Kaiken maailman tietoturvaongelmia

Tietoturva-ala, -yksiköt ja asiantuntijat kohtaavat haasteita monella rintamalla – inflaatio, osaajapula, geopoliittinen tilanne, digitalisaation asettamat tarpeet, taantuma ja kustannuspaineet, pilvisiirtymä ja kyberrikollisuus, muutamia mainitakseni.

KPMG:n tuoreimmassa KPMG global tech -raportissa käsitellään teknologia- ja IT-alan trendejä ja tulevaisuuden näkymiä. Tietoturvallisuuden osalta keskeisin havainto oli, että kehitys on niin nopeaa, että alan asiantuntijoidenkin on vaikeaa pysyä sen perässä. Mistä tämä sitten johtuu? 

Suurimpana haasteena digistrategioiden toteuttamisessa ylipäätään tuntuu olevan osaajapula. Tämä koskee myös kyberturvallisuuden asiantuntijoita. Ostopalveluiden osalta tätä ruokkii erityisesti ostokäyttäytyminen. Kärjistäen voidaan sanoa, että usein odotetaan asiantuntijalla olevan viidentoista vuoden kokemus teknologiasta, joka on ollut olemassa vasta viisi vuotta. Lisäksi asiakas- ja konsulttiyritykset monesti kilpailevat samoista osaajista. Me KPMG:llä pyrimme siihen, että asiantuntijoiden määrä myös kasvaisi. Yhtenä esimerkkinä toimii vuosittain järjestämämme Tech Guru-harjoitteluohjelma tuleville teknologiakonsultoinnin ammattilaisille.

Osaajien vähäisen määrän lisäksi alalla kohdataan muitakin haasteista, eikä 100-prosenttista turvallisuutta ole mahdollista rakentaa. Kryptovaluutat ovat tarjonneet rikollisille loistavan välineen erilaisten kiristyshyökkäysten toteuttamiseen. Kryptovaluutoilla on oman näkemykseni mukaan kaksi keskeistä käyttötarkoitusta: 1. rikollisuus ja 2. markkinoilla spekulointi. Toki on muitakin käyttötapoja ja samaa teknologiaa soveltaen voidaan rakentaa ja onkin rakennettu, esimerkiksi lentoyhtiöiden ja pelien piste- ja maksujärjestelmiä. Itse olen kuitenkin sitä mieltä, että varsinkin julkisesti ostettavien ja vaihdettavien kryptovaluutoiden käyttöä pitäisi säännellä merkittävästi enemmän tai jopa kieltää ne kokonaan. Esimerkiksi kiristyshaittaohjelmat ja niihin liittyvät lunnasvaatimukset vähenisivät samalla murto-osaan.

Hyökkääjille riittää yleensä yhden heikkouden löytäminen, kun taas puolustajan pitäisi pystyä tilkitsemään kaikki mahdolliset aukot, mikä on käytännössä mahdotonta. Kiristyksessä hyökkääjän on monesti mahdollista käyttää kahta eri tapaa. Ensimmäinen tapa on estää pääsy tietoihin – monet voivat selvitä tästä hyvien varmistusten avulla. Ensimmäisen vaihtoehdon epäonnistuessa, voidaan puolestaan uhata julkistaa anastetut tiedot. Viimeistään tämä saa monen organisaation harkitsemaan lunnaiden maksamista, joka puolestaan ruokkii rikollisuutta edelleen ja on ongelmallinen monesta muustakin syystä, muun muassa ESG:n sekä vastuullisuuden näkökulmasta ylipäänsä. 

Digitalisaation lisäksi hybridityön lisääntyminen on laajentanut yritysten verkkoa ja järjestelmiä perinteisten organisaatiorajojen ulkopuolelle. Tämä on pitänyt sekä rikolliset että tietoturvatiimit kiireisinä. Suomessa meillä on onneksi kuitenkin ollut kohtuullisen hyvät valmiudet turvalliseen etätyöskentelyyn. Organisaatioiden IT-ympäristön rajojen hämärtyminen on johtanut siihen, että nykyään puhutaan paljon niin sanotusta Zero Trust -arkkitehtuurista. Käsitteen merkityksen voi kiteyttää niin, että jokainen ihminen ja laite todennetaan ennen kuin kyseiselle verkon osalle myönnetään pääsy johonkin tiettyyn resurssiin. Mihinkään ei siis automaattisesti luoteta vain siksi, että kohde olisi esimerkiksi organisaation sisäverkossa.

Viime aikoina on kiinnitetty erityistä huomiota kriittisen infrastruktuurin, kuten energian tuotannon ja jakelun, vesihuollon, pankkijärjestelmien, logistiikan yms. turvaamiseen. Myös tähän liittyvä sääntely lisääntyy, esimerkkinä DORA ja NIS2. Kriittisen infrastruktuurin suojaamisen yhtenä ongelmana on ollut siihen liittyvät vastuut. Yhteiskunnan tasolla yksittäinen taho ei yksin voi suojata sitä ja kriittisten komponenttien omistajuus on hajautunut eri yritysten ja julkisen hallinon kesken. Yksittäisen organisaation tasolla puolestaan perinteinen IT-yksikkö ei tyypillisesti ole vastannut tuotantojärjestelmistä ja tuotannosta vastaavilla tahoille ei välttämättä ole ollut riittävää kyberturvallisuuden asiantuntemusta tai resursseja asian hoitamiseen. 

Jotta kaikki ei olisi pelkkää synkistelyä, niin positiivista on, että ymmärrys kyberasioista ja niiden merkityksestä on lisääntynyt merkittävästi. Uudet pilvipohjaiset ratkaisut tarjoavat erittäin hyviä työkaluja tietojen suojaamiseen ja havainnointikyvyn kehittämiseen, kunhan niitä vaan osataan käyttää. Lisäksi ei tässä varmaan ehdi pitkästymään. Muutos ja kehitys on varmaa. Pitää vain pysyä perässä.