Tietoturvan pilvilinnat

Tietoturvan varmistaminen on vaikeaa, mutta odotamme että organisaatiot hoitavat sen kunnialla. Tämä blogikirjoitus käsittelee tästä kumpuavia ristiriitoja: tietoturva-ammattilaisten odotukset ja organisaatioiden todellisuus eivät usein kohtaa.

Turvallisuus on vaikeaa.

Kyberturvallisuusosaajien, -tuotteiden ja -palveluiden markkinat olisivat paljon pienemmät jos turvallisuus olisi helppoa. Ja jopa kovimpia ammattilaisia täynnä olevat organisaatiot eivät aina onnistu täysin varjelemaan turvallisuuttaan, vaikka turvallisuutta olisi hoitamassa kokonainen osasto tietoturvavalvomoineen. Digitaalinen infrastruktuuri ja yhteiskunta on yksinkertaisesti haastava ympäristö, yhä useampi laite ja palvelu on kytketty verkkoon ja aika haavoittuvuuden julkaisusta onnistuneisiin hyökkäyksiin lyhenee koko ajan. Suuretkin toimijat tuskailevat tämän kanssa!

Entäpä organisaatiot joilla ei ole resursseja hankkia omia kyberturvallisuuden ammattilaisia, etenkin kun parhaat revitään muutenkin käsistä isoihin organisaatioihin? PK-yrityksissä ja startupeissa tietoturva jää usein IT-johdon tai IT-rivityöntekijöiden harteille, joiden työnkuvaan kuuluu paljon muutakin. Ylläpitokin on aivan oma osaamisalueensa, ja sekin vaatii paljon osaamista.

Näissä organisaatioissa tärkeätkin toimenpiteet saattavat jäädä tunnistamatta, tai ne tunnistetaan mutta jäävät backlogille. Työaika ei yksinkertaisesti riitä kaikkien asioiden hoitamiseen. Näistä syistä johtuvat osa niistä tapauksista joissa julkisesti ihmetellään esimerkiksi miksi varmuuskopioita ei ollut olemassa. Varmuuskopiot olivat kenties backlogilla.

Kyberturvallisuutta ei voi myöskään kerralla hoitaa kuntoon ja unohtaa, vaan se vaatii jatkuvaa kehittämistä ja valvontaa. Kenellä on PK-yrityksessä aikaa tuijottaa valvontanäkymää? Entä kenellä on intressi ajaa jatkuvaa kehittämistä, jos kaikki työ siitä kaatuu omaan niskaan ja muuttuu ylitöiksi?

Tietoturva- ja tietosuoja ovat kuitenkin jollain tasolla lähes kaikkien organisaatioiden tietoisuudessa. Useimmilta päättäjiltä kysyessä teemat koetaan tärkeinä, mutta toisaalta tunnistetaan haasteita esimerkiksi osaamisen, prosessien, asioiden käytäntöön viemisen ja resurssien osalta.

Tietoturva-ammattilaisten perspektiivi

Joissain tapauksissa on perusteltua puhua tietoturva-ammattilaisten pilvilinnoista. Tietoturva-ammattilaisten näkökulma on sikäli sama, että me toivomme yhtä lailla turvallisuuden parantuvan, ja teemme päivittäin työtä sen eteen. Toisaalta syvemmän asiantuntemuksen mukana tulee myös perspektiiviharhoja ja biasta. Kyberturvaosaajat päästävät monesti turhautuneen huokauksen (tai somepostauksen) kun helposti estettävissä ollut riski toteutuu esimerkiksi väärin konfiguroidun infrastruktuurin takia. Tieto tuo tuskaa.

Toisaalta tieto siitä, miten asiat tehtäisiin parhaiten ja “oikein”, ei välttämättä vastaa organisaatioiden todellisuutta. Siinä missä kyberturvallisuuden osaaja tietää että monivaiheinen tunnistus auttaisi turvallisuuden parantamisessa ja ihmettelee miksei se ole kaikilla käytössä, sen jalkauttamista yrittävä IT-vastuuhenkilö ei välttämättä saa käyttöönottoa läpi organisaatiossaan esimerkiksi muutosvastarinnan takia. Olen jopa kuullut että käyttöönotettu monivaiheinen tunnistus on pakotettu ottamaan pois päältä. Kuilu ihanteiden ja todellisuuden välillä on valtava.

