maanantai 18. marraskuuta 2013

Yritysturvallisuuden hallinta, PK-yritysten tarpeet ja käsitykset



Seinäjoen ammattikorkeakoulusta tradenomiksi valmistuva Essi Koivula selvitti opinnäytetyössään PK-yritysten yritysturvallisuuden hallintaan liittyviä tarpeita ja käsityksiä. Tavoitteena oli kartoittaa PK-yritysten asiakkuuspotentiaalia turvallisuusalan näkökulmasta, jotta heidän yritysturvallisuuteen liittyviin hallintatarpeisiinsa pystyttäisiin tulevaisuudessa entistä paremmin vastaamaan.

Tutkimusmenetelmänä käytettiin teemahaastattelua. Tutkimuksessa haastateltiin PK-yrityksien edustajia Etelä-Pohjanmaalla. Tuloksena on PK-yritysten koottujen yritysturvallisuuden hallintatarpeiden- ja käsitysten profiili. Opinnäytetyö on osa Opsec Oy:n turvallisuuspalveluiden kehitystyötä.

Tulokset osoittavat selkeästi, että suuriksi luokiteltavien yritysten ja PK-yritysten yritysturvallisuuden hallintaan liittyvät tarpeet eroavat toisistaan huomattavasti. PK-yritykset kaipaavat asiakaslähtöisiä ja kokonaisvaltaisia turvallisuuspalvelumalleja. Useiden eri turva-alan yritysten tarjoamista turvallisuuspalveluista muodostuvan kokonaisuuden hallinnan tulisi olla helpompaa PK-yrityksille. Turvallisuusalan ja PK-yritysten yhteistyön parantamista toivottiin myös.

Tarvitaan koottua, luotettavaa ja helposti saatavilla olevaa tietoa yritysturvallisuudesta. Ajan tasalla pysymistä, turvallisuusriskien ja tietoturvallisuusriskien suhteen, pidettiin tärkeänä. PK-yrityksissä nähtiin myös selkeää tarvetta ohjaavalle toiminnalle ja henkilöstön koulutuksille yritysturvallisuusasioissa. Älypuhelimien tietoturvallisuushaasteet koettiin ajankohtaiseksi ja niistä kaivattaisiin lisää tietoa. Turvallisuus- ja tietoturvallisuusanalyysit katsottiin kehittämiskohteiksi; niiden avulla PK-yrityksissä voidaan kohdistaa järkevästi yritysturvallisuuteen liittyvät panostukset.

Opinnäytetyön verkko-osoite: http://www.urn.fi/URN:NBN:fi:amk-2013111517149

Mikäli yritykselläsi tai sinulla on kysyttävää tutkimuksesta, pyydä yhteystietojani Opsec Oy:ltä, sähköpostilla osoitteesta: info@opsec.fi

-Essi Koivula

sunnuntai 27. lokakuuta 2013

Onnistuminen turvallisuudessa - viranomaiset ja yrittäjät

Tämän viikonlopun kertausharjoituksissa pelastusalan ammattilaiset opettivat tietoturvasta jotain todella tärkeää. Koko opetus kiteytyy lauseeseen "Vaikka Helsingissä koko Itäkeskus palaisi, on palokunta onnistunut" 

Palokunnan tavoitteena on sammuttaa palo siinä palo-osastossa, jossa se on alkanut. Jos palo-osasto on 60 000 neliömetriä, mutta palo ei leviä, on kyseessä onnistuminen. Ensisijaisesti vastuu palontorjunnassa ja pelastautumisessa on kuitenkin palo-osaston - kuten asunnon tai toimitilan - omistajalla. Jos yritys menettää kilpailijalle asiakasrekisterinsä tai tuoterakennetietonsa tai vaikkapa pahimmassa tapauksessa avainhenkilönsä, on kyse tietenkin yrityksen laiminlyönnistä asioiden hoidon suhteen. Jos Suomi yhden tai kahden yrityksen laiminlyöntien vuoksi valtiona menettää kilpailuetua kansainvälisillä markkinoilla tärkeiden patenttien suojaamisessa tai osaamisen suojaamisessa, ei se ole ole vielä ongelma. Kunhan toimiala säilyy.

