Käyttämällä sivustoamme hyväksyt evästeiden käyttämisen laitteessasi ja tallentamisen siihen. Lisätietoa saat evästeitä koskevasta tietosuojaselosteesta. Lue lisää

Takaisin

Jatkuvuudenhallinta ICT:n näkökulmasta – WannaCry yllätti monet yritykset housut nilkoissa

Jatkuvuuden varmistaminen ICT:n näkökulmasta on yksi keskeisimpiä osia liiketoiminnan jatkuvuudenhallinnan kokonaisuudessa.

”Tutkimusten mukaan ICT:n osalta suurimmiksi uhiksi koetaan kyberhyökkäykset ja ennakoimattomat käyttökatkot riippumatta siitä, johtuvatko ne tietojärjestelmien vai tietoliikenteen ongelmista. Näiden ohella merkittäväksi riskiksi ovat nousseet myös data breachit eli järjestelmiin murtautuminen ja yrityksille tärkeän tiedon vieminen”, kertoo Telian datakeskus-asiantuntija Eero Lindqvist.

”Jos tarkastellaan trendejä, niin viime aikoina on uutisoitu erityisesti haitta- ja kiristysohjelmista, jotka lukitsevat käyttäjien koneita kiristäen heitä maksamaan lunnaat. Osassa tapauksista on kyse suoranaisesta kiusanteosta ilman aikomustakaan poistaa lukitusta”, kertoo Lindqvist, jolla on työhistoriaa Telian konesalipalveluiden parissa lähes 20 vuoden ajalta.

Yllättävän moni organisaatio Euroopassa on kärsinyt viimeaikaisista kiristysohjelmista.

”Tänä päivänä perinteisiin tietoturva-uhkiin varautuminen on keskimäärin hyvällä mallilla. Organisaatioissa otetaan riittävästi varmuuskopioita, on varajärjestelmiä ja tietoliikenneyhteyksiä on varmistettu.”

Haasteeksi nouseekin Lindqvistin mukaan IT-infraa abstraktimpi puoli eli sovelluskerros ja ohjelmistot.

”Esimerkiksi WannaCry-kiristyshaittaohjelman tapauksessa vahinkoa ei olisi aiheutunut, jos suositellut tietoturvapäivitykset olisivat olleet asennettuina työasemille ja palvelimille.”

Pilvipalvelut eivät ole turvattomampia, mutta riskit kasvavat

Jatkuvuudenhallinnan kannalta suunta on selkeä: riskit tulevat kasvamaan organisaatioiden viedessä asioita yhä enemmän pilvipalveluihin. Julkisessa pilvessä tietoturvan puutteet ja ohjelmistojen aukot paljastuvat armottomasti. Pilvipalvelut eivät kuitenkaan ole turvattomampia kuin yritysten perinteiset suljetut ympäristöt, ne ovat vain “paremmin” esillä.

”Maailman verkottuminen tuo mukanaan tämän tyyppisiä riskejä. Valitettavasti ollaan tilanteessa, jossa vanhoja järjestelmiä käytetään ymmärtämättä niihin sisältyviä riskejä. Hyvänä esimerkkinä voi mainita Microsoft XP -työasemat, joita on edelleen käytössä miljoonia, vaikka käyttöjärjestelmän tuki loppui vuonna 2014. Vastaavasti palvelinpuolella saatetaan jättää käyttöön vanha protokolla, jota ei enää tarvita, mutta joka samalla mahdollistaa hyökkäyksen.”

Sovelluspalveluiden ja ohjelmistojen osalta riskeihin varautuminen on monimutkaisempaa kuin infrapuolella, jossa vaikkapa serverin rinnalle voidaan hankkia toinen, jos laite sattuisi rikkoutumaan.

”Ohjelmiston rinnalle ei voi tuoda niin helposti korvaavaa softaa. Siksi jatkuvuudenhallinta on ennen kaikkea johtamishaaste. Se pakottaa johdon pohtimaan, millä tasolla yrityksen tietoturva on ja onko tietoturvapolitiikka kunnossa. Jos politiikka sallii vanhojen ohjelmistojen ja järjestelmien käyttämisen, pitäisi myös tiedostaa riskit ja varautua suojautumalla riittävästi.”

Tyypillisesti päätöksiin vaikuttavat resurssihaasteet. Riittääkö IT-osaston budjetti oikeiden asioiden tekemiseen vai tingitäänkö niistä asioista, jotka eivät ole ihan pakollisia?

”Jos on olemassa selkeä politiikka esimerkiksi siitä, että työasemissa pitää olla tuettu käyttöjärjestelmä, se pakottaa myös resursoimaan ja budjetoimaan käytännön mukaisesti.”

”Voisi sanoa, että mitä enemmän toiminta pyörii tietojärjestelmien varassa, sitä enemmän vahinkoa koituu, kun järjestelmän käyttö vaarantuu tai katkeaa. Silloin kassavirtakin voi monesti loppua. Esimerkiksi verkkokaupoilla tappiot ovat aika selkeästi osoitettavissa.”

Usein katkokset eivät kuitenkaan näy suoraan liiketoiminnan mittareissa.

”Jos työntekijät eivät voi tehdä työtään puoleen päivään, mikä sen vaikutus on? Kun tietojärjestelmät eivät toimi, asiat jäävät hoitamatta eikä asiakkaita kyetä palvelemaan.”

Jatkuvuuden varmistamisen kannalta katkoksen aikajänne onkin kriittinen.

