Viimeisen kymmenen vuoden ajan meille on toisteltu, että data on uusi öljy. Valitettavasti sanonta pätee myös siten, että syttyessään tuleen se vähintään lamaannuttaa yrityksen liiketoiminnan, pahimmillaan polttaa sen poroksi. Siksi yrityksen tiedon turvaaminen on liiketoimintakriittinen toimenpide.
Palautuminen kyberrikoksesta on kallista
Kyberrikollisuudesta on muodostunut pysyvä ilmiö. Kyberturvallisuuskeskuksen vuosiraportin mukaan kiristyshaittaohjelmat ovat myös Suomessa yksi suurimmista organisaatioiden liiketoimintaan kohdistuvista uhista. Raportin mukaan rikollisia kiinnostaa yhä enemmän nopean rahallisen hyödyn lisäksi data itsessään. Tekoälyn aikakaudella uhat myös kehittyvät vielä entistäkin nopeammin.
Yhdysvaltalainen kyberturvallisuusriskien hallintaan erikoistunut NetDiligence puolestaan julkaisi taannoin vakuutusvahinkodataan perustuvan raporttinsa. Sen mukaan vuosina 2020-2024 pk-yrityksiin (SME) kohdistuneiden kyberrikosten liiketoimintakustannus oli keskimäärin 1,4 miljoonaa dollaria. Tuosta summasta 86 % muodostui liiketoiminnan keskeytymisen aiheuttamista kustannuksista ja menetetyistä tuloista.
Tietysti on muistettava, että Amerikassa kaikki on suurta ja siellä SME tarkoittaa alle 2 miljardia dollaria vuodessa vaihtavaa yritystä. Mutta luvut kertovat joka tapauksessa siitä, miten tärkeää nopea palautuminen hyökkäyksen jäljiltä on.
Mitä tarkoittaa nopea palautuminen kyberrikoksesta?
Kyberturvallisuuskeskuksen raportissa pisti silmään kohta, jossa kerrottiin, että Suomessa hyökkäyksistä on kyetty yleensä palautumaan ”nopeasti”, keskimäärin muutamassa viikossa.
Muutama viikko ei kuulosta omaan korvaani erityisen nopealta. Varsinkin kun sitä peilataan lukuihin liiketoiminnan keskeytymisen aiheuttamista kustannuksista. Jokainen voi miettiä, miten paljon säästää, jos keskeytys jäisikin vain muutaman tunnin tai korkeintaan parin päivän mittaiseksi.
Turvallisinta onkin suunnitella yrityksen suojautuminen siitä oletuksesta, että ympäristö saattaa jo olla vaarantunut ja huomioida nopea palautuminen alusta asti.
Tiedon turvaaminen on ainoa tapa varmistaa liiketoiminnan jatkuvuus
Tiedon turvaaminen on paras tapa varmistaa, että liiketoiminta jatkuu mahdollisimman nopeasti. Oikeastaan se on ainoa tapa. Se on viimeinen puolustuslinja, jonka avulla minimoidaan datan menetykset sekä varmistetaan, että hyökkäyksen kohteeksi joutuneet sovellukset voidaan palauttaa linjoille nopeasti.
Tiedon turvaaminen ei ole uusi asia. Teknisessä mielessä kyse on tutuista varmuuskopiointi- ja Disaster Recovery -teknologioista. Niiden merkitys on vain kiihtyvän digitalisaation ajassa muuttunut kriittiseksi.
Jos tiedon turvaaminen (ja varsinkin varmuuskopiointi) miellettiin aiemmin IT:n hyvien toimintatapojen edellyttämäksi välttämättömäksi pahaksi, on siitä sittemmin muodostunut keskeinen osa liiketoimintariskien hallintaa. Rasti vaatimuslomakkeen ruudussa ei riitä takaamaan nopeaa palautumista.
Eikä se ole vain IT:n murhe. Tiedon turvaaminen on liiketoimintakriittinen asia, josta yritysjohto on pahimmillaan henkilökohtaisesti vastuussa. Tämä käy ilmi esimerkiksi viranomaisvaatimuksista, kuten NIS2– ja DORA-direktiiveistä.
Kuinka nopeasti yrityksenne palautuisi kyberhyökkäyksestä?
Tunsitko piston sydämessäsi, koska et tiedä vastausta? Et ole yksin. Käymme tiedon turvaamiseen liittyviä keskusteluita viikoittain, ja tilanne on sama useimmissa organisaatioissa.
Varmuuskopiointiratkaisu saattaa olla olemassa, joskus myös Disaster Recovery. Mutta kellään ei ole varmaa tietoa siitä, kauanko palautumisessa kestää tai mistä hetkestä palautuminen tapahtuu. Aina ei edes tiedetä, mitkä digitaaliset toiminnot ja datavirrat ovat liiketoiminnan nopean palautumisen kannalta tärkeimmät.