Monesti kaikesta yksilönvapauden korostamisesta huolimatta ei yritysmaailmassa olla kiinnostuneita riittävästi yksittäisten yritysten vastuista. Vaikka omien vastuiden huolellinen hoitaminen on paras tae vapaudelle ja menestymiselle. Yritysmaailmassa liian usein odotetaan, että kyllä se viranomainen meitä tiedottaa kyberuhista ja kyllä se viestintävirasto sitten soittaa, jos meillä on tosi paha ongelma. Todellisuudessa he eivät voi keskittyä kaikkeen, kunhan toimiala säilyy ja avainresurssit ovat olemassa. Siksi omaa menestymistään miettiessä ei kannata luottaa liikaa viranomaisiin tai kuten monissa tapauksissa - puhtaaseen onneen.

Ikävän moni vielä luottaa. Mutta näinhän ne parhaat erottuvat.




torstai 10. lokakuuta 2013

Poliisin resurssit vai asiakkaan ongelma?

MTV3 uutisoi 9.10 verkkosivuillaan ja 45 minuuttia -ohjelmassa, miten poliisi ohjaa asiakkaita yksityisetsiville resurssien puutteen vuoksi. Sama ilmiö näkyy meillä tietoturvapuolella, mutta onko syynä vaan poliisin resurssit?

Kuuluuko sitten poliisin perustehtäviin ratkoa uskottomuutta, johon 45 minuuttia -ohjelman juttu keskittyi? Tai onko se poliisin asia, jos vakuutusyhtiö haluaa varmistaa, että työkyvytön on ihan oikeasti työkyvytön? Onko poliisin tehtävä varmistaa, että kaikki on kunnossa myös silloin, kun ei ole mitään syytä epäillä rikosta tapahtuneen?

Sama ongelma on usein tietotekniikkapuolella. Poliisille viedään tietomurtoepäilyjä, yrityksen tietoaineistojen vuotoepäilyjä, kilpailukieltojen rikkomisepäilyjä ja vastaavia ilman, että on mitään näyttöä siitä, että mitään olisi edes tapahtunut. Parhaimmillaan tietomurtoepäily perustuu vain siihen, että rahaa ei ole tilillä niin paljon kuin ennen, vaikka kirjanpitokin osoittaa kannattavuuden laskua. Ja jos kynnys ylittyykin tutkinnan käynnistämiseen, on organisaation tietotekniikkaratkaisut toteutettu niin, että näyttöäaineistoa ei enää saada, kun vihdoin poliisille asti päästään.

Täytyykö poliisilla olla resursseja tällaiseen työhön? Ellei ole pitänyt huolta omasta parisuhteestaan, onko se poliisin tehtävä ratkoa sen ongelmia? Ellei ole pitänyt huolta omasta tietotekniikkaympäristöstään, onko se poliisin tehtävä korjata jäljet, kun jotain sattuu? Poliisihan täyttää tässä vaan omaa velvoitettaan kansalaisten neuvomisessa ja ohjaamisessa, kun ohjaa heidät sellaisten palveluiden äärelle, joita he tarvitsevat.



keskiviikko 9. lokakuuta 2013

Sosiaalisen hakkeroinnin asiantuntija Kevin Mitnick

Digitoday uutisoi 8.10.2013 Reaktor Dev day 2013 – tapahtumasta, jossa maailman yksi tunnetuimmista hakkereista Kevin Mitnick kertoi kuulijoilleen suurimmista tietoturvauhista. Erityisesti sosiaalisesta ihmisten manipuloinnista. Tässä koonti artikkelin avainkohdista.

