22/08/2018
Vajaa kolme kuukautta sitten velvoittavaksi astuneen EU:n yleisen tietosuoja-asetuksen jälkeen, teknisten toimenpiteiden toteuttaminen asetuksen vaatimalle tasolle on ollut kovan tohinan alla.
Monet organisaatiot ovat panostaneet tekniseen tietoturvan toteuttamiseen, mutta usein tärkeä osa-alue jää huomiotta.
Tietosuojan ja tietoturvallisuuden toteutuminen organisaatiossa on kiinni monesta tekijästä ja yhtenä suurena kokonaisuutena siihen liittyy myös organisatoriset toimenpiteet, jotka kattavat muun muassa henkilöstön kouluttamisen ja heille suunnatut ohjeistukset. Tietosuoja-asetus edellyttää myös henkilöstön tietoisuuden osoittamista ja siksi onkin erityisen tärkeää huolehtia, että jokainen tietää, mitkä ovat organisaatioin toimintatavat henkilötietoja käsiteltäessä ja mitä kaikkea muuta päivittäisessä toiminnassa tulee jatkuvasti huomioida.
Otsikoihin on kuluneenkin vuoden aikana päätynyt tietovuototapahtumia, joissa tietovuoto on tapahtunut huolimattomuuden tai inhimillisen virheen kautta. Kyberturvallisuus kehittyy jatkuvasti, mutta mikä on tämän merkitys, jos henkilöstön kouluttaminen ja ohjeistukset toiminnalle eivät ole teknistä turvallisuutta tukevalla tasolla? Lisäksi inhimillinen virhe ei esimeriksi riitä toteutuneen tietovuodon perusteluksi. Oli sitten kyseessä organisaatioon kohdistunut tietomurto tai henkilöstön aiheuttama tietovuoto, ovat sanktiot tietovuodon aiheuttaneesta syystä riippumatta aina mahdollisia.
Tietojen kalasteluviestejä on liikkeellä jatkuvasti ja näihin liittyviä linkkejä tai tiedostoja klikkaillaan usein ilman epäilystä niiden haitallisuudesta. Joissain tapauksissa mahdollista haitallisuutta voidaan epäilläkin, mutta klikkaamisen vaikutuksen suuruutta ei osata arvioida. Lisäksi sosiaalinen media sisältää paljon haitallisiakin linkkejä ja avoimet langattomat verkot aiheuttavat osaltaan riskejä, joten näihinkin tulisi ottaa kantaa organisaation ohjeistuksissa ja henkilöstön koulutuksissa. Yksi suurimmista ongelmista on myös tietojen hävittäminen. Henkilötietoja tai muuta salassa pidettävää tietoa päätyy paperilla normaaleihin roskasäiliöihin tai suttupaperiksi niille kuulumattomille paikoille, jolloin ollaan taas huolimattomuuskysymyksen äärellä.
Osalle näiden asioiden huomioiminen ja niiden suhteen toimiminen saattaa tuntua itsestään selvältä, mutta jos mietitään sitä, kuinka paljon pelkästään otsikoihin päätyy kirjoituksia henkilöstön aiheuttamista tietovuodoista – on ongelma lähes arkipäiväistä. Lisäksi näiden asioiden perusteellinen huomioiminen viestii, että organisaatiossa tietoturvallisuuteen suhtaudutaan vakavasti ja sisäisen toiminnan yhtenäiset prosessit, riskienhallinta ja ohjeistukset on laadittu sen mukaan, ettei tietoa päädy vääriin käsiin edes vahingossa. Ei organisatorinenkaan puoli takaa sitä, että mitään ei koskaan sattuisi, mutta näillä päästään huomattavasti asiassa eteenpäin ja tietosuoja-asetuksen kannalta on merkittävää, että riskien toteutumista pyritään välttämään jokapäiväisessä toiminnassa.
Vaikka voidaan ajatella, että ihminen on usein tietosuojan heikoin lenkki, voi ihminen vastaavasti olla myös tietosuojan suhteen erityinen voimavara. Kun henkilöstö toimii yhtenäisesti ja perusasiat ovat kunnossa, voidaan prosesseja kehittää ja havaita puutteita niin järjestelmissä kuin toiminnassakin. Tämä kuitenkin vaatii hyvää pohjatietämystä tietoturvasta ja tietosuojasta sekä näiden merkityksestä jokapäiväisessä toiminnassa.
Pelkkä asioiden paperilla oleminen ei kuitenkaan riitä vaan tulee myös huolehtia, että toimintatavat on jalkautettu organisaatioon ja henkilöstö on tietoinen olemassa olevista ohjeistuksista.
Kukaan ei varmasti toivo, että oma organisaatio päätyy otsikoihin ja pahimmillaan menettää uskottavuuttaan sen vuoksi, että joku ei tiennyt mikä on oikea tapa toimia?
