SOC kuuluu kaikille, eikä sen tarvitse olla monimutkaista

SOC Security Operations Center

Olen seurannut tietoturvaratkaisujen ja palveluiden toimittamista Suomessa pian neljännesvuosisadan eli suunnilleen niin kauan kuin olemme olleet enemmän tietoisia tietoturvasta. Edellisten noin 10 vuoden aikana olen päässyt hyvin läheltä seuraamaan tietoturvapalveluiden kehittymistä yhdellä Suomen SOC-palveluiden uranuurtajista.

Tietoturvatietoisuus on olemassa

Yleinen tietoisuus tietoturvasta on kasvanut hyvin nopeasti. Kuluttajia yritetään jatkuvasti naruttaa. Media on täynnä varoituksia erilaisista huijauksista. Yritysmaailmassa on noussut valtavaksi riskiksi kiristyshaittaohjelmat, joita operoivat rikollisryhmittymät. Medioista tunnetuimpia kiristyksen kohteiksi joutuneita yrityksiä ovat mm. Colonial Pipeline, Kaseya, Vestas ja Amedia. Verkkorikollisuuden riski juuri yhden tietyn yrityksen liiketoiminnalle on kuitenkin vaikeasti arvioitavissa. Mutta paljonko ja miten tietoturvaan tulisi panostaa, jotta riskit liiketoiminnalle olisivat hallinnassa? Toimitusjohtajilla pitäisi jo tietoisuus tietoturvan merkityksestä olla olemassa, eli budjeteissa asian luulisi jo näkyvän.

Tietoturva on periaatteessa yksinkertaista

Tietoturvan hallinta perustuu aivan samaan kolminaisuuteen, kuin kaikki yritystoiminta. Resepti on yksinkertainen; tarvitaan ihmisiä, jotka pyörittävät prosesseja, joihin tarvitaan teknologiaa. Mikäs siinä sitten on niin vaikeaa, jos kaikki asiat tarvitsevat samat kolme tekijää siis ihmiset, prosessit ja järjestelmät. Asiaa on turha mystifioida, vaikka tietoturvaviisaat kutsuvat sitä hienosti erilaisilla akronyymeillä.

Teknologiaa

Korva ei kuule tietoturvariskejä ja silmä on huono huomaamaan tietoturvapoikkeamia. Teknologian tehtävä on tunnistaa nämä ongelmat ja puuttua niihin ihmistä nopeammin eli teknologiaa tarvitaan välttämättä ihmisten puutteiden täydentämiseen. Kaupasta saa ostaa BackUpin, IAMin, päätelaitesuojauksen, SASEn, SIEMin, SOARin, haavoittuvuuksien hallinnan, M365-suojauksen, palomuurin ja kasan muita kivoja tietoturvaratkaisuja. Tarjontaa on ylitsevuotavasti. Suuntaa voi kukin CISO etsiä analyytikkojen erilaisista arvioista.

Toimintatapoja

Prosessit ovat jo hieman hankalampi juttu, mutta kyllä nekin ovat mietittävissä, piirreltävissä ja hierottavissa kuntoon. Voidaan määritellä, kuinka seurataan ja korjataan haavoittuvuuksia tai hallitaan muutoksia ja häiriöitä, käyttövaltuuksia, milloin otetaan backupit, miten seurataan tilannekuvaa ja miten reagoidaan. Otetaan ITILit ja Mitret esille ja suunnitellaan.

Osaajia

Vaikeaksi homma muuttuu, kun ryhdytään miettimään kuka työt tekee? Analyytikkofirmat toitottavat, että tällä hetkellä on maailmanlaajuinen miljoonien henkilöiden pula tietoturva-asiantuntijoista. Saman olette huomanneet varmaan itsekin, yrittäessänne rekrytoida tietoturva-asiantuntijoita. Millaisella palkalla ja kuinka pitkäksi aikaa saadaan työntekijä sitoutettua yritykseen? Meitä IT-henkilöitä kiehtovat aina uudet teknologiat, laitteet ja uudet haasteet – kun on pulaa osaajista ja kysyntää on, näyttää ruoho helposti kovin vihreältä aidan toisella puolella. Ja taas etsitään uusia asiantuntijoita.

Riski liiketoiminnalle

Yrityksiin kohdistuvat tietoturvariskit ovat niin suuret, että jokaisella yrityksellä pitäisi olla sopivat teknologiat, prosessit ja henkilöresurssit kunnossa. Yritysten tulisi panostaa Security Operations Centeriin (SOC) eli tietoturvapalvelukeskukseen, joka pyörittää yrityksen operatiivista tietoturvaa 24/7. Verkkorikolliset eivät nuku silloin, kun tehdas on kiinni. Liiketoiminta loppuu kuin seinään, jos joku käy kryptaamassa tiedot, joilla liiketoimintaa pitäisi pyörittää. Lisäksi tällaisessa tilanteessa yrityksen mainehaitta voi olla rahallisesti huomattavasti merkittävämpi, kuin toipumiseen käytetty summa.