  • Kevin Mitnick sanoo, että paras tapa tunkeutua järjestelmään on sosiaalisin keinoin. Hän itse tunkeutui Nokian järjestelmiin 1990-luvulla, keinonaan ihmisten manipulointi. Hän tekeytyi yhtiön työntekijäksi ja sai Nokian Britannian-toimistolta kysymällä käyttäjätunnukset yhtiön Salon-palvelimille. Salon-palvelimilla säilytettiin tuolloin puhelimien lähdekoodeja.
  • Kohdeyrityksen käyttämien työasemien tai tietoturvaohjelmistojen valmistajan ja mallin saa selville soittelemalla valmistajille ja tekeytymällä murron kohteena olevan firman asiakkaaksi. Vastauksen saadakseen ei montaa puhelinsoittoa tarvita. ”Myyjät haluavat myydä lisää, ja siksi he vastaavat kysymyksiin auliisti.”
  • Kun hakkeri on saanut selvitettyä työasemien valmistajan, hän voi sen nimissä lähettää esimerkiksi erän näppäimistönauhureilla varustettuja näppäimistöjä.
  • Social engineering –hyökkäys perustuu hyvään organisaation tuntemukseen. Yhtiön omilta kotisivuilta saa yleensä tiedon avainhenkilöistä ja heidän yhteystiedoistaan. Erityisesti verkkoyhteisöpalvelu Linkedin avulla löytyy yrityksen järjestelmäylläpitäjät ja verkonvalvojat, jotka ovat murtautumisen kannalta tärkeää tietoa.
  • Helppoja kohteita ovat myös yritykselle työskentelevät freelancerit. Jotka käyttävät konettaan samassa yritysverkossa kohteen kanssa. Jos freelancerin koneeseen saa tartutettua haittaohjelman, on se yleensä hyvin nopeasti myös leviämässä yrityksen verkossa.

Mitä ihmiset ja yritykset ovat oppineet?


Kevin Mitnick toteaa, että useimmissa yhtiöissä helpdeskin työntekijäksi tekeytyminen ja tietojen kyseleminen ei käyttäjältä puhelimitse enää onnistu.

Stuxnet –hyökkäyksissä hakkeri saastuttaa USB-muistitikun haittaohjelmalla ja vie sen esimerkiksi jonkun työntekijän työasemalle tai yrityksen etuovelle. Haittaohjelma lähtee leviämään samalla hetkellä kun utelias työntekijä liittää sen työasemaansa. Mitnickin mukaan Stuxnet-hyökkäykset ovat nykyään hyödyttömiä, koska useimmat työntekijät eivät liitä työasemaansa satunnaisia muistitikkuja.

Opsecin tekemät testit kuitenkin osoittavat, että molemmat näistä tavoista toimivat edelleen Suomessa.


Jukka Uusi-Pohjola  
Harjoittelija
OpSec Oy

maanantai 16. syyskuuta 2013

Turhaa salailua viranomaisilta?

Viestintävirasto julkisti 13.9 varoituksen tietomurtojen sarjasta, jossa suomalaisten käyttäjätunnuksia ja salasanoja on joutunut sivullisten tietoon. Ensimmäinen kysymys oli ainakin itsellä, että mitkä palvelut ja sivustot olivat kohteena? Tunnuksia ja salasanoja kun on useille kymmenille sivustoille, eikä käytännössä ole mahdollista vaihtaa kaikkia aina, kun jossain uutisoidaan mahdollisesta tietomurrosta. Viestintäviraston tiedossa on kuitenkin ainakin osa kohteista ja heitä asiasta on viestitty. Mutta ei käyttäjiä. Kuitenkin viestintäviraston sivuilla lukee:

"Viestintävirasto on rohkea viestintämarkkinoiden ja -palvelujen valvoja ja edistäjä kansalaisten ja elinkeinoelämän hyväksi. Viestintävirasto huolehtii siitä, että Suomessa on monipuoliset, toimivat ja turvalliset viestintäyhteydet." (Lähde: Viestintäviraston esittely)

Kansalaiset mainitaan ennen elinkeinoelämää, mutta siitä huolimatta kansalaiset saavat tiedon vasta, kun palveluntarjoaja itse ehtii laatia tiedotteen. Tällainen tiedon panttaaminen tuntuu ainakin itsestä siltä, että se vaan heikentää luottamusta palveluntarjoajiin ja sähköisiin palveluihin yleisesti. Lisäksi se lisää ihan turhaa ja tarpeetonta mystiikkaa jälleen turvallisuusasioiden ympärillä. Asioissa, joissa vuorovaikutus, avoimuus ja kehittyminen on tärkeää. 