NIS2-direktiivi astui voimaan 2023 syksyllä, ja sen täytäntöönpano Suomessa alkaa 2024 lokakuussa – eli pian. Osa yrityksistä on valmistautunut direktiivin säädöksiin jo nyt. Toiset ovat taas havahtuneet selvittämään, koskeeko NIS2 omaa liiketoimintaa, ja loput ovat...
Lue lisää
Vuosi 2024 on NetNordicilla alkanut vauhdikkaasti. Julkistus uusista yrityskaupoista vahvistaa ennestään pilviosaamistamme, mutta erityisesti tietoturvan saralla on tapahtunut jo paljon. Asiantuntijamme seuraavat jatkuvasti kyberturvallisuuden kentän kehitystä varmistaakseen, että asiakkaillamme on paras suojaus alati muuttuvia tietoturvauhkia...
Lue lisää
NetNordicin ja AddSecuren suhteella on tärkeä rooli AddSecuren digitaalisen omaisuuden turvaamisessa! AddSecure on eurooppalainen yritys, jolla on noin 50 000 turvallisten IoT-yhteyksien alalla toimivaa asiakasta, ja se käsittelee päivittäin noin 550 000 kriittisen tärkeää yhteyttä....
Lue lisää
Managers often delegate responsibility and risk ownership when they shouldn’t. It’s not uncommon for an employee to identify a risk, report it to management, and have it ignored. However, management should be the ones making...
Lue lisää
”NetNordic on ollut mahtava kumppani, olemme tehneet heidän kanssaan yhteistyötä ja teemme sitä jatkossakin”, sanoo Wihuri Groupin tietohallintojohtaja Juha-Matti Heino. Wihuri on globaali suomalainen teollisuus- ja kauppakonserni, joka toimii pakkausten, päivittäistavaroiden tukkukaupan, teknisen kaupan ja...
Lue lisää
Nomentia on eurooppalaisten kassanhallinta- ja kassanhallintaratkaisujen kategoriajohtaja, ja sen tavoitteena on tarjota ainutlaatuisia pilvipohjaisia kassanhallinta- ja kassanhallintaratkaisuja. Yritys asettaa suuren painoarvon tietojensa turvallisuudelle, pitäen sitä yhtenä keskeisimmistä velvollisuuksistaan. Tässä pyrkimyksessään vahvistaa kybervalmiuksiaan Nomentia valitsi kumppanikseen...
Lue lisää
Tiesitkö, että vuonna 2022 tietoturvaloukkauksen havaitseminen kesti keskimäärin 277 päivää ja tietoturvaloukkauksen rajoittaminen 70 päivää. Ponemon Instituten ja IBM Securityn vuonna 2022 julkaiseman raportin mukaan 277 päivän keskiarvo vuonna 2022 tarkoittaa, että jos tietoturvaloukkaus tapahtuisi...
Lue lisää
NetNordic osallistui ”Splunk Boss of the SOC” -haasteeseen ja voitti! Yli 350 osallistuneen tiimin joukosta NetNordic SOC osoitti huippuosaamisemme ja sai kunniakkaan ensimmäisen sijan.Boss of the SOC -kilpailu on sinisen joukkueen versio Capture the flag...
Lue lisää
Kesä lähenee ja sen mukana myös paljon odotetut lomat! Jokaisella meillä on enemmän tai vähemmän kiire päättää alkuvuoden kiireet, valmistella syys- ja talvikautta, sekä varmistella terassit ja mökkipihat kesäjuhlien ja rentojen lepopäivien viettoon. On silti...
Lue lisää
Red Team Testing, tai Red Teaming, on hyvin erilainen testaustapa normaalista penetraatiotestauksesta, jossa testataan verkkopalveluja. Red Teamingissa digitaalisen tietomurron lisäksi on myös fyysinen turvallisuuden testaus, joka tarkoittaa, että menemme paikan päälle yritystiloihin yrittäen murtautua rakennuksiin,...
Lue lisää
Penetraatiotestaus, englanniksi ’penetration testing’ tai ’pen test’, on auktorisoitu simuloitu verkkohyökkäys, jossa käytetään testaustekniikkaa järjestelmän kaikkien haavoittuvuuksien tunnistamiseksi ja sen turvallisuustason arvioimiseksi. Penetraatiotestaus on eräänlainen tietoturvatarkastus, jolla varmistetaan ohjelmiston suojaus joko ennen tuotantoon siirtymistä tai...
Lue lisää
Kyberrikollisuus jatkaa vauhdikasta kehittymistään ja monipuolistumistaan. Kyberhyökkäyksiä on myös entistä helpompi tehdä, koska rikolliset voivat ostaa helposti ja halvalla vahvaankin hyökkäykseen vaadittavat välineet ja kapasiteetin. Aiheesta on tehty useita tutkimuksia ja tilastoja, joista käytännössä kaikki...
Lue lisää