaatimuksia. Suunnittele toteutusta, teknologiavalintoja ja kumppaneita. SUOJAA TOIMINTASI. Turvaa organisaatiosi kriittisten toimintojen jatkuvuus ja salassa pidettävät tiedot. Suojaa automaatiojärjestelmäsi ja kriittinen infra struktuurisi. Muista myös fyysisen tietoturvan suojaaminen, kuten identiteetin- ja pääsynhallinta. Hallitse riskejä esimerkiksi kybervakuutuksilla. TOIMI TURVALLISESTI. Havainnoi uhkia tarvittaessa ympäri vuorokauden. Tunnista, luokittele ja analysoi uhkat. Reagoi tietoturvauhkiin ja -poikkeamiin. Ylläpidä turvamekanismeja. Tutki palveluntarjoajien avulla mahdollisia tietoturvauhkia. Määrittele myös toimintamallit tilanteisiin, joissa organisaatiosi joutuu toteutuvan riskin kohteeksi. Ennakoi tulevat uhkat ja varaudu niihin.

9 5 Entä jos vahinko on jo sattunut? 3 4 Kokoa organisaatiosi tietoturvasta vastaavan tahon ja/tai palveluntarjoajasi kanssa tieto turvatapahtuman hallintaryhmä, johon kuuluvat palvelun omistaja, ylläpitäjät, infra, viestintä, laki, tutkinta ja muut tarvittavat tahot. Yhdessä tietoturvaasiantuntijoiden kanssa: Kerää herkimmin tuhoutuva todistusaineisto ensin. Tallenna otos muistin sisällöstä ja koneen tilasta, tee täydellinen kopio kovalevystä, kerää lokit palomuurista ja pysäytä varmuuskopiokierto. Kerää taustatiedot: kuka havaitsi, mitä, miten, missä ja milloin? 2 Toimi näin, kun havaitset tietomurron: Ota yhteyttä organisaatiosi tietoturvasta vastaavaan tahoon ja/ tai palveluntarjoajaasi. 5Ryhmä arvioi tilanteen ja päättää tarvittavista toimenpiteistä, kuten viranomaisyhteistyöstä ja rikosilmoituksesta. Irrota kone verkosta, kun asiantuntijat ovat tilanteen arvioineet ja kehottaneet näin tehdä. 1Älä hätäänny Älä sulje konetta. Vältä koneen käyttämistä. Pidä kirjaa tehdyistä toimenpiteistä.

10 6 Kyberturvallisuutta palveluna TUTKIMUSTEN MUKAAN KYBERHYÖKKÄYKSEN kohteeksi joutuneista yrityksistä vain kuusi prosenttia havaitsee hyökkäyksen itse. Tyypillinen kyberhyökkäys jatkuu huomaamatta yli vuoden. 77 prosenttia yritysjohdosta uskoo organisaationsa tunnistavan hyökkäykset, mutta yritysten IT-johdossa tiedetään, ettei tilanne ole näin valoisa (Lähteet: Center for a new American Security: Active Cyber Defense A Framework for Policymakers 2/2013 ja Forrester Research study on targeted threats). HARVALLA ORGANISAATIOLLA ON resursseja tai osaamista huolehtia itse kyberturvallisuudestaan riittävän hyvin. Kyberturvallisuuden hallinta onkin luontevaa ulkoistaa osittain tai kokonaan kumppanille ja ostaa kyberturvallisuus palveluna. CGI ON SUOMEN ainoa täyden palvelun kyberturvallisuustoimittaja. Autamme asiakkaitamme tiedostamaan riskejä, suojaamaan toimintoja ja tietoja sekä toimimaan turvallisesti digitaalisessa maailmassa. KONSULTOINTIPALVELUMME AUTTAVAT ASIAKASTA tiedostamaan liiketoimintaympäristön riskejä. Laadimme kyberturvallisuusstrategioita ja teemme uhkamallinnuksia sekä haavoittuvuuksien, riskien ja vaatimusten hallintaa. Health Check -terveystarkastuksella voimme arvioida asiakkaidemme tietoturvan tasoa ja panostuksia. PROJEKTI- JA TIETOTURVARATKAISUILLA autamme varmistamaan asiakkaittemme turvamekanismien toteutukset, kyberturvallisuuden suorituskyvyn ja kehittämisen sekä liiketoiminnan jatkuvuuden hallinnan. JATKUVIEN PALVELUIDEN ANSIOSTA asiakkaamme voivat toimia turvallisesti, kun huolehdimme heidän kyberturvallisuutensa ylläpidosta ja tutkimme nopeasti tieto turvatapahtumat. 84 % ei usko pystyvänsä havaitsemaan omaan organisaatioonsa kohdistuvia kyberhyökkäyksiä. OLEMME AVANNEET SUOMEEN CGI:n uusimman kyberturvallisuuskeskuksen, jossa asiantuntijat valvovat verkossa ja tietoliikenteessä ilmeneviä uhkia, hyökkäyksiä ja haittaohjelmia sekä huolehtivat kyberpuolustuksen käytännön toimenpiteistä tarvittaessa ympäri vuorokauden. Lähde: CGI:n Kyberturvallisuuden taso suomalaisissa organisaatioissa -tutkimus, 4/2016.

11 Miksi yhteistyöhön CGI:n kanssa? Kokemuksemme ja asiantuntemuksemme kattavat kaikki toimialat. Palvelemme paikallisesti ja lähellä asiakasta. Käytössämme on maailmanlaajuinen asiantuntijaverkosto, toimintamallit, uhkatieto sekä tarvittaessa globaalit kyberturvallisuuskeskukset. Toteutamme palvelut aina asiakastarpeiden ja toiveiden mukaisesti, kustannustehokkaasti ja teknologiariippumattomasti. Meillä on kokonaisnäkemys ja -vastuu tietoturvasta ja kyberturvallisuudesta. Asiakkaamme voivat hyödyntää jo tehtyjä investointeja.

12 CGI auttaa asiakkaitaan tiedostamaan riskejä, suojaamaan toimintoja ja tietoja sekä toimimaan turvallisesti digitaalisessa maailmassa. Yhteystiedot/Lisätietoja: Jan Mickos Kyberturvallisuusjohtaja Mika Heino Johtaja, kyberturvallisuuskeskus Jens Säynäjärvi Johtaja, kyberturvallisuuskonsultointi