Paluu perusasioihin: Kyberhygienia tekoälyn aikakaudella – miksi perusasioilla on edelleen väliä

Vahva kyberturvallisuus alkaa perusasioista, mutta usein juuri ne ovat vaikeimpia ottaa haltuun. Uusien teknologioiden – niin lupaavia kuin ne ovatkin – ei tulisi korvata vaan täydentää kyberturvallisuuden olemassa olevaa perustaa.

Hajautettujen työskentelymallien yleistyttyä dataa käytetään useammilla laitteilla ja useammissa paikoissa kuin koskaan aikaisemmin. Joustavat ja hajautetut työskentelytavat muodostavat uudenlaisia haasteita näkyvyydelle esimerkiksi sääntelemättömän varjo-IT:n muodossa.

Tämän takia IT-päättäjien on vaikeaa säilyttää kokonaiskuva siitä, mitkä yrityksen palvelut, palvelimet ja tiedot altistuvat riskeille. Tutkimusten mukaan jopa 41 % työntekijöistä käyttää työkaluja, joilla ei ole organisaation hyväksyntää. Tämän osuuden odotetaan kasvavan 75 %:iin vuoteen 2025 mennessä, joten valvonta monimutkaistuu ja riskit kasvavat entisestään. ²

Tällaiset katvealueet ovat juuri niitä, joita hyökkääjät hyödyntävät. Kyberhyökkäysten määrä ja vaikutukset kasvavat, mutta monet niistä hyödyntävät edelleen hyvin tiedossa olevia haavoittuvuuksia, kuten päivittämättömiä järjestelmiä, heikkoja salasanoja ja inhimillisiä virheitä.

Tästä syystä perusasiat on syytä kerrata ja pitää mielessä. Huomioimalla muutamia keskeisiä tekijöitä on mahdollista vähentää riskejä merkittävästi ja parantaa organisaation yleistä suojaustasoa. Kolme tärkeintä elementtiä:

Monivaiheinen tunnistautuminen (MFA) on yksi yksinkertaisimmista ja tehokkaimmista tavoista estää luvaton käyttö ja kirjautuminen. Organisaatiossa voi kuitenkin olla käytössä työntekijöiden tilejä tai vanhoja tilejä, joilla monivaiheinen tunnistautuminen on jäänyt ottamatta käyttöön tai tilejä joita ei hallita. Hyökkääjät iskevät tällaisiin heikkoihin kohtiin käyttämällä esimerkiksi tunnusten koneellista arvaamista (ns. password spraying). Tässä menetelmässä hakkerit yrittävät tunnistaa riskialttiita tilejä kokeilemalla samoja salasanoja eri järjestelmissä. Voi tuntua vähäiseltä laiminlyönniltä, jos käyttäjä käyttää samaa salasanaa eri paikoissa, mutta sitä hyväksikäyttämällä hyökkääjä voi päästä käsiksi organisaation koko yritysjärjestelmään.

Toinen yleinen hyökkäyskohde ovat päivittämättömät järjestelmät. Monia korkean profiilin tietomurtoja ei ole tehty kehittyneillä tekniikoilla vaan hyökkäämällä vanhentuneeseen ja suojaamattomaan ohjelmistoon, jota ei ole päivitetty tai suojattu. Päivitysten automatisointi sekä resurssien ja riippuvuuksien tarkka kirjaaminen – ja näiden tietojen ylläpitäminen – ovat välttämättömiä altistumisen vähentämiseksi ja yhtenäisyyden varmistamiseksi eri ympäristöissä.

Inhimilliset virheet ovat edelleen yksi suurimmista kyberturvallisuusriskeistä. Taannoisen raportin mukaan 60 %:ssa viime vuoden kyberhyökkäyksistä oli mukana inhimillinen tekijä. Inhimillinen virhe voi olla esimerkiksi tietojenkalastelulinkin napsauttaminen tai arkaluontoisten tietojen ohjaaminen väärään paikkaan. ³ Tietoturvakoulutuksen pitäisi olla jatkuvaa ja työroolikohtaista. Koulutusta tulisi tehostaa reaaliaikaisilla simulaatioilla, ja tietoturvaongelmista raportointiin on oltava selkeät kanavat. Tämä vähentää riskejä ja auttaa jokaista tuntemaan oman vastuunsa.

Näiden perusasioiden avulla yritykset voivat luoda tietoturvalle vankan perustan, jonka päälle voi rakentaa kehittyneempiä puolustuskeinoja.

Kyberhyökkäyksiin valmistautuminen edellyttää muutakin kuin työkaluja. Se edellyttää syvällistä ymmärrystä ympäristöstä ja hyvin harjoiteltua torjuntasuunnitelmaa.

Organisaation datavarantojen ymmärtäminen on olennainen asia, jotta haavoittuvuudet voidaan tunnistaa ja ongelmatilanteesta voidaan palautua nopeasti. Ympäristön analysointi aloitetaan säännöllisillä auditoinneilla:

• kaikkien dataresurssien inventointi paikallisesti, pilvessä ja hybridiympäristöissä
• datan luokittelu arkaluontoisuuden ja liiketoimintavaikutuksen mukaan suojauksen ja palautuksen priorisoimiseksi
• datavirtojen dokumentointi altistumispisteiden ja riippuvuuksien tunnistamista varten
• tarpeettomien riskien eliminoiminen käytönvalvonnan ja käyttöoikeuksien arvioinnin avulla
• varmuuskopiointi- ja palautusprosessien tarkistaminen liiketoiminnan jatkuvuustavoitteiden näkökulmasta.