Rakennetaan SOC itse

Aidon 24/7 SOCin, mikä siis jokaisella yrityksellä tulisi olla, resurssoinnissa puhutaan isosta kasasta teknologiaa, muutamasta prosessista ja noin tusinasta kokeneesta tietoturva-asiantuntijasta, jotka aktiivisesti seuraavat tilannetta, tutkivat herätteitä ja selvittelevät häiriöitä tai jo tapahtuneita tietomurtoja sekä huolehtivat käytössä olevien tietoturvatyökalujen tuunauksesta ja ylläpidosta.

Jättiläisyritysten voi olla mahdollista ja kannattavaa perustaa oma 24/7 SOC, joka käyttää tietoturvan tilannekuvan seurantaa yrityksen omistamia tietoturvatyökaluja. Vaikka tietoturvamielessä pienempien organisaatioiden vaatimukset ovat aivan samat kuin suurempienkin, ei suomalaisten maailman mittakaavassa pienten ja keskisuurten yritysten kannata sitä itse tehdä. 24/7 SOCin kustannukset ovat auttamatta niin korkeat monien yritysten kokoon nähden, että harva johtoryhmä ne hyväksyy. Silti jokaisen toimitusjohtajan, hallituksen puheenjohtajan ja omistajan vastuulla on mahdollistaa, vaatia ja seurata tietoturvan toteutumista yrityksessään. Mikä neuvoksi?

SOC -palveluna

Suomi on IT-palveluistumisen kärkimaita. SOCia on saanut ostettua palveluna jo kymmenkunta vuotta. Tarjontaa on. Suomesta löytyy useita paikallisia vakiintuneita SOC-palveluiden toimittajia. Erittäin varteenotettava vaihtoehto on myös tutustua maailman laajuisten SOC-palvelun toimittajien tarjoamaan. Analyytikot ovat tätäkin soppaa hämmentäneet taas hieman. Maailmalla meille tuttua SOC-palvelua kutsutaan uusilla kolmikirjaimisilla lyhenteillä kuten MDR eli Managed Detection and Response ja XDR eli Extended Detection and Response. Menemättä turhauttavaan viisasteluun akronyymien perimmäisistä sisällöistä totean, että pohjimmiltaan kyse on kuitenkin Suomessa jo tutuksi tulleista SOC eli Security Operations Center -palveluista.

SOC maailmanluokan palveluna

Kansainväliset toimijat ovat tuotteistaneet palvelunsa erittäin hyvin. Palveluiden käyttöönotto tehdään vakioidun kaavan mukaisesti nopeasti, edullisesti ja tehokkaasti. Sopimuksen teosta palvelun käynnistymiseen kuluu vain viikkoja. Isoilla toimijoilla on resursseja reagoida nopeasti uusiin riskeihin ja kehittää palveluitaan jatkuvasti. Palveluprosesseihin liittyvät rajapinnat ovat selkeästi määriteltyjä. Työkalut, joilla toimitaan ovat niin ikään vakioituja. Vakioidut työkalut ja palveluprosessit ovat elinehto tehokkaalle palvelulle. Tietoturvapalvelut voidaan rinnastaa infrastruktuuripalveluihin. On aika sama, minkä merkkisillä ratkaisuilla tietoturvadataa hillotaan, kunhan se tehdään 24/7/365 nopeasti, tietoturvallisesti ja tehokkaasti.

Palveluiden tietoturva

MDR/XDR palvelutoimijat ottavat oman tietoturvansa vakavasti. He ovat sertifioineet oman tietoturvansa kattavasti vasten erilaisia viitekehyksiä, kuten ISO27001, SOC2 Type 2 jne., sekä noudattavat paljon Suomessa tunteita herättäviä GDPR-säännöksiä hyvin tarkasti.

Mitä maksaa?

MDR/XDR-palvelut sopivat hyvin suomalaisille yrityksille. Noin yhden tietoturva-asiantuntijan hinnalla saa keskikoinen yritys tuekseen maailmanluokan osaamisen, prosessit ja työkalut. Samalla yritys saa myös käyttöönsä nimetyt asiantuntijat, jotka tuntevat asiakasympäristön. Mitäs muuta, siihen operatiivisen tietoturvan pyörittämiseen, tarvittiinkaan? No ei paljon muuta.

Omaa osaamista tarvitaan

Kokonaan tietoturvaa ei voi ulkoistaa. Yrityksen sisällä on edelleen oltava tietoturvaosaamista. Yrityksellä pitää olla tietoisuus siitä, mitä tehdään, kun MDR/XDR-toimijan kanssa aletaan selvittämään tietoturvapoikkeamia. Yrityksen on myös säilytettävä kyvykkyys ostaa ja seurata toimittajien toimintaa sekä ohjata toimittajien välisiä vastuita – SOC palveluiden toimittaja ei vastaa päätelaitteiden hallinnasta, tietoliikenneyhteyksistä tai virtuaalipalvelimista. Kaikkia toimijoita tarvitaan tietoturvan ylläpitoon, vaikka palveluna hankittu SOC sitä valvoisi ja ohjaisi.

Kysy lisää

Käy tutustumassa ennakkoluulottomasti sivuiltamme löytyvään sisältöön MDR-palveluista. Ole yhteydessä, kun kaipaat lisätietoja. Parissa kuukaudessa toimitamme maailmanluokan SOC-palvelun käyttöösi – nukut yösi paremmin.

Petri Heinonen