Uutiset

Kyberturvallisuus ja häiriötilanteisiin varautuminen

2 min luku | 27.5.2022

Kyberturvallisuus ja välttämättömien verkkoyhteyksien toiminnan takaaminen ovat tällä hetkellä ajankohtaisempia keskustelunaiheita kuin koskaan aikaisemmin. Monet yksityishenkilöistä yritysten johtoon asti pohtivat, miten varautua kyberhyökkäyksiin ja häiriötilanteisiin. Visma Solutionsilla tietoturvan parissa työskentelevä Riku Tarkiainen raottaa salamyhkäisen kybermaailman verhoa. Hän kertoo, miten Vismalla tietoturvasta huolehditaan ja miten jokainen voi edistää omaa kyberturvallisuuttaan.

Keskustelut ja uutiset kyberhyökkäyksistä ovat vahvasti läsnä medioissa. Pankkeihin kohdistuu erilaisia hyökkäyksiä ja puolustusministeriön verkkosivut olivat kaatuneena palvelunestohyökkäyksen seurauksena. Kyberturvallisuusalalla ja sen parissa työskentelevät tietävät, että hyökkäyksiä on ollut jo kauan ennen valloillaan olevaa maailman tilannetta.

“Kyberhyökkäyksiä on ollut ennenkin ja niitä tulee aina olemaan. Se ei kuitenkaan tarkoita, etteikö palvelunestohyökkäyksiin voisi varautua ja tietomurroilta suojautua”, Visma Solutionsin tietoturvajohtaja Riku Tarkiainen toteaa.

“Palvelunestohyökkäys on vähän sama asia kuin tuhat ihmistä yrittää ahtautua samaan aikaan paikallisen marketin ovista sisälle. Kaikki tietävät, ettei silloin ovista pääse kukaan sisälle. Sama palvelunestohyökkäyksissä, mutta ihmisten sijaan tuhannet botit yrittävät päästä marketin ovien sijaan verkkosivuille”, Tarkiainen taustoittaa.

Tarkiaisen mukaan palvelunestohyökkäyksiin on useita teknisiä keinoja, joilla minimoida riskejä, mutta hyökkäyksiä ei voi täysin estää. Jos kuitenkin palvelunestohyökkäys kaataa verkkosivut, se on onneksi usein vain hetkellinen häiriö eikä aiheuta pysyvää haittaa.

Kyberhyökkäyksiä seurataan aktiivisesti oppimismielessä. Valitettavasti hyökkääjillä on helpommat lähtökohdat, koska heillä ei tarvitse olla kuin yksi uusi keino hyökätä, kun taas puolustajien tulee tukkia kaikki mahdolliset olemassa olevat keinot ja tuntea jokainen hyökkäystapa.

“Seuraamme hyvin tiiviisti maailman tapahtumia. Erityisesti seuraamme, mitä kybermaailmassa tapahtuu. Minkälaisia hyökkäyksiä ja miten ne on toteutettu. Pääasiassa tavat ovat tuttuja, mutta pysyäksemme ajan tasalla, meidän tulee havaita uudet trendit oppiaksemme niistä”, Tarkiainen kertoo.

Visman liiketoiminta perustuu luottamukseen

Visma Solutions on osa Visma-konsernia. Tämän yhteistyön kautta meillä on käytössämme erityisen paljon osaamista tietoturva-asioista ja toimintavarmuudesta. Visma-konsernilla on satoja ohjelmistoja ja toimintaa Pohjoismaissa sekä Euroopassa. Se on suuri etu, sillä lukuisten tuotteiden kautta opimme toisiltamme ja jaamme tietoa toisillemme konsernin sisällä.

Visman liiketoiminta perustuu luottamukseen. Olemme sitoutuneet suojaamaan asiakkaidemme, työntekijöidemme ja yhteistyökumppaniemme tiedot. Kehitämme tuotteidemme tietoturvaa jatkuvasti sekä koulutamme henkilökuntaamme säännöllisesti. Lisäksi seuraamme aktiivisesti palveluidemme tietosuojan tasoa. Järjestämme harjoituksia ja opetamme toimintatapoja erityisesti tuotekehitykselle, operatiivisille toimijoille ja asiakasvastaaville erilaisten vaaratilanteiden varalta.

Teemme myös tiivistä yhteistyötä alihankkijoiden kanssa, kuten esimerkiksi konesalitoimittajien ja pilvipalvelutarjoajien kanssa. Tämä yhteistyö on erittäin toimivaa. Saamme kumppaneiltamme tukea ja uusimpia vinkkejä tietoturvan ylläpitoon.

