Organisaation uskottava tietoturvataso voidaan todentaa sekä erilaisilla dokumentaatioilla että käytäntöjen testaamisella. On tärkeää ymmärtää ja osoittaa sidosryhmille, miten organisaatio toimii tietoturvapoikkeaman tapahtuessa ja havaita ovatko suojaukset, ohjeistukset ja ihmisten toimintavalmius riittävällä tasolla
Palvelumme
Autamme yritystäsi suojaamaan tietoja niin teknologisin ratkaisuin kuin parantamalla ihmisen ja organisaation prosessien turvallisuutta ja reagointikykyä poikkeamatilanteissa. Palveluidemme avulla verifioidaan organisaatioiden kontrollien ja ohjeistusten toimivuutta sekä tuotteiden ja palvelujen turvallisuutta.
Olemme tukenasi myös kun kaikki ei mennytkään niin kuin piti. Uhka oli ehkä ennestään tuntematon tai siihen ei ehditty tai voitu jostain syystä reagoida. Tällaisissa tilanteissa on tärkeää olla kumppani, joka auttaa vastaamaan vahinkoon vaadittavalla ja mahdollisesti riippumattomalla tavalla.
Järjestelmä- ja sovellustestauksella varmistetaan sovellusten tietoturvallisuus ja tunnistetaan niiden haavoittuvuudet ja väärinkäyttömahdollisuudet
Sovellustestauksen palvelumme kattavat käyttöjärjestelmät, mobiililaitteet ja -sovellukset sekä muut asiakas- ja serveripään sovellukset. Open Web Application Security Project (OWASP) -viitekehys ja siihen liittyvät turvallisen ohjelmistokehityksen keskeiset standardit kuten Application Security Verification Standard (ASVS), Mobile Application Security Verification Standard (MASVS), Mobile Application Security Testing Guide (MASTG), Web Security Testing Guide (WSTG) ohjaavat työskentelyämme.
Tarjoamme tietoturvatestausta myös osana jatkuvaa sovelluskehitystä (DevSecOps). Testaustapamme on kustannustehokas, sillä testaajamme ovat tarvittaessa suoraan yhteydessä kehittäjiin ilman väliportaita.
Tehokas tietoturvan testaus löytää järjestelmien ongelmakohdat, jolloin ne voidaan korjata ennen oikean hyökkäyksen tapahtumista.
Penetraatio- eli tunkeutumistestaus kohdistetaan yrityksen ulkoisiin tai sisäisiin järjestelmiin. Testaus antaa käsityksen suojausten kokonaistasosta kattaen verkkopuolustuksen lisäksi laitteet ja järjestelmät. Penetraatiotestauksella saadaan selville, mitä hyökkääjä esimerkiksi voi tehdä päästessään sisäverkkoon.
Attack Path Mapping -menetelmä auttaa löytämään muut hyökkääjän hyödynnettävissä olevat reitit, joita tunkeutumistestauksessa ei voitu testata. Kohteena on organisaation määrittämä kohde, esimerkiksi OT/ICS-verkot tai tietojärjestelmäverkot. Menetelmässä luodaan tilanteita, joissa käytettävissä oleva turvateknologia, arkkitehtuuri tai järjestelmää käyttävä ihminen pettää. Lopputuloksena kuvataan ja visualisoidaan korkean riskin realistiset hyökkäyspolut.
Simuloitu tietoturvahyökkäys laittaa yrityksen toimintakyvyn poikkeustilanteessa todelliseen testiin. Saako hyökkääjä murrettua organisaation kruununjalokivien turvaksi rakennetut suojaukset vai havaitaanko eteneminen ennen virtuaalisen kassaholvin ovea?
Red & Purple teaming -menetelmällä haastetaan organisaation tietoturva tekeytymällä hyökkääjäksi, joka koettaa päästä sisään organisaation järjestelmiin ja kiinni organisaation tarkimmin suojattuihin tietoihin.
Metodologiamme kattaa viisi lähestymistapaa:
- uhka-arvio/OSINT-vaihe
- tietojen kalastelu ja sosiaalinen hakkerointi
- hyökkäys tehdään olemassa olevien suojausten läpi tai vaihtoehtoisesti assumed breach -menetelmällä, jossa hyökkääjällä on jo jalansija kohteessa
- ulkoiset hyökkäykset
- fyysinen turvallisuus.
Hyödynnämme eri viitekehyksiä (esim. MITRE) ja oikeiden hyökkääjien käyttämiä menetelmiä (TTPs - techniques, tactics and procedures).
Teollisten ohjausjärjestelmien tietoturvan testaamisella kartoitetaan havaittujen riskien vaikutukset prosesseihin.
Autamme suojaaman teollisia ohjausjärjestelmiä tietoturvahyökkääjiltä. ICS-lähestymistapamme koostuu yhdeksästä itsenäisestä osa-alueesta:
- Verkoston arkkitehtuurin arviointi
- Palomuurin ja verkkoliikenteen arviointi
- ICS-järjestelmän arviointi
- Tietoturvan GAP-analyysin kartoitus
Vaihtoehtoiset osa-alueet:
- Langattomien ratkaisujen arviointi
- Organisaation verkon arvioini
- Fyysinen turvallisuus
- Kolmannen osapuolen arviointi
- OT-ympäristön tekninen tietoturva ja havainnointikyky
NIST 800-82R2 ja IEC 62443 (ISA-99) -standardeja noudattaen löydökset perustetaan todisteisiin. Hyödynnämme riskiperustaista raportointirakennetta, jolloin ymmärrät havaittujen riskien vaikutukset liiketoiminnalle.
