Modernissa tietoturvassa ei tuudittauduta lintukotoajatuksiin

Tietoturva-asiat ovat etenkin viime aikojen uutisoinnin myötä nousseet entistäkin kirkkaampaan valokeilaan. Monetrassa tietoturvasta huolehtiminen on varsin keskeistä ja se ohjaa toimintaamme monin tavoin. Nykyisin suurin osa datasta käsitellään sähköisesti, joten esimerkiksi papereita ei tarvitse säilytellä, tiedostoihin pääsee käsiksi vain kirjautuneena ja henkilöllisyytensä vahvistaneena. Myös asiakkaiden henkilöllisyys varmistetaan usein eri tavoin. Erilaisten käytänteiden lisäksi merkittävän elementin tietoturvaan muodostavat järjestelmiin rakennetut suojaukset.

Kesällä -20 ryhdyttiin rakentamaan Monetra-konsernin tietoturvapolitiikkaa ja kattavaa kokonaiskuvaa tietoturvatilanteesta. ”Valmistumassa on tietoturvan pelikirja, Security Playbook, jossa kuvataan Monetran hallinnolliset ja tekniset tietoturvaperiaatteet. Käymme läpi vastuut ja kaikki eri osa-alueet, joita ovat muun muassa it-infran palveluntarjoajat ja kriittisimmät järjestelmät. Yhdellä dokumentilla pystytään kertomaan tietoturvan toteuttamisperiaatteet Monetrassa”, esittelee Monetra-konsernin tietoturvapäällikkö Kimmo Siponen.

Konsernin henkilöstöä tiedotetaan Monetissa ja sähköpostitse aina, kun kalastelu- ja huijausyrityksiä on poikkeuksellisen paljon liikkeellä. Lisäksi pääkumppanin, Istekki Oy:n kanssa pidetään säännöllisiä tilannepalavereja. ”Käytössämme on myös jatkuva tilannekuvapalvelu SOC ja SIEM-järjestelmä, joiden kautta seuraamme reaaliaikaisesti, että asiat ovat kuten pitääkin. Näin pystymme puuttumaan mahdollisiin poikkeuksiin välittömästi”, Kimmo mainitsee.

Moderni organisaatio rakentaa digitaaliset ympäristönsä tunnistautumiseen perustuen

Vakavien tietoturvaloukkaus- ja tietovuotouutisten takia monia mietityttää, miten moista on voinut tapahtua ja mitä tällaisista tapahtumista voidaan ottaa opiksi muissa organisaatioissa. ”Esimerkiksi Vastaamon tapauksessa oli ilmeisesti turvauduttu toiveeseen, että mitään ei tapahtuisi, mikä on tietoturvalle huono lähtökohta”, Kimmo pohtii. ”Moderni tietoturva sen sijaan lähtee ajatuksesta, että jotain saattaa jossain vaiheessa tapahtua, tavalla tai toisella. Ja se jokin tulee pyrkiä estämään ja rajaamaan mahdolliset seuraukset”, hän jatkaa.

Kestävä ja toimiva tietoturva pohjautuu Kimmon mukaan muutamiin tietoturva-alalla yhteisesti tiedostettuihin lähtökohtiin. Zero trust -ajatus tarkoittaa, että mihinkään ei luoteta yksioikoisesti ja käyttäjän tulee tunnistautua jokaisessa ympäristössä erikseen. Tunnistautumisessa siirrytään lähitulevaisuudessa biometrisiin tekniikoihin, joissa kasvontunnistukset ja sormenjäljet korvaavat kokonaan muistinvaraiset käyttäjätunnus-salasana-parit. ”Roolipohjaiset käyttöoikeudet määritellään räätälöidysti niin, että käyttäjä pääsee käsiksi vain tarvittaviin ympäristöihin ja aineistoihin”, Kimmo Siponen kertoo.

Ei toivota ja luoteta, vaan ennakoidaan

Toisena tärkeänä ajatuksena Kimmon mukaan on niin sanottu Assume compromise, jossa ollaan tietoisia siitä, että kaikkea ei pystytä torjumaan. Tämä ei tarkoita suinkaan, että käsiä nostettaisiin pystyyn, vaan pikemminkin alun alkaen ymmärretään tietoturvauhkien kompleksinen laatu. ”Mikään tietoturva ei ole koskaan aukotonta ja täydellistä. Tämän vuoksi tulee olettaa, että ennemmin tai myöhemmin jokin haavoittuvuus ilmenee”, hän painottaa.

Liialliseen varmuuteen turvautumisen sijaan turvallisuus perustuu siihen, että minimoidaan seuraukset silloin, jos pahin tapahtuu. ”Kun tiedostamme tietoturvan perusolemuksen, pystymme myös tarkkailemaan sen laadukasta toteutumista ja puuttumaan mahdollisiin ongelmiin mahdollisimman nopeasti.”