Kyberturvan ammattilaiselle tietämättömyyden tunnustaminen on elinehto

Hiekka lentää

Luulitko tietäväsi riittävästi yrityksesi tietoturvan tilanteesta? Olet ehkä ollut alalla pitkään ja kokemusta on karttunut verkoista, palvelimista, tietokannoista, päätelaitteista ja näiden tietoturvasta. Kokemus on valttia alalla kuin alalla, joten pitkällä kokemuksellasi voit vakuuttaa yrityksen johdolle, että olet tilanteen tasalla ja teillä asiat on kunnossa, ehkä jopa paremmin kuin yrityksillä keskimäärin.

Liikenteessäkin suurin osa autoilijoista sanoo olevansa keskimääräistä parempi kuljettaja. Näyttää kuitenkin siltä, että onnettomuuksia ei voi aina välttää vaikka kuljettaja kuuluukin tähän keskivertoa parempaan porukkaan. Aivan samalla tavalla yrityksissä organisaatioissa syntyy jatkuvasti erilaisia tietovuotoja tai ne joutuvat kyberhyökkäyksen kohteeksi, vaikka osaamista ja kokemusta on käytössä paljonkin. Mistä ihmeestä on kyse?

Toisin kuin liikenteessä, digitaalisessa maailmassa vastassa on valtava joukko tahoja, jotka yrittävät kampittaa sinua jatkuvasti. Nämä tahot laittavat peliin kaiken kokemuksensa sekä luovuutensa yrittäessään keksiä uusia kepulikonsteja hyötyä digitaalisessa maailmassa muiden kustannuksella. Kyberrikolliset eivät enää käytä aikaansa “paksujen muurien” läpi murtautumiseen, ja vaikeisiin kohteisiin, vaan etsivät helpomman tien. He varastavat tunnuksesi ja salasanasi ja yksinkertaisesti kirjautuvat sisään. Tai asentavat takaportin hyödyntäen uutta haavoittuvuutta järjestelmässä, jota et ole vielä ehtinyt päivittää. On siis kyse siitä, että vanhat lääkkeet eivät yksinkertaisesti pure näihin uusiin, alati muuttuviin ja kehittyviin uhkiin.

Kokemuksesta tuskin on haittaa uusiakaan uhkia vastaan suojautumisessa, mutta “kyllä minä tiedän, tehdään niin kuin ennenkin” -asenteesta on. Silloin tulee helpommin ummistaneeksi silmänsä sellaisilta uusilta riskeiltä, jonka kyberrikolliset tunnistivat jo aikaa sitten. Jos kädessä on vasara, niin kaikki ympärillä alkaa näyttää nauloilta. Kuinka helppoa on luopua omista tutuista lempityökaluista, jos uudet riskit vaativatkin ihan jotain muuta lähestymistapaa? 

Oman tietämättömyyden tunnustaminen on ensimmäinen askel. Vasta tunnustamalla tämän voi tunnistaa ja nähdä sellaisia riskejä ja uhkia, joille aiemmin oli sokea. Ja vasta tunnistamisen jälkeen korjaaminen on mahdollista. Siitä kyberturvassa ja tietoturvassa on kuitenkin kyse.

Nyt siis käsi sydämelle, olemmeko “vasaramiehiä” loppuun saakka vai uskallammeko myöntää tietämättömyytemme? Selvitäkseen hengissä ei tarvitse edes juosta leijonaan nopeammin. Riittää kun juoksee nopeammin kuin vieressä juokseva kaveri. Valitettavasti tämä pätee myös kyberturvassa.

Antti Rajala