Tietoturva muuttui totaalisesti parissa vuodessa. Huomasitko?
Yritysten kannattaa tarkastella kriittisesti omaa tietoturvaansa. Toimintaympäristö on monimutkaistunut nopeasti. Vanhat säännöt eivät päde. Unohda se, mitä tietoturva oli vielä viisi vuotta sitten. Fellowmind User Groupin tapaamisessa käytiin läpi ajankohtaisia tietoturvaperiaatteita, jotka kaikkien kannattaa ottaa käyttöön.
Saimme helmikuussa Fellowmind User Groupin vieraaksi Microsoftin tietoturva-asiantuntija Mikael Winqvistin ja Fellowmindin Otto Hintikan. He kertoivat, mitkä ovat nykypäivän säännöt tietoturvalle, ja mistä ne kumpuavat.
Käyttämämme järjestelmät ja tietoturvan toimintaympäristö on kompleksimpi kuin koskaan ennen. Samaan aikaan hyökkäysten määrä on suurempi kuin koskaan. Rikollinen toiminta on ammattimaistunutta; tietoturvahyökkäykset ovat liiketoimintaa, joka etsii yrityksistä haavoittuvuuksia ja myy tietoja eteenpäin. Siksi tietoturva on kriittisen tärkeää.
Tilannetta ei helpota se, että emme kenties ole koskaan tavanneet korona-aikana aloittaneita uusia kollegoitamme, ja silti heidän kanssaan pitäisi jakaa luottamuksellisia tietoja. Käytämme laitteita myös mitä erilaisimmissa tilanteissa: työpaikoilla, liikennevälineissä, julkisissa verkoissa ja tietenkin kotona. Joskus laitteemme ovat myös perheenjäsenten käytössä, enemmän tai vähemmän suunnittelematta.
Uusi teknologia mahdollistaa yhä hienostuneempia hyökkäyksiä, kuten vaikkapa Chat GPT:n ja vastaavien teknologioiden käyttäminen kalastelussa.
Vanhat, hyvätkin tietoturvakäytännöt ovat yksinään riittämättömiä nykytilanteeseen.
Tietoturva on jokaisen asia
Tietoturva on nyt ihan jokaisen asia. Unohda se, mitä tietoturva oli vielä kymmenen tai viisi vuotta sitten. Tietoturva ei ole enää vain tietohallinnon tai it-asiantuntijoiden ylläpidettävä asia, vaan osa aivan jokaisen työntekijän arkipäivää. Myös niin pitkälle, että tietoturva on huomioitava kotonakin, kun tuot sinne laitteita töistä.
Kalastelulta suojautuminen ja organisaation sisäisten tahattomien tai tahallisten väärinkäytösten ehkäisy vaatii jokaiselta työntekijältä tietoisuutta tietoturvallisesta toimintatavasta. Yksittäisen käyttäjän erheestä voi avautua reitti syvemmälle organisaatioon ja sen tietoihin. Myös henkilötietosuoja (GDPR) ja asiakkaan etujen turvaaminen edellyttää merkittävästi aiempaa enemmän tarkkuutta jokaisen työntekijän osalta.
Lainsäädäntö ja omat asiakkaat ja kumppanit vaativat yrityksiltä yhä tarkempaa, auditoitavaa riskienhallintaa ja vastuullisuusohjelmia myös tietoturvan osalta. Yritysvastuullisuuteen kuuluu ajantasainen tietoturva ja mainehaitat sekä oikeudelliset vastuut sen laiminlyömisestä ovat yhä isommat.
Microsoft on erittäin aktiivinen tietoturvatoimija
Microsoftista on tullut hieman vaivihkaa yksi maailman suurimmista tieturvatoimijoista. Kun kaikki työ tehdään järjestelmien avulla ja yhä useammin pilvipalveluissa, on Microsoftin tarjoama turvallinen palveluympäristö noussut liiketoiminnalle kriittisen tärkeäksi.
Microsoft kerää jatkuvasti dataa sen palveluihin ja infrastruktuuriin kohdistuvista uhkista. Tulos on yksiselitteinen: hyökkäysten määrä on jatkuvasti kasvussa, kuten on myös hyökkäysten eskaloitumisen nopeus.
Yhden henkilön tai tietoturvatiimin on jo mahdoton monitoroida kokonaistilannetta: tarvitaan tekoälyä, algoritmeja ja automatisoitua tunnistamista — sekä tilanteiden eskalointia asiantuntijoille. Microsoft tarkkailee ja turvaa palveluiden ja pilvialustan turvallisuutta isoilla resursseilla.
Uudet tietoturvaperiaatteet yrityksille
Otto Hintikka ja Mikael Winqvist tiivistivät Fellowmind User Groupin tapaamisessa uudet realiteetit näin: “Yksinkertainen toimintaperiaate: Älä luota kehenkään ja suojaa kaikki. Kaikki käyttäjät. Kaikki laitteet. Kaikki työkuormat.”
Olennaisia tietoturvaperiaatteita, jotka ovat jo nyt minimivaatimus turvalliselle toiminnalle:
- Zero Trust: Älä luota keheenkään tai mihinkään. Ei organisaation sisäpuolella, ei sen ulkopuolella.
- Roolikohtaiset oikeudet: Järjestä käyttöoikeudet ja pääsynhalllinta niin, että kukin ihminen saa vain roolilleen tarpeelliset oikeudet.
- Suojaa kaikki: Mitään palvelua, mitään laitetta ei jätetä suojaamatta.
- Vahva tunnistautuminen: Vaadi kaikkien käyttäjien tunnistautumista, kaikkiin palveluihin.
- Multi Factor Authentication: Pakota käyttöön monivaiheinen tunnistautuminen.
- Kryptaa tiedot: Turvaa data ja kriittiset tiedot kryptauksella.
- Suojaa henkilötiedot: Varmista, että henkilötietosuojan (GDPR) edellytykset täyttyvät.
- Auditoi ja raportoi: Tarkkaile automatisoidusti henkilöstön ja järjestelmien toimintaa; auditoi ja raportoi säännöllisesti.
Yritykset ja työntekijät toimivat teknologisesti monimutkaisemmassa ympäristössä kuin koskaan. Siksi vanhat, totutut toimintaperiaatteet eivät ole riittäviä, kun uhkilta halutaan suojautua ja kun niiltä halutaan suojata omia asiakkaita ja yhteistyökumppaneita.
Ota ajankohtaiset tietoturvaperiaatteet käyttöön!
Otto Hintikka
Business & People Lead - Cloud Platforms
Otto on uudesta teknologiasta innostuva tulevaisuusoptimisti. Otta haluaa tukea Fellowmindin asiakkaiden liiketoiminnan kannattavuutta ja kasvua - digitalisaation, dataan pohjautuvien ratkaisujen ja teknologian avulla.
Ota yhteyttä: otto.hintikka@fellowmind.fi tai +358 44 572 3171
Tero Tapanainen
Tero on Fellowmind Finlandin CTO, jonka lempisanonta on "Teknologiapuolella mikään ei ole mahdotonta, kaikkea ei ole vain järkevää toteuttaa". Ole Teroon yhteydessä: tero.tapanainen@fellowmind.fi.