”Jos ongelma vaatii laitteiden vaihtamista tai ohjelmistopäivityksiä, se ei tapahdu nappia painamalla. Monesti käyttäjiltäkin unohtuu se, että vaikka kaikki on “pilvessä”, niin se pilvikin muodostuu fyysisistä komponenteista, jotka sijaitsevat datakeskuksissa. Jos näihin komponentteihin tulee vikaa, koko pilvi lakkaa toimimasta.”

Käyttökatkosten aiheuttamien ongelmien mittakaava onkin kasvanut pilvipalveluiden myötä. Aikaisemmin yrityksen serverien pimeneminen vaikutti yhteen yritykseen. Tänä päivänä sama pilvi voi palvella tuhansia yrityksiä ja käyttäjiä, jolloin myös vikojen vaikutukset ovat huomattavasti laajempia.

”Kaikki lähtee hyvästä johtamisesta”

Miten tietohallinnon tulisi varautua jatkuvuudenhallinnan kasvavaan haasteeseen?

”Kaikki lähtee hyvästä johtamisesta ja suunnittelusta. Karttuvan kokemuksen ja suunnitteluprosessin kautta syntyy vaatimuksia, joiden pitää toteutua, että liiketoiminnan jatkuvuus voidaan varmistaa. Palvelutaso voi laskea hetkellisesti, mutta se pidetään riittävänä, ettei liiketoiminta katkea hetkeksikään täysin.”

Kriisitilanteita pitää myös ylläpitää ja harjoitella, koska uhkat, ympäristö ja vaatimukset muuttuvat.

”Tarkastusprosessin pitää olla säännöllinen. Usein toimintamallit on laadittu, mutta niiden toteuttamista ei harjoitella. Jos viime vuonna tietty järjestelmä sai olla vuorokauden poissa toiminnasta, niin ensi vuonna se voi olla niin kriittinen, että vuorokauden paussi ei ole hyväksyttävä.”

GDPR pakottaa yritykset selvittämään nykytilan

”Ainoa tietämäni toimiala, jossa säännöllisesti koeponnistetaan ja harjoitellaan kriisitilanteita, on pankkimaailma. Vuosittain tietty porukka ei ajakaan konttorille töihin, vaan väistötiloihin, joissa toimintaa ylläpidettäisiin poikkeusoloissa. Siellä testataan, toimivatko järjestelyt käytännössä, jos jotain tapahtuisi. Kun itsensä altistaa haastavalle tilanteelle, löytää aina petrattavaa ja kehitettävää.”

Yhden merkittävän yllykkeen tietoturvan ja jatkuvuudenhallinnan nykytilan selvittämiseen luo EU:n uusi tietosuoja-asetus, GDPR.

”GDPR asettaa erityisiä vaatimuksia organisaatioille henkilötietojen käsittelyn, suojaamisen ja säilyttämisen osalta. Henkilötietojen huolimattomasta käsittelystä seuraavat sanktiot voivat olla todella mittavia.”

Lindqvist osuu naulan kantaan, sillä GDPR-rikkeen seuraamukset voivat viedä pienemmän yrityksen vaikka selvitystilaan. Sanktio retuperäisestä tietojenkäsittelystä voi olla jopa 20 miljoonaa euroa tai 4 % globaalista liikevaihdosta.

”Se on aikamoinen keppi, jota tietosuojaviranomaiset voivat heiluttaa”, hän summaa.

Artikkeli on alun perin julkaistu Itewiki-palvelussa 13.9.2017. Kirjoittaja Johannes Puro on Itewikin co-founder ja liiketoimintajohtaja.

Lue lisää: Missäs pilvessä sitä nyt ollaan? Luupissa Microsoft Azure Stack

Datalle on lottovoitto sijoittua Suomeen

Kriittisen datan määrä kasvaa merkittävästi. Miten teillä on varauduttu asiaan? Tietoturvalliset ja joustavat palvelut saat kotimaisista datakeskuksistamme.

Tutustu tarkemmin

Artikkelin aihealueet

Pilvipalvelut Datacenter Kyberturvallisuus
Lisää samasta aiheesta
Kun siivouskomero ei ole vaihtoehto – luotettavat ja joustavat konesalipalvelut ovat elinehto Poutapilven liiketoiminnalle
Soneran datakeskus helpottaa digitalisoitumista
Globaaleilla markkinoilla keskinkertainen ei riitä – RELEX vakuuttaa asiakkaansa maailmanluokan teknologialla
GDPR astui voimaan – ja ensimmäinen tietovuoto on jo täällä
IT-jargonin pikaopas päättäjälle - tunnista ainakin nämä pilvitermit
Investoitko oikeisiin asioihin, bisnespäättäjä? Oma konesali voi olla kallis ja tehoton sijoitus.
Mitä bisnespäättäjän pitäisi tietää pilvipalveluista juuri nyt?
Mitä Azure Stack tarjoaa kehittäjälle?
Edellinen artikkeli
Tulevaisuuden visioissa paikka uuden polven operaattorille
Kiertotalous, 5G ja pohjoinen ulottuvuus vilisivät visioissa, kun Industry Summitin kansainväliset ...
Seuraava artikkeli
Näin vakuutat enkelisijoittajan – neljä pointtia
Miten startup-yrittäjä voi vakuuttaa enkelisijoittajan? Konkarisijoittaja antaa neljä vinkkiä.