Entä jos viestintävirasto julkaisee heti tiedon saatuaan julkiset listat niistä palveluntarjoajista, jotka ovat joutuneet tietomurron kohteeksi? Vaikutukset:
  • Käyttäjät - siis kansalaiset - tietävät heti, vaikuttaako tapahtuma minuun
  • Ilmoitus pakottaa palveluntarjoajat toimiin mahdollisimman nopeasti
  • Kansalaisilla on mahdollisuus valita luotettavimpia palveluntarjoajia
  • Palveluntarjoajien on pakko alkaa panostamaan palveluiden laatuun
Tätä kautta palveluntarjoajien, yhteisöjen ja ylläpitäjien on asiakastyytyväisyyden vuoksi panostettava enemmän ongelmien ennaltaehkäisyyn. Seurauksena laadukkaammat palvelut, avoimempi viestintäkulttuuri ja vähemmän ongelmia. Luottamus sähköisiin palveluihin kasvaisi todellisen turvallisuuden tason nousun kautta, eikä vain tietämättömyyden tai väärien mielikuvien vuoksi. Ja ehkä se tulevaisuudessa keventäisi viranomaisenkin taakkaa jatkossa palveluiden laadun parantumisen kautta. Saattaisipa jopa säästää muutamia veroeuroja.

keskiviikko 1. toukokuuta 2013

II Yritysturvallisuusseminaari - Yritysten rikostorjunta


Opsec on jälleen mukana Vaasan ammattiopiston järjestämässä, nyt toisessa yritysturvallisuusseminaarissa. Viimeksi teemana oli tietoturvallisuus. Tällä kertaa keskitymme yritysten rikostorjuntaan. Seminaarissa kuullaan mm. mielenkiintoinen puheenvuoro järjestäytyneestä rikollisuudesta Keskusrikospoliisin näkökulmasta. 

Tervetuloa mukaan! Kutsu ja ohjelma alla:


Aika                   Perjantai 17.5.2013 klo 12.00–15.00
Paikka                Vaasan ammattiopisto, Palvelut, Ruutikellarintie 2, Iso auditorio, 65 100 Vaasa

Vaasan ammattiopisto järjestää seminaarin turvallisuusalan opiskelijoille sekä organisaation päättäjille, omistajille ja esimiehille, jotka joutuvat tekemään turvallisuuteen liittyvää koordinointia ja johtamista omassa työssään tai sen ohella.

Yritysrikollisuus -sana tuo mieleen raflaavat rikosleffat, rahanpesun, jengit ja hakkerit. Todellisuudessa Suomessa yritykset ja rikollisuus liittyvät toisiinsa myös ihan jokapäiväisessä työntekijöiden ja työnantajien sopimusten, olettamusten, vastuiden ja velvoitteiden viidakossa. Fiksummat sopivat asioista etukäteen, muut maksavat seurauksista joko menetettynä tulona tai oikeudenkäyntikuluina.
  
Kaikkeen ei toki voi - eikä aina kannatakaan - varautua, mutta pahimmat riskit on syytä sulkea pois. Varautuminen yrityksen sisällä auttaa myös niihin ulkoa kohdistuviin riskeihin, kuten varkauksiin ja tietomurtoihin. Asioiden kuntoon laittaminen parantaa myös luottamusta työpaikalla ja vaikuttaa positiivisesti työssä viihtyvyyteen. Monimutkaisestakin lainsäädännöstä huolimatta, käytännöt voivat olla helppoja.
 

Ohjelma:

12:00 – 12:05   Tilaisuuden avaus, koulutuspäällikkö Timo Häggblom

12:05 – 12:45   Tietoriskit ja tietorikostorjunta, toimitusjohtaja Jari Latvala, Opsec Oy

12:45 – 13:00   Kahvit 

13:00 – 14:00   Järjestäytynyt rikollisuus, rikostarkastaja Ari Karvonen/KRP Helsinki.

14:00 – 14:45   Turvallisuusjohtaminen ja riskienhallinta – kokonaisuuden hallinta, toimitusjohtaja Kjell Forsén, Verifi Oy

14:45 – 15:00   Vapaa keskustelu, tilaisuuden päättäminen

Tervetuloa seminaariin,

Johan Lindman
yksikönjohtaja


Ilmoittautumiset sähköpostitse 14.5.2013 mennessä osoitteeseen: timo.haggblom@vaasa.fi