05.12.2020

Digiavain tarjoaa tilaisuuden tietovarkaalle

Viime aikoina paljastuneet tietomurrot ovat saaneet hälytyskellot soimaan lukuisissa organisaatioissa. Omaa turvatasoa perattaessa onkin voinut paljastua karu totuus. Tietojärjestelmät on rakennettu huolellisesti, mutta etenkin ylläpitäjien, ohjelmistoinsinöörien ja IT-konsulttien käyttäjäoikeuksien valvonta on pahasti retuperällä.

Mikä on yhtiönne liiketoiminnan kannalta arvokasta dataa ja kenellä kaikilla on mahdollisuus päästä siihen käsiksi?

Siinä yksi peruskysymys, jonka tietoturvaekspertit esittävät, kun he lähtevät taklaamaan tietoturvariskejä. Asiakkaan vastaukset voivat tulla aluksi kuin apteekin hyllyiltä. Muutaman jatkokysymyksen jälkeen saattaa kuitenkin paljastua, ettei tiedonhallinnan kokonaisuus ole oikeastaan kenenkään hallussa.

Bisneskriittistä dataa on tallessa yrityksen omilla palvelimilla, pilvipalveluissa ja henkilöstön läppäreillä. Ylläpito- ja konsulttipalveluja ostetaan useilta eri tahoilta eikä järjestelmien käyttöoikeuksia valvo käytännössä kukaan. Myös salasanat ovat vaihtamatta ja niitä on jaettu varsin huolettomasti eteenpäin.

Lukot uusiksi myös digimaailmassa

Edellä kuvatut tilanteet ovat tulleet vuosien varrella tutuksi myös kotimaisen tietoturvayhtiö SSH Communications Securityn (SSH.COM) toimitusjohtaja Teemu Tunkelolle ja teknologiajohtaja Miikka Sainiolle.

Kokeneen asiantuntijakaksikon mukaan moni yritys valvoo omia toimi- ja tuotantotilojaan tarkemmin kuin liiketoiminnan kannalta elintärkeää dataa, vaikka tietomurto ja siihen usein liittyvä kiristäminen voivat tietää koko yrityksen loppua. 

– Tilaisuus voi tehdä kenestä tahansa varkaan. Asiakas- ja tuotekehitystiedoista maksetaan usein huomattaviakin summia. Jos niihin pääsee helposti käsiksi, saattaa houkutus olla yrityksen luottopelurillekin liikaa, Tunkelo tähdentää.

Miikka Sainio vertaakin lepsuja tietoturvakäytäntöjä taloyhtiöön, jonka hukatusta yleisavaimesta on tehty lukuisia kopioita.

– Tällaisessa tilanteessa talon kaikki lukot ja avaimet menevät pikavauhtia uusiksi. Samalla tavoin tulisi toimia myös yrityksissä, jos yksikin käyttöoikeus tai salasana kulkeutuu talon ulkopuolelle tai jää asiaankuulumattomalle henkilölle, Sainio tähdentää.

Digiavaimet uusjakoon ja oikeille henkilöille

SSH.COM on kehittänyt näihin pulmiin tehokkaita työkaluja.

UKM:n (Universal Key Management) avulla yritykset näkevät nopeasti, missä riskialttiita digiavaimia majailee. Se myös varmistaa, että tietojärjestelmien digiavaimet päätyvät ainoastaan niille henkilöille, jotka niitä työssään aidosti tarvitsevat.

PrivX:n avulla puolestaan käyttäjien tunnistus ja käyttöoikeuksien hallinnointi selkiytyy erityisesti pilviympäristöissä – tarvittaessa salasanattomasti. Erilaiset aika- ja järjestelmärajaukset on helppo asettaa sekä tunnukset vaihtaa ja ”nollata” työtehtävien muuttuessa tai päättyessä.

– Merkittävä osa tietoturvan laiminlyönneistä johtuu siitä, että järjestelmien käyttö on työlästä ja jossain päätetään hieman oikaista. Kun käyttö on helppoa, yksinkertaista ja nopeaa, tällaista houkutusta ei edes synny, Sainio lisää.

Kaupallinen yhteistyö

Organisaation tiedot

SSH.COM

SSH Communications Security • Liikevaihto 14,5 MEUR • Työntekijöitä globaalisti noin 100 • Suunnittelee ja toimittaa tietoturvaratkaisuja • Päämarkkina-alueet Aasia, Eurooppa, Yhdysvallat • Yli 3 000 asiakasta eri puolilla maailmaa