Kyse ei ole vain tiedoista itsestään vaan siitä, mihin kaikkeen tiedot vaikuttavat. Jos tietomurto toteutuu, mitä tiimejä, asiakkaita tai kumppaneita ongelma koskee? Tällaisten suhteiden kartoittaminen etukäteen auttaa priorisoimaan reagointia hyökkäykseen ja vähentämään häiriöitä.

Keskeinen elementti on myös näkyvyys käyttöoikeuksiin. Uhkia on helpompi havaita ja rajoittaa ennen niiden laajenemista, kun tiedät, kenellä on käyttöoikeus mihinkin resurssiin. Monivaiheiseen tunnistautumiseen ja zero trust -periaatteeseen pohjautuva vahva käyttöoikeusstrategia voi pienentää riskejä merkittävästi. Keskitetyt kirjautumiset ja integroidut fyysiset todennustarkistukset parantavat hallintaa ja luottamusta entisestään.

Yritysten on silti oltava valmiina toimimaan, vaikka järjestelmien näkyvyydestä ja pääsynhallinnasta olisi huolehdittu. Yksi tehokkaimmista tavoista valmistautua on tehdä kuivaharjoituksia ylemmän johdon ja IT-tiimien kanssa. Simulaatioissa käydään läpi tietomurtotilannetta ja pyritään tunnistamaan puutteita, selkeyttämään rooleja ja parantamaan päätöksentekoa paineistetussa tilanteessa.

Kun hyökkäys tapahtuu, reagoinnin nopeus ja selväpiirteisyys voivat olla ratkaisevia tekijöitä.

Tekoäly on nopeasti kehittymässä tehokkaaksi työkaluksi verkkorikollisten käsissä. Jopa verrattain edulliset tekoälymallit voivat luoda vakuuttavia tietojenkalastelusähköposteja ja realistisia ääniviestejä, mikä tekee huijauksista uskottavia ja vaikeampia havaita.

Kun tekoäly ja automaatio ovat entistä laajemmin käytettävissä, niiden roolin kyberhyökkäyksissä ennakoidaan kasvavan. Tähän muutokseen uskoo 91 % kyberturvallisuuden asiantuntijoista. ⁴ Vaikka työkalut kehittyvät, hyödynnettävät heikkoudet säilyvät samoina – samoin kuin toimivat puolustuskeinot.

Ihmislähtöisyys on paras keino suojautua tekoälyuhilta. ⁵ Henkilöstöä on koulutettava tunnistamaan deepfake-väärennöksiä ja tekoälypohjaisia tietojenkalasteluyrityksiä. Raportoinnista on tehtävä helppoa, ja tiimien on oltava valmiina vastaamaan tehokkaasti tekoälyä hyödyntäviin hyökkäyksiin.

Kun tietomurto tapahtuu, monet tuntevat siitä syyllisyyttä. Yritykset pelkäävät myös maineensa puolesta, sillä tietomurrot voivat vaikuttaa negatiivisesti niiden asemaan kumppanien ja asiakkaiden silmissä.

Tällainen voi johtaa salailun kulttuuriin, jossa hyökkäyksen haitat kärsitään ja käsitellään omissa oloissa muille hiiskumatta. Vaitiolo hyödyntää kuitenkin vain kyberrikollisia.

Yritysten on pyrittävä kannustamaan kulttuurissaan avoimuuteen. Työntekijöitä ei pidä syyllistää tai rangaista vaan palkita ongelmien varhaisesta raportoinnista. Se auttaa organisaatioita reagoimaan hyökkäyksiin nopeasti ja parantaa tietoturvakoulutusten tehoa merkittävästi. ⁶

Avoimuuden kulttuurin ei tulisi rajoittua sisäiseen raportointiin. Kun organisaatiota vastaan hyökätään, tapahtumasta kertominen ja siitä opitut asiat voivat auttaa muita vahvistamaan puolustustaan ja vähentämään vastaavanlaisia riskejä.

Kyberrikolliset etsivät jatkuvasti kaikentasoisia haavoittuvuuksia, joiden avulla ne voivat murtautua organisaation järjestelmiin. Siksi kyberpuolustuksen perusteista on huolehdittava. Järjestelmien nopea päivittäminen voi estää hyökkääjiä käyttämästä tunnettuja haavoittuvuuksia. Henkilöstön kouluttaminen voi pienentää sitä mahdollisuutta, että yritysjärjestelmiin pääsee haittaohjelmia inhimillisen virheen seurauksena. Lisäksi ajantasainen pääsynhallintastrategia auttaa havaitsemaan epäilyttävää toimintaa ennen tietojen joutumista vääriin käsiin.

Nämä eivät ole korkean tason monimutkaisia tietoturvavaatimuksia – ne ovat aivan perusasioita. Myös tällä tekoälyn ja uusien teknologioiden aikakaudella on hyvä pitää mielessä, että tietoturvan perusteiden lujittaminen ja hyvän kyberhygienian ylläpitäminen suojaavat organisaatiota valtaosalta hyökkäyksiä.