2019-04-18

Tietohurmaa, tietoturmaa vai tietoturvaa?

Kumpi on pahempaa: se ettei tiedä vai se, että tietää ettei tiedä? Näin foliohattunörttinä ajattelen, että ensimmäinen on inhimillistä ja toinen välinpitämättömyyttä. Tietoturva-asioissa silmien ummistaminen totuudelta on joka tapauksessa aina huono vaihtoehto.

Sami Sumkin Manager, Security Consulting

Viimeisen kuuden kuukauden aikana olemme tehneet kymmeniä haavoittuvuus-, tietoturva- ja sovellusskannauksia sekä liikenteen monitorointiprojekteja ja putkessa on kymmeniä lisää. Miksi? Siitä yksinkertaisesta syystä, että asiakkaat ovat aikaisempaa tietoturvatietoisia. Ja hyvä näin! Keskimäärin yksi kymmenestä asiakkaasta on sanonut kaiken olevan kunnossa ennen skannauksia. Näistä kukaan ei ole ollut oikeassa. Enkä usko, että moista asiakasta heti vastaan tulee.

Mielenkiintoista projekteissa on ollut se, että asiakkaat pelkäävät tuloksia. Ehkä asiakkaan tietoturvavastaava on luvannut päänsä vadilla, jos jotain löytyy. Ehkä asiakkaalla ei ole ollut resursseja huolehtia tietoturvasta ja siksi tietää, että raportti tuottaa tekemistä, johon ei edelleenkään ole resursseja, intressejä ja/tai aikaa. Ehkä jotain siltä väliltä.

Usein asiakkaat ovat huolestuneita siitä, että korjaus- tai kehitystoimenpiteet ovat suuria ja maksavat paljon. Useimmiten näin ei kuitenkaan ole. Yksittäisen haavoittuvuuden tuottaman riskin lieventäminen tai pienentäminen ei vaadi suuria ponnistuksia. Välillä voi riittää yksittäisen palvelun sulkeminen tai päivittäminen, mutta joka tapauksessa on syytä huomioida myös syy, miksi ja miten ongelma on syntynyt. On kuitenkin myös tilanteita, missä yksittäisen ongelman korjaamisen sijasta on syytä lähteä miettimään, olisiko laastarin laittamisen sijaan kipsattava koko raaja.

Vanhentunut verkkoarkkitehtuuri ei välttämättä taivu enää modernin hallinnan ja valvonnan malleihin ja altistuu siksi ongelmille uudelleen, uudelleen ja uudelleen. Ongelma ei välttämättä ole teknologiassa tai tuotteessa vaan prosessissa, jonka teknologia mahdollistaa. Päätyypä asiakas sitten kipsaamiseen tai laastarointiin, on hatunnoston arvoista jo se, että asiakas todellakin päättää tehdä jotain. Matkalla 2020-luvulle ajoissa reagoiminen on olennaisen tärkeää.

Meiltä ja meidän kumppaniverkostomme lääkelaukusta löytyy monenlaista troppia niin pieneen kuin isoonkin vaivaan. Joten jos tuntuu, ettet tiedä mitä organisaatiosi ympäristössä on ja mitä siellä liikkuu, pään hautaaminen hiekkaan on vaihtoehdoista huonoin. Eli jos et halua hiekkaa korviin, ole reippaasti meihin yhteydessä.

Seuraavassa blogikirjoituksessani avaan meidän lääkelaukkuamme hieman konkreettisemmin ja kerron muutaman case studyn kautta mitä, miksi ja miten näitä haasteita kannattaa lähteä taklaamaan.

Siihen saakka, stay safe out there!