Visma-konsernilla on itse kehitetty tietoturvamalli, jota jo suurin osa Visman tuotteista seuraa. Olemme kehittäneet Visma Application Security Program (VASP) ja Visma Cloud Delivery Model (VCDM) -ohjelmat varmistamaan tuotteidemme ja palveluidemme korkeat turvallisuusstandardit. VCDM-ohjelma on sertifioitu ISO 27001-standardilla ja VASP-ohjelma on toteutettu käyttäen alan suosituksia ja yleisiä parhaita käytäntöjä.

Lue lisää: Security in Visma’s products and services

“Visma-konsernilla on henkilöitä, jotka valvovat läpi vuorokauden kyberturvallisuutta, mutta sen lisäksi on teknistä monitorointia ja hälytysjärjestelmiä, joiden kautta saadaan tietoa hyökkäysyrityksistä. Asiantuntijat heräävät vaikka keskellä yötä, jos on hätä kyseessä”, Tarkiainen paljastaa.

Hakkerit apuna ohjelmistojen tietoturva-aukkojen etsinnässä

Tarkiainen haluaa muistuttaa, että kaikki hakkerit eivät ole rikollisia. Kyberrikolliset käyttävät hakkeritaitoja omiin tarkoituksiinsa, jotka usein ovat laittomia ja muille haittaa aiheuttavia. Niin sanotut valkohattuhakkerit haluavat hyvää. He edistävät positiivisia asioita ja osallistuvat aktiivisesti kyberrikollisuuden torjuntaan.

“Usein valkohattuhakkerit työskentelevät yritysten tietoturva-asiantuntijoina ja heidän osaamistaan hyödynnetään kyberrikollisia vastaan. Näin myös Vismalla. Bug bounty-ohjelmassamme kutsumme hakkereita etsimään tietoturva-aukkoja rahapalkkiota vastaan ja näin saamme parannettua tuotteidemme tietoturvaa myös tätä kautta”, Tarkiainen kertoo.

Lue lisää: Lisätietoa Visman bug bounty-ohjelmista

Näin huolehdit kyberturvallisuudesta yrityksessä ja yksityishenkilönä

Tietoturvasta huolehtiminen on osa riskienhallinnan kokonaisuutta. Huolehtimalla kyberhygieniasta voi jokainen minimoida häiriöiden aiheuttamista.

Tarkiainen listaa neljä perusjuttua, joista huolehtimalla jokainen pystyy tekemään oman osansa kyberturvallisuutensa eteen.

  • Turvalliset salalauseet
  • Kaksivaiheinen tunnistus
  • Vältä riskejä — älä avaa ja lataa mitään epäluotettavista lähteistä.
  • Muista, jos jokin on liian hyvää ollakseen totta, se yleensä ei ole totta.

Tuttuja neuvoja, mutta hyvin tehokkaita tapoja ennaltaehkäistä ikäviä seurauksia. Nämä vinkit kannattaa pitää mielessä jatkossakin, sillä tietomurtoja ja kyberhyökkäyksiä yritetään vielä näiden levottomien aikojen jälkeenkin.

Lisäksi yrityksissä kannattaa tehdä suunnitelma ja varautua häiriötilanteisiin. Kannattaa pohtia, mitkä järjestelmät ja ohjelmistot ovat välttämättömiä yrityksen toiminnan kannalta. Mitkä niissä olevat tiedot ovat tärkeitä ja onko ne varmuuskopioitu?

Pilvipalveluina toimivat ohjelmat ovat varmuuskopioitu asiakkaan puolesta, mutta yrityksen omat järjestelmät kannattaa itse varmuuskopioida.

Myös verkkohäiriöihin kannattaa varautua. Mieti ja varaudu etukäteen, mitä tehdä, jos verkkoyhteys kaatuu. Esimerkiksi, jos yrityksen kiinteään verkkoyhteyteen tulee häiriö, onko mobiiliverkko käytettävissä — ja tietysti sama toisinpäin.

“Kannattaa miettiä ennakkoon erilaisia skenaarioita ja tehdä suunnitelmat, kuinka toimitaan, jos yrityksen toimintaa häiritään”, Tarkiainen neuvoo.

Lue myös Riku Tarkiaisen kolmiosainen blogisarja, ja opi huolehtimaan yrityksesi tietoturvasta.

Estä tietomurto yritykseesi — 10 askelta yrityksesi tietoturvaan osa 1

Estä tietomurto yritykseesi — 10 askelta yrityksesi tietoturvaan osa 2

Estä tietomurto yritykseesi — 10 askelta yrityksesi tietoturvaan osa 3

Minna Hirvonen

Minna Hirvonen työskentelee Visma Solutionsin sisältömarkkinoinnissa. Minna arvostaa hyödyllisiä ja informatiivisia tekstisisältöjä. Siksi hän päätyi sisällöntuottajaksi jo vuonna 2004, jotta tiedonnälkäiset löytävät vastauksia digitaalisista kanavista.