Myös resurssien suhteen odotukset ovat melkoiset. Pörssiyrityksen kyberturvafunktiossa työskentelevä henkilö ei välttämättä ymmärrä miksi startup ei ollut palkannut kyberturvaosaajia. Resurssit eivät riitä, ja osaajia on vaikea saada. Yrityksillä pitäisi olla myös tietosuojavastaava. Tämä on lisäkulu, ja osaajat on kaiken lisäksi viety. Tietoturvakonsultti saattaa kehottaa toteuttamaan toimenpiteet x, y ja z, joiden vieminen maaliin maksaisi organisaation nykyisen IT-budjetin verran.

Malliesimerkki resurssiodotuksista vs. realismista löytyy Vastaamon tapauksesta. Uutisen mukaan kyberturvallisuuskeskus olisi todennut että Vastaamon tietoturvasta (huom, pelkästä tietoturvasta) huolehtiminen olisi vaatinut 6-7 hengen työpanoksen. Vastaamo oli traaginen tapaus joka johtui etenkin aliresursoinnista ja huonosta johtamisesta, mutta voin kertoa että Suomessa ne organisaatiot, joissa on 6-7 dedikoitua kyberturvallisuusammattilaista, ovat todella harvassa. Olen yllättynyt jos sellaisia organisaatioita on enemmän kuin muutama sata.

Pilvilinnoissa on kuitenkin yksi hyvä puoli. Ilman parempaa kohti pyrkiviä, toisiaan kirittäviä ammattilaisia, kehitys jumittuisi ja tietoturva-asiat jäisivät vielä useammin hoitamatta kuntoon. Useissa organisaatioissa kehitys tapahtuu vain sen kovaäänisen, itsepäisen ammattilaisen ansiosta. Vaikka se tyyppi tuntuisi vaativan mahdottomia, kannattaa huomioida että hän luultavasti tarkoittaa vain hyvää.

Regulaatio

GDPR on osaltaan asettanut epärealistisia odotuksia tietosuojan hoitamiselle, sillä regulaatio joka on tehty vastaamaan amerikkalaisten teknologiajättien ongelmiin kohtelee PK-yritystä samalla tavalla. Lopputuloksena olemme tilanteessa jossa GDPR:ää ei vaan noudateta, ainakaan täydellisesti. Regulaatiota ollaan lisäämällä kansallisella ja EU-tasolla myös tietoturvaan liittyen, ja pahoin pelkään että se johtaa uusien “pilvilinnojen” syntyyn.

Uberin entinen tietoturvapäällikkö sai juuri tuomion liittovaltion oikeudessa tietomurron peittelystä. Toisaalta tietomurtojen julkistaminen johtaa herkästi tietoturvapäällikön syyttelyyn ja potkuihin. Mikäli kova rikosoikeudellinen vastuu lisääntyy, yhä useampi tietoturvapäällikkö myös EU:ssa saattaa joutua valitsemaan potkujen tai mahdollisen rikosvastuun välillä. Vastaamon osalta näemme oikeudenkäynnissä, miten toimitusjohtajan vastuu asiassa nähdään. Mikäli päädytään antamaan tuomio, suomalaisten toimitusjohtajien ja hallitusten on syytä herätä siihen todellisuuteen että turvallisuus ja tietosuoja on pakko hoitaa kunnolla

Yhteenveto

Turvallisuus on hankalaa, ja meillä pitäisi olla enemmän ymmärrystä erikokoisten organisaatioiden haasteille sekä kansalaisina, ammattilaisina että alaa reguloivana yhteiskuntana. Ollaan empaattisempia toisillemme ja koitetaan asettua myös toisen asemaan – etenkin jos se toinen on kyberhyökkäyksen uhri. Koittakaa myös ymmärtää meitä kyberammattilaisia – vaadimme paljon, koska vaatimalla saamme lisää turvallisuutta meille kaikille.

Kategoria Blogi, Näkökulma