Riittävän ja vaatimustenmukaisen tietoturvatason suunnittelulla parannetaan tuotteiden ja palvelujen kilpailukykyä.
Autamme määrittämään palvelulle tai tuotteelle riittävän turvatason jo suunnitteluvaiheessa huomioiden olemassa olevat kriteeristöt tai tarpeet. Pitkä kokemuksemme virallisista auditoinneista auttaa saavuttamaan halutun turvatason ja ymmärtämään tarvittavat vaatimukset nopeasti. Konsulttimme auttavat muun muassa seuraavissa aihealueissa: pilviturvallisuus, Katakri, uhkahavainnointi, IR-valmius ja Zero-trust-lähestymistavat.
Verkkoon kytkettävien tuotteiden ja laitteiden tietoturvalla parannetaan koko digitaalisen toimintaympäristömme tietoturvaa. Mikäli kehityvaiheessa ei ole huomioitu riittävää tietoturvaa, ovat älylaitteet alttiita esimerkiksi erilaisille haittaohjelmille tai tietojen manipuloinnille.
IoT:n ja laiteturvallisuuden palvelumme auttavat arvioimaan ja suojaamaan internetiin kytkettyjen laitteiden turvallisuutta. Arviossa tutkitaan niin laitteen hyödyntämiä teknologioita, fyysistä suojausta kuin ohjelmistojakin. Laitteiden ja niiden yhteyksien tietoturvaongelmien vaikutukset energian kulutukseen tai yksityisyyteen voivat olla merkittäviä ja rikkoa jatkossa esimerkiksi EU:n ”Cyber Resilience Act” -vaatimuksia, joka luo uudet tietoturvavaatimukset myytäville älylaitteille. KPMG:llä on oikeus myös toteuttaa kansallisia Tietoturvamerkki-arviointeja.
Tietoturva-asioilla on yhä suurempi merkitys yritysten liiketoiminnalle sekä julkisuuskuvalle. Tietoturvakysymykset ovat siten merkittävässä roolissa myös yritysjärjestelyissä, kauppahinnan määräytymisessä tai kohteen arvon kehityksessä. Onko esimerkiksi havaittavissa kiristyksen mahdollistavien tietovuotojen riskejä tai kohteen tietopääoman arvoa vaarantavia signaaleja?
Tietoturvan uhka-analyysissa arvioimme yrityksen, toimitusketjun tai yrityskauppakohteen turvallisuutta mahdollisten uhkien tai jo realisoituneiden uhkien näkökulmasta. Arviossa selvitetään OSINT-menetelmiä käyttäen kohteen nykyinen digitaalinen jalanjälki, vuotaneet tiedot, haavoittuvuustiedot ja haittaohjelmatartunnat viimeisen puolen vuoden ajalta.
Pilvipalvelut ovat osa modernia IT-ympäristöä. On tärkeää varmistua, että pilvessä olevat tiedot ovat turvassa ja käytettävissä myös mahdollisissa ongelmatilanteissa.
Olemme luomassa kontrolleja ja konfiguraatioita asiakkaillemme ja suunnittelemassa pilvipalveluympäristöjä. Autamme pilvipalvelun käyttäjiä varmistumaan pilvipalveluissa säilytettävien tietojen suojauksesta. Autamme myös palveluntarjoajia osoittamaan erilaisilla varmennelausunnoilla pilvipalvelujensa turvallisuuden. Luomme turvallisia pilvipalveluja kaikkien johtavien pilvipalvelujen tarjoajien, kuten Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure ja 365 -alustoilla.
Tehokas reagointi tietoturvapoikkeamiin auttaa palauttamaan organisaation toimintakyvyn mahdollisimman nopeasti. Tietoturvapoikkeamien huolellisessa tutkinnassa todistusaineistoa kerätessä huolehditaan, että aineistoa voidaan hyödyntää myös mahdollisissa oikeudellisissa jatkotoimenpiteissä.
Digital Forensics and Incident Response (DFIR) -palvelumme kattavat poikkeamanhallinnan tutkinnan (IR, digitaalinen forensiikka) sekä petos- ja väärinkäytösepäilysten tutkinnan.
Autamme identifioimaan ja tutkimaan hyökkääjiä sekä vastaamme kyberhyökkäyksiin. Tarvittaessa suoritamme digitaalisen todistusaineiston talteenoton ja tutkinnan.
Laajasta kansainvälisestä verkostostamme löytyy paikallinen kontakti kohdemaahan, joten mahdolliset matkustus- tai kielirajoituksetkaan eivät pysäytä asiantuntijoitamme.
Älykkäiden teknologioiden hyödyntämisellä voidaan lisätä kiinteistöjen energiatehokkuutta, saavuttaa kustannussäästöjä ja parantaa niiden turvallisuutta. Kiinteistöjen älyratkaisut ovat yhdistelmä erilaisia teknologioita, laitteita, integraatioita ja tietosisältöjä sekä näiden tietojen käyttöä.
Laaja kokemuksemme kaikista älykiinteistöjen osa-alueista auttaa varmistamaan niin turvallisuuden, yksityisyyden toteutumisen kuin kestävän kehityksen näkökulman. Standardeista mm. NIS2 tuo vaatimuksia älykiinteistöratkaisuihin. Asuinrakennusten ohella älykiinteistöjen turvallisuuskysymykset ovat keskeisiä kauppakeskuksissa, toimistorakennuksissa, tehtaissa ja sairaaloissa.
Asiantuntijamme apunasi
Mikko Vatanen
Technical Cyber
KPMG Suomi
Ota yhteyttä
- Etsi toimipisteet kpmg.findOfficeLocations
- kpmg.emailUs
- Social Media @ KPMG kpmg.socialMedia