Opinnäytetyö on luettavissa kokonaan kuvassa näkyvässä osoitteessa. Saatko puuttuvat viis merkkiä auki?

Nimittäin kaiken varalta? Digitaalisessa maailmassa valtiot, korporaatiot, pk-yritykset ja muut organisaatiot – siis kaikki – ovat verkossa. Periaatteessa jokaisesta verkkoon liitetystä laitteesta on pääsy jokaiseen muuhun verkkoon liitettyyn laitteeseen. Tämä verkottuneisuus luo tarvetta pääsynhallinnalle ja eri tasoisille turvallisuusratkaisuille. Organisaationne testaaminen hyökkäyksien vastaanottokyvyltä on sijoitus toimintanne jatkuvuuteen.

Penetraatiotestauksen hyödyt

Ajan ja rahan sijoittaminen penetraatiotestaukseen on korkean panoksen uhkapeliä käänteisesti. Mikäli pelissä voittaa, niin ei saa mitään ihmeellistä – toiminta vain jatkuu normaalisti. Mikäli pelissä häviää, niin häviää kaiken. Häviää kaiken olemassa olevan, sellaisetkin resurssit, joita ei alunperin edes sijoittanut tähän peliin nimeltä penetraatiotestaus. Näin käy, koska koko organisaation olemassaolo voi olla vaakalaudalla onnistuneen hyökkäyksen seurauksena.

Hyödyt tästä monesti ylenkatsotusta, ennaltaehkäisevästä toiminnasta ovat sellaisia, että niitä saattaa pitää itsestäänselvyytenä. Toiminnan jatkuvuus ei kuitenkaan ole itsestäänselvää.

Jälkiviisaus on kallis valinta

Kun testaamaton organisaatio saadaan hyökkääjien toimesta selälleen, voidaan organisaation hallituksessa juhlia merkittävää epäonnistumista. Joissakin yrityskulttuureissa nimittäin kohotetaan jopa kuplivaa merkittäville epäonnistumisille, koska niistä otetaan suurta oppia.

Osakeyhtiöiden tapauksessa – yhtiön hallituksen tehtävän ollessa toiminnan asianmukainen järjestäminen – on toiminnan jatkuvuuden turvaaminen luettava tähän edellä mainittuun yläkäsitteeseen. On hallituksen tehtävä huolehtia siitä, että organisaatio on testattu ja sen hyökkäystensietokyky on korkea. Mikäli organisaatio jätetään testaamatta, voidaan vastuukysymykset osoittaa hallituksen käsiteltäviksi. Toimitusjohtajaa on turha moittia, jos hän ei ole edes saanut ohjeita hoitaa kyberturvallisuusuhkien ennaltaehkäisyä, ja tätä kautta koko toiminnan jatkuvuuden varmistamista.

Testaajia tarvitaan

Kesäkuussa uutisoitiin, että Euroopan alueella tulee olemaan pulaa 350 000:sta kyberturvallisuuden osaajasta vuoteen 2022 mennessä. Siis noin neljän vuoden kuluttua kyberturvallisuuden osaajat saavat aikalailla itse määrittää palkkatasonsa ja työetunsa. Uusia yrityksiä syntyy ja kvanttiäly vartioi yhteiskunnallisia rakenteita kuten kryptovaluuttojen luottamuksellisuutta, eheyttä ja saatavuutta.

Tällaiset tulevaisuuden visiot eivät välttämättä ole kaukaa haettuja. Pian botit vartioivat digitaalisia ympäristöjä, ja onhan nyt jo tunkeutumisen havaitsemis- ja estojärjestelmiä. Näihin kun istutetaan vielä kvanttiälyä, niin johan ovat digitaaliset ympäristöt tiukan vartioinnin alla. Kuitenkin vielä nyt ja myös tulevaisuudessa, penetraatiotestauksen ja kyberturvallisuuden ihmisosaajia todella tarvitaan.

Yhteisiä yhteyksiä

Internetiä voi huomattavasti yksinkertaistaen ajatella rautatieverkostona, jonka varrella on organisaatioita eli asemarakennuksia. Rautatieverkkoa eli internetin yhteyksiä pitkin pääsee jokaisen aseman piha-alueelle. Jos asema on auki, niin sinne pääsee myös sisään. Mikäli ikkuna on rikki, niin ikkunasta pääsee sisään ja mikäli huoneen kassakaappi on jätetty auki, niin sinnekin pääsee. Internet luo kaistan käytännössä jokaiseen maailman organisaatioon. On organisaation tehtävä huolehtia siitä, että ikkunat ovat panssarilasia ja ovissa on turvasaranat.

Teksti: Tuomas Tyrväinen

Kuva: Eveliina Immonen

Opinnäytetyö on luettavissa kokonaan kuvassa näkyvässä osoitteessa. Saatko puuttuvat viisi merkkiä auki?

Tuomas Tyrväinen on tietoturvallisuuden opiskelija Tampereen teknillisessä yliopistossa. Hän on myös perustanut Ideakroisos-nimisen yhtiön, jonka kautta hän tarjoaa osaamistaan konsultointiluontoisesti.