Pankkien palvelunestohyökkäykset ja kriittiseen infraan kohdistuneet kyberuhat osoittavat tietoturvabudjetoinnin haasteen – miten varautua sellaiseen, mistä ei vielä tiedetä?
Tämän vuoden aikana moni organisaatio on kertonut julkisuuteen kokevansa jatkuvasti uudenlaisia kyberhyökkäyksiä. Sähkö- ja vesilaitoksiin on murtauduttu myös ihan paikan päällä (Kriittisen infran vesilaitoksiin murtaudutaan nyt ympäri Suomea | HS.fi) ja epäilyttäviä droneja on nähty näiden laitosten lähettyvillä. Reuters: Fortumin laitosten lähellä havaittu drooneja ja epäilyttävää liikehdintää | HS.fi Pohjoismaiset pankit ovat kertoneet uudenlaisista ”mattopommitus”-teknikkaa hyödyntävistä palvelunestohyökkäyksistä. (Isoihin organisaatioihin hyökätään nyt ovelalla taktiikalla – Tätä on ”mattopommitus” | HS.fi)
Näille toimille yhteistä on se, että ne ovat alkaneet joko Suomen tai Ruotsin poliittisista päätöksistä esim. liittymisestä Natoon tai Ukrainan tukipaketeista. Nordean ongelmat osa myös ruotsalaispankkeihin kohdistettua suurhyökkäystä | HS.fi Kenen toimintasuunnitelmassa ja budjetissa on ollut varautumista esimerkiksi näihin uudenlaisiin uhkiin?
Kohdista tietoturvan kehitystoimenpiteet tämän päivän riskeihin
Pelkään, että liian monen suomalaisen organisaation tietoturvabudjetti, -toimenpiteet ja -kehityssuunnitelmat perustuvat vanhaan tilannekuvaan. Usein kuulen asiakkaiden kertovan, että tietoturvan tilannetta arvioitiin ”viime vuonna” tai pahimmassa tapauksessa vielä kauempana historiassa. Vaikka totta onkin, että internetin pahiksilla on käytössään kaikki vanhat konstit eli jo viime vuonna tiedossa olleilta hyökkäysmuodoilta pitää pystyä suojautumaan, on tänä vuonna tullut jo tukku uusia. Voi olla aiheellista kysyä, onko tietoturvatoimenpiteitä syytä ylipäätään budjetoida sellaisella tarkkuudella, missä kunkin vuoden marraskuussa päätetään sen hetken tilannekuvan pohjalta seuraavan vuoden toimenpiteet ja näiden rahoitus?
Riskienhallinnan käytännöillä joustoa budjettiin
Vaihtoehto voisi löytyä riskijohtamisen käytännöistä. Jos yritykseen kohdistuvia riskejä kartoitettaisiin ja arvioitaisiin vaikka 3-4 kertaa vuodessa, voitaisiin tietoturvabudjetista edes osa kohdistaa joustavasti uusiin, juuri havaittuihin riskeihin.
Suurimmat ja pitkäkestoiset kehitysprojektit kannattaa edelleen lukita suunnitelmiin ja budjettiin, mutta ehdottaisin että ainakin osa jätetään avoimeksi siten, että budjetti allokoidaan yksittäiselle hankkeelle vasta lähempänä toteutusajankohtaa. Tällöin raha voitaisiin kohdistaa siihen, mikä juuri nyt on yritykselle suurin riski.
Kuulostaako utopialta? Riskien johtaminen ei ole magiikkaa. Itseasiassa se on ajatuksena varsin yksinkertainen. Jonkun on seurattava, havainnoitava ja evaluoitava riskejä. Markkinoilta löytyy useita työkaluja millä saadaan todellinen ja ajantasainen tilannekuva IT-ympäristöstä ja sen todellisista riskeistä. Liiketoimintajohdon tehtävänä on sitten päättää, mitkä riskit siedetään ja mitkä riskit pitää mitigoida ja paljonko rahaa näihin kannattaa käyttää. Meillä on riskienhallinnan mallien ja käytäntöjen jalkauttamisesta paljon kokemusta, tunnemme uusimmat työkalut, millä yrityksen kaikki riskit löytyvät ja tiedämme miten edetä. Helppoa kuin 1 – 2 – 3.
Ollaanko kuulolla? 😊