Useimmiten ratkaisua ei myöskään ole säännöllisesti testattu, mikä tarkoittaa, ettei edes palauttamisen onnistumisesta ole takeita.
Nyt viimeistään onkin oikea hetki ottaa tilanne haltuun ja laittaa datan suojaus kuntoon.
1. Tunnista riskit
Ensimmäinen askel tilanteen haltuunottoon on tunnistaa riskit: Kuinka paljon esimerkiksi tuotannon pysähtyminen päiväksi, viikoksi tai kuukaudeksi maksaa yritykselle? Lisäksi on huomioitava mainehaitta, jota on hankalampi kvantifioida luvuiksi, mutta jonka vaikuttavuutta tulee silti arvioida.
Vasta kun riskit on tunnistettu, voi niiden varalle alkaa rakentaa tarpeenmukaisia turvatoimia.
2. Ota tilannekuva haltuun
Seuraava askel on luokitella yrityksen data ja sovellukset niiden liiketoimintakriittisyyden mukaan.
Jokin harvoin käytettävä järjestelmä (joka ei myöskään käsittele henkilötietoja) ei välttämättä vaadi yhtä järeää turvaamista kuin liiketoimintakriittinen verkkokauppa tai toiminnanohjaus. Siksi yhtenäisessä, koko organisaation kattavassa ratkaisussa ei olisi järkeä, eikä se olisi välttämättä edes mahdollinen.
Haasteeksi luokittelussa voi kuitenkin muodostua se, että erilaisten datavirtojen luokittelu on useimmilla tekemättä. Tämä tarkoittaa, ettemme tiedä, mitä tietoa automatisoiduissa taustaprosesseissa liikkuu ja miksi. Lisäksi yksikään tietojärjestelmä ei toimi täysin erillään muista, vaan niiden välillä on aina riippuvuuksia, jotka myöskin tulee tunnistaa.
Luokitteluun ja riippuvuuksien kartoitukseen liittyvän manuaalisen työn määrä on tähän asti muodostanut merkittävän jarrun projekteille.
Tähän on kuitenkin olemassa ratkaisu. Ohjelmistovalmistaja (ja Alpit Nordicin kumppani) Veeam osti Data & Ai Security Posture Management -ratkaisujen markkinajohtaja Securitin. Tällä AI-pohjaisella työkalulla yrityksen eri datavirtojen tunnistaminen ja luokittelu käy automaattisesti, mikä helpottaa ja nopeuttaa tilannekuvan määrittämistä. Sen avulla on mahdollista luoda palautumiskäytännöt, jotka oikeasti palvelevat tavoitteita.
3. Aseta tavoitteet
Luokittelun jälkeen tulee määrittää tavoitetilat eri datojen ja sovellusten palautumiselle, eli Recovery Time Object (RTO), eli kuinka nopeasti jokin palvelu pitää pystyä palauttamaan, ja Recovery Point Object (RPO), eli mistä hetkestä menetetty data on kyettävä palauttamaan (esim. 1 tunti).
Tämä on puhtaasti liiketoiminnallinen harjoitus. Sillä vaikka ratkaisut ovatkin teknisiä, vain liiketoiminta voi tehdä päätökset siitä, kuinka pitkään eri järjestelmät saavat korkeintaan olla poissa pelistä.
Tämän jälkeen organisaatiolla on valmiudet rakentaa kumppanin avulla itselleen tietoisiin valintoihin perustuva tiedon turvaamisen järjestelmä. Samalla on tärkeää luoda käytännöt jatkuvaan testaukseen, mikä on toimivan suojauksen elinehto.
Alpit Nordic on kumppanisi tiedon turvaamisessa
Tiedon turvaamisesta on tullut yrityksille elintärkeää kyberrikollisuuden yleistyessä. Silti monet lähtevät siihen takamatkalta, sillä aiemmin käyttöön otetut ratkaisut ovat perustuneet täysin erilaisiin riskeihin, kuten teknisiin häiriöihin, tulipaloihin ja laiterikkoihin.
Syyllisiä on turha etsiä, sillä kyseessä on kaikkea teknologista kehitystä seuraava toistuva kaava: Digitalisaatiota edistetään kilpailukyky tai -etu edellä, jolloin riskienhallinta jää ymmärrettävästi kakkossijalle. Eikä verkkorikollisuuden kehitystä aina kyetä muutenkaan ennustamaan.
Olemme kuitenkin saavuttaneet pisteen, jossa tiedon turvaamista modernein keinoin ei voi enää laiminlyödä.
Meillä on yli kahden vuosikymmenen kokemus tiedon turvaamisen ratkaisuista ja palveluista. Voimme yhdessä kumppaneidemme kanssa auttaa teitä matkan jokaisessa vaiheessa, aina riskien tunnistamisesta tarpeenmukaisen ratkaisun rakentamiseen ja sen säännölliseen ylläpitoon sekä testaukseen.