logo
  • Etusivu
logo

Hae it-yrityksiä
osaamisalueittain:

Heikoin lenkki: parhaassakin palomuurissa on ihmisen kokoinen tietoturva-aukko

BloggausJari Tenhunen, R&D Director, Tosibox Oy

Jokainen itseään kunnioittava yritys kertoo kouluttavansa työntekijöitään tunnistamaan yrityksen tietoturvan kannalta keskeisimmät vaaranpaikat. Olemme jo kuulleet lukemattomat varoitukset siitä, ettei outoja linkkejä pidä klikata ja että salasanat eivät saa olla heikkoja. Silti moni käyttää edelleen jopa samaa salasanaa useassa eri palvelussa. On sanomattakin selvää, että käyttäjätunnuksien ja salasanojen paljastaminen avaa huomattavat mahdollisuudet jos jonkinlaiseen pahantekoon.

Viime vuonna ranskalainen markkinatutkimusyritys Ipsos arvioi, että tietovarkauksista ja -murroista jopa 72 prosenttia johtuu siitä, että henkilökunta käsittelee sähköpostitse saapuvia linkkejä ja liitetiedostoja varomattomasti. Sähköposti voi näyttää tärkeältä, viralliselta, kiinnostavalta, luotettavalta tai se voi olla merkitty kiireelliseksi. Se voi saapua juuri silloin kun työntekijän huomio on herpaantunut.

Mitä suurempi yritys, sitä suuremmat ovat riskit. Jokainen työntekijä, yksikkö ja osasto voi tarkoittaa hyökkääjille laajempaa hyökkäyspinta-alaa. Samalla yksittäisen työntekijän syyllistäminen on kuitenkin väärin, sillä vastuu yrityksestä on yhteinen ja jokainen ihminen on erehtyväinen.

Kyberturvallisuuden markkinat ovat jyrkässä kasvussa. Viime vuonna alan globaali arvo oli noin 137 miljardia dollaria ja neljän vuoden kuluttua sen arvioidaan olevan jo 230 miljardia.

Ihmisen perusominaisuuksiin kuuluu luottaa toiseen ihmiseen, mikäli luottamiselle ei ilmene erityistä estettä. Ystävällisyys ja kohteliaisuus kuuluvat asialliseen työelämän toimintakulttuuriin. Jos ihmiseltä pyydetään apua, hän yleensä auttaa, jos tuntee olonsa turvalliseksi. Esimerkiksi yritysten auloista kävellään tyypillisesti sisään naamioituneena sopimuskumppanin edustajaksi, joka on joko unohtanut kulkuluvan kotiin tai sen puuttumiselle on jokin muu järkevän oloinen syy. Kun henkilö on sisällä yrityksen tiloissa, hänen on helppoa asentaa vaikka muistitikulta keylogger-ohjelmisto, joka varastaa kaikki näppäimistön painallukset tai vaikka käydä lukemassa seinälle muistamisen helpottamiseksi kiinnitetyt käyttäjätunnukset ja salasanat.

Jos vastassa on valtiollinen toimija tai Ocean’s eleven -hittielokuvan kikkojen veroisia menetelmiä hyödyntävä ammattivarkaiden tiimi, taitavakin tietoturvaosaaja voi olla pulassa. Yrityksen työntekijä, oli sitten kyseessä toimitusjohtaja itse, tuotantolinjan tai taloushallinnon osaaja, on pulassa vielä todennäköisemmin.

Perusongelma suojautumisessa on se, että hyökkääjän tarvitsee onnistua vain kerran, mutta puolustajan työ sen sijaan on jatkuvaa. Hyökkääjän tehtävä on vain selvittää se mitä puolustaja on unohtanut. Tästä syystä ihminen on edelleen tietoturvan heikoin lenkki.

Ihmiset myös rakentavat teknisen tietoturvan järjestelmät, ja siksi nekin sisältävät inhimillisiä tekijöitä. Esimerkiksi avoimien kirjastojen käyttäminen sovelluksissa on helppoa ja kustannustehokasta, mutta kirjastoissa ilmenee tavan takaa haavoittuvuuksia. On käyttäjien vastuulla päivittää kirjastot ja niitä käyttävät sovellukset korjattuihin versioihin. Jos haavoittuva versio jää päivittämättä, se voi tarjota hyökkääjälle yhdessä jonkin muun lisätiedon kera pääsyn yrityksen tietoihin.

Ihmisen toimintaa on paljon vaikeampaa ennakoida kuin ihmisen ohjelmoiman koneen toimintaa. Huijauksiin haksahtavia työntekijöitä ja johtajia tulee olemaan aina, sillä kiire, uteliaisuus, uneliaisuus, ujous, ylpeys, pelko ja lukemattomat muut inhimilliset ominaisuudet eivät katoa.

