Ville Jussila
16.1.2024Tietoturvan näkyvyys kuntoon
HVK nosti raportissaan "Toimialojen kyberkypsyyden selvitys" esille näkyvyyden puutteen yhtenä merkittävimpänä suomalaisten yritysten tietoturvahaasteista. Tietoturvasta on tullut viime vuosina kuuma puheenaihe sekä tietojärjestelmien yleisen merkityksen jatkuvasti kasvaessa että julkisuutta saaneiden tietoturvapoikkeamien ja poliittisen tilanteen vuoksi. Onkin hyvä, että yhä laajemmin on ymmärretty aiheen oleellisuus muillekin kuin IT-taloille ja sen nivoutuminen organisaation koko toiminnan osaksi. Kokonaisvaltainen tietoturva vaatii selkeää näkyvyyttä organisaation käyttämiin järjestelmiin ja niiden liikenteeseen. Vaikka tähän on tarjolla runsaasti ratkaisuja, näkyvyys jää silti usein vakavasti vaillinaiseksi. Miksi?
Nykyään valtaosalla organisaatioita on tietoliikennettä ja tietojärjestelmien tilaa valvomassa useita erilaisia ratkaisuja, jotka tuottavat reagointia vaativia herätteitä. Usein näitä hallinnoidaan omissa, erillisissä portaaleissaan, jolloin hallinta ja kokonaiskuvan ylläpito on vaikeaa. Osasta järjestelmiä ei tule hälytyksiä ollenkaan. Esimerkiksi tärkeimmistä pilvipalveluista ei välttämättä saada lainkaan tietoturvaherätteitä. Tyypillinen ongelma on myös huonosti suodatettujen herätteiden tulva, jossa oleellinen sisältö hukkuu false positive -massaan.
Tilanne on ongelmallinen yhdistelmä hukattuja resursseja ja sokeutta järjestelmän tietoturvapoikkeamille. Näkyvyyden puute estää varhaisen reagoinnin, jolloin tekniset ongelmat ja mahdolliset vihamieliset toimijat voivat aiheuttaa suurtakin vahinkoa huomaamatta. Samalla valheellinen turvallisuudentunne voi ruokkia kierrettä entisestään - meillähän on kaikki hyvin, kun on valvontajärjestelmät käytössä, eikö?
Vaikka ongelman poistavaa hopealuotia ei löydykään, pilvessä on kuitenkin hopeareunus: tilanne sisältää itsessään ratkaisun avaimet. Jos näkyvyyden teknisesti mahdollistavat järjestelmät ohjataan hallitusti käyttöön, saadaan organisaation toiminnalle merkittävää turvaa hyvinkin nopeasti. Tähän tarpeeseen halusimme vastata Remodilla tarjoamalla käytännönläheistä ja asiakkaan kannalta selkeää, helppoa ja sangen vähätöistä ratkaisua, joka tuo hyödyt käyttöön nopeasti.
Mitä tähän tarvitaan? Ymmärrystä asiakkaan tilanteesta ja käytössä olevista järjestelmistä ja näkyvyyden suurimmista puutteista, jotta pääsemme ripeästä selvitystyöstä suoraan tarpeisiin vastaavien ratkaisujen toteuttamiseen. Tietoturvan näkyvyyttä kohentavan kertaluontoisen palvelumme lähtökohtana on olemassaolevien ratkaisujen hyödyntäminen mahdollisimman tehokkaasti, aukkopaikkoja tarpeen mukaan täydentäen. Toimintaa ei ole sidottu tiettyjen tuotteiden tai vendorien ympärille
Saamme muutamassa kuukaudessa asiakkaan toimintaa turvaamaan yhdessä määriteltyjen tavoitteiden mukaisen kokonaisuuden, jossa olemassaolevaa dataa täydennetään lisänäkyvyydellä tunnistettuihin tärkeisiin alueisiin. Valtaosassa projekteja käytetään moottorina MS Sentinel -ratkaisua, joka vastaanottaa nykyiset tietoturvaherätteet ja muodostaa aiemmista sokeista pisteistä uusia herätteitä lokien pohjalta. Koekäyttövaiheessa kokonaisuutta viilataan saatujen herätteiden pohjalta yhdessä asiakkaan kanssa, jolloin rakennetun ratkaisun hyödyntäminen tulee samalla tutuksi. Tavoitteena on poikkeamien havaitsemisen lisäksi niiden selvittelyn helppous ja kyky nopeaan ja tehokkaaseen reagointiin.
"Remodilla on aina lähdetty siitä, että autetaan asiakasta siinä missä tarvitaan, ja näkyvyyskysymyksen parissa on kertynyt kokemusta monen asiakkaan auttamisesta. Tämä kokemus me haluttiin hyödyntää rakentamalla palvelu, joka olisi asiakkaalle mahdollisimman helppo, niin että saadaan jo aiemmin hankitttujen pillien ja viheltimien potentiaali rikastettua ja hyödynnettyä kunnolla. Vaikka monesti sanotaan että helppoja voittoja ei ole, me päätimme luoda sellaisen."
-- Ville Jussila, Remod Oy
Aloituksesta testausvaiheen kautta lopetuspalaveriin selvitään kolmessa kuukaudessa selkeästi viitoitettua polkua seuraten ja hyvin pienellä asiakkaan puolelta tarvitulla työmäärällä. Tarvittaessa voidaan jatkaa tarkempiin projekteihin ilmenneiden tarpeiden pohjalta tai tarjota esimerkiksi SOC-palvelua jo tehtyä työtä hyödyntäen. Veisikö tällainen projekti teillä jatkuvuuden turvaamista eteenpäin?
