Secure Cloudin perustajajäsenen, Suomen toisen ”Tietoturva-Mikon” uratarina on samalla mielenkiintoinen katsaus alan kehitykseen.
Kerro taustastasi.
Valmistuin vuonna 1990 tietoliikenneinsinööriksi. Silloin ei puhuttu vielä kyberturvasta. Urani ensimmäiset kymmenen vuotta tein verkkotekniikkaa ja erilaisia verkkojuttuja. Kuuluin poppooseen, joka rakensi kaupallisen internetin Suomeen. Yliopistoilla ja valtiollisilla tahoilla oli jo