Myös järjestelmien konfigurointi on oma taiteenlajinsa, ja manuaalinen, ihmisen tekemä järjestelmien konfigurointityö on altis virheille. Mitä enemmän konfiguraatiota tarvitsee tehdä, sitä suuremmaksi nousee inhimillisten virheiden todennäköisyys. Olisi myös kohtuutonta odottaa, että jokaisessa organisaatiossa osattaisiin kaikki. Siksi kannattaa turvautua ammattimaisiin ratkaisuihin, joiden käyttöönotto paitsi riittävän yksinkertaista, myös turvallista ja toimintavarmaa.

Tosibox on IoT-tietoturvan asiantuntija, jonka kehittämä ratkaisu poistaa inhimillisen erheen mahdollisuuden. Panostamme tuotekehityksessämme helppokäyttöisyyteen. Kun käyttäjän tarvitsee huolehtia vain muutamista asioista, TOSIBOX® -tuotteiden konfiguroiminen väärin on käytännöllisesti katsoen mahdotonta. Myös ohjelmistopäivitykset tulevat automaattisesti.

Huijatuksi tulevien määrään ja tietoturvapoikkeamien aiheuttamiin kustannuksiin voi vaikuttaa ennaltaehkäisevästi. Tässä muutama yksinkertainen neuvo.

Sivistä itseäsi.

Tietoturvan ymmärtäminen arjessa on kansalaistaito. Seuraa tietoturva-alan kehitystä ja uutisointia. Osoita kiinnostusta ja kysele. Älä odota, että muut turvaavat sinut, vaan kohtele turvallisuutta kuin hymyä: joka antaa, se saa. Yhdessä teemme enemmän.

Kouluta työntekijäsi.

Vaikka organisaatiosi kaikki työntekijät olisivat suorittaneet pakollisen tietoturvan verkkokurssin, he tuskin muistavat siitä mitään kaksi vuotta myöhemmin, sillä kannettu vesi ei pysy kaivossa ja uusia uhkia ilmenee säännöllisin väliajoin. Myös hyökkääjät kehittyvät ja kehittävät jatkuvasti uutta. Siksi organisaation oppimisen tulee olla jatkuvaa.

Panosta resilienssiin.

On lähes varmaa, että jokaiseen yritykseen kohdistuu enemmin tai myöhemmin jonkinlainen tietoturvapoikkeama. Osa niistä voi olla tuhoisampia kuin toiset, mutta torjuvasta ajattelusta on siirrytty painottamaan organisaation kykyä toipua tapahtuneesta. Tätä kutsutaan resilienssiksi. Selviytymiskykyä edistää esimerkiksi säännöllinen harjoittelu. Silloin kaikki organisaation osat osaavat paremmin toimintaan todellisen tilanteen tapahtuessa.


Pinterest
Bloggauksen infoboxi
Tosibox Oy

Lisätietoja

Tosibox Oy:n yritysprofiili Kotisivut

Tagit

Jos tarjontatagi on sininen, pääset klikkaamalla sen kuvaukseen

Liiketoimintaprosessi

Tietohallinto

Erikoisosaaminen

Tietoturva

Toimialakokemus

IT
Kiinteistöala
Kuljetus, liikenne ja logistiikka
Prosessiteollisuus
Raaka-aineet ja energia
Valmistava teollisuus

Tarjonnan tyyppi

Laitteet
Valmisohjelmisto

Omat tagit

etäyhteys
Teollinen internet
IoT
esineiden internet
IIoT
kyberturvallisuus

Siirry yrityksen profiiliin Siirry Tosibox Oy kotisivuille Yrityshaku Referenssihaku Julkaisuhaku

Tosibox - Asiantuntijat ja yhteyshenkilöt

Asiantuntijoita ja yhteyshenkilöitä ei ole vielä kuvattu.

Tosibox - Muita referenssejä

Tosibox - Muita julkaisuja

Siirry Tosibox Oy kotisivuille Siirry yrityksen profiiliin Yrityshaku Referenssihaku Julkaisuhaku

Digitalisaatio & innovaatiot blogimedia

Blogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä

Tekstiviestien käyttö yritysviestinnässä kasvaa – SMS:n seuraava sukupolvi voi tuoda uusia ulottuvuuksia mobiiliviestintään
Is this the most beautiful event in the world?
Meeshkan voitti Slush 100 pitchauskilpailun

Etusivu Yrityshaku Pikahaku Referenssihaku Julkaisuhaku Blogimedia