Asiakastarina: kaupan alan yritys

Tietoturva on monessa yrityksessä ajankohtainen asia. Osassa tätä hoidetaan jo hyvin perusteellisesti ja osa vielä pohtii, mitkä olisivat riittävät toimenpiteet.

Kansainvälisesti tunnetussa kaupan alalla toimivassa yrityksessä on jo laajuutensa takia melko tarkkaan rakennetut toimintamallit tietoturvan varalta. Yrityksen riskienhallintapäällikkö kertoo, että heillä toteutetaan hyvin tyypillistä riskienhallintaprosessia, jonka pääalueita ovat tunnistaminen, analyysi ja päätöksentekoon vieminen.

"Tietoturva on käytännössä riskienhallintaa, johon liittyy myös paljon sääntelyä. Teemme arvioita ja tunnistamme riskejä. Sen jälkeen teemme kunnollisen analyysin vaikutuksista ja siitä kuinka todennäköisiä riskit ovat. Lopuksi teemme arvion riskinottokyvystämme ja -halukkuudestamme", riskienhallintapäällikkö pohtii.

Innofactorin kanssa hyvä yhteys

Yrityksessä toteutettiin niin kutsuttu Red Team -toimeksianto eli fyysinen läpäisytestaus, jossa suoritetaan luvallinen hyökkäys yrityksen fyysisiä turvajärjestelmiä, prosesseja ja käytäntöjä kohtaan. Myös sosiaalinen manipulointi oli osa toimeksiantoa.

"Innofactorin kanssa meillä oli hyvä yhteys alusta asti. Halusimme kuulla heiltä enemmän tällaisesta testaamisen maailmasta", riskienhallintapäällikkö kertoo.

Esiselvitystyön jälkeen järjestettiin kilpailutus, jonka perusteella Innofactor valittiin toteuttamaan myös projektin loppuvaiheet.

"Luottamus tekemiseen ja laatuun saatiin esiselvitysvaiheessa. Laadullisesti jäi hyvä fiilis. Toki heitä puolsi myös kilpailukykyinen hinta", riskienhallintapäällikkö muistelee.

LUE BLOGI: MITÄ ON FYYSINEN PENETRAATIOTESTAUS?

Red Team -hyökkäys testasi yrityksen tunnistustyötä

Testaus toteutettiin ns. black-box-mallin mukaisesti. Tämä tarkoittaa sitä, että hyökkäävä taho ei saa mitään ennakkotietoja penetroitavasta järjestelmästä vaan joutuu toimimaan ulkopuolisen tiedon voimin. Näin saatiin lisää maustetta yrityksen omaan tunnistamistyöhön sekä testattua sitä, löytyykö järjestelmästä niin kutsuttuja "blind spotteja" eli asioita, joita ei ole osattu ottaa huomioon.

"Suunnittelu oli huolellista. Meillä oli käytössämme neljä asiantuntijaa Innofactorilta, mutta omalta osaltamme pidimme tiimin mahdollisimman pienenä. Tarkoituksena oli, että henkilöstöllä ei olisi tietoa tällaisesta testauksesta", riskienhallintapäällikkö kertoo.

Huolellinen etupainoinen suunnittelu oli keskiössä. Suunnittelutyön jälkeen sovittiin tunkeutumistestauksen aikataulu. Kukaan yrityksestä ei tiennyt hyökkäyksen tarkkaa ajankohtaa.

"Varsinaisen harjoituksen aikana minäkään en tiennyt mitään tapahtuvan. Huomasin myös toimistolla liikkuessani jännittäväni sitä, miten reagoin, jos vastaan tulee tuttu naama. Onneksi en törmännyt kehenkään toimistolla, jotta asiat pysyivät salassa", riskienhallintapäällikkö hymyilee.

Testauksen tuloksista laadittiin kattavat raportit

Harjoituksen jälkeen Innofactorin asiantuntijat ovat käyneet yrityksen tiimin ja johdon kanssa saavutettuja tuloksia läpi raporttien muodossa. Asiantuntijoiden kanssa käyty keskustelu on ollut hedelmällistä, ja vastakysymyksiin on saatu hyvin vastauksia.

"Lopputulos oli odotustemme mukainen. Varsinaisia blind spotteja ei testauksessa löytynyt. Pari nostoa jäi meille sisäisesti pohdittavaksi, ja mietitään vielä, aiheuttavatko ne meille toimenpiteitä", riskienhallintapäällikkö kiittelee.

Testaus oli kyseessä olevan yrityksen ensimmäinen laatuaan. Tarkoitus oli nimenomaan hakea vahvistusta yrityksen käsitykselle omien tietoturvajärjestelmien riittävyydestä.

"Saimme positiivista vahvistusta omille prosesseillemme. Samalla saimme myös vahvistusta inhimillisten tekijöiden isolle merkitykselle eli sille, miten henkilöt meidän toiminnassamme kohtaavat vastaavia tilanteita ja osaavat niissä tilanteissa toimia", riskienhallintapäällikkö summaa.

"Tilanteen päällä pysyminen on kriittistä"

"On vaikea sanoa, kuinka usein tällainen testaus olisi hyvä suorittaa. Toimintaympäristön muutos kannusti meitä testauksen tekemiseen. Tilanteen päällä pysyminen on se kriittinen asia", riskienhallintapäällikkö pohtii.

Innofactorin toiminnasta hänellä on vain hyvää sanottavaa. Heidän ammattitaitonsa tällaisten projektien toteuttamiseen on vähintäänkin riittävä.

"Tavoitteena oli saada asiaan perehtyneeltä kumppanilta oppia ja kokemusta aiheesta. Innofactorin tiimissä oli riittävän erilaisia asiantuntijoita sekä hyvin eri näkökulmia. Meille jäi todella positiivinen fiilis heidän kanssaan toimimisesta. Suosittelen kyllä muillekin. Laatu ja huolellisuus vain vahvistuivat projektin aikana", riskienhallintapäällikkö päättää.

TUTUSTU RATKAISUUN: TIETOTURVA-ARVIOINNIT

Näin se tehtiin

Kaupan alan yritykselle toteutetussa ratkaisussa hyödynnettiin osaamistamme muun muassa seuraavilta osa-alueilta:

• Kyberturvallisuus
• Tietoturvavalvonta
• Tietoturva-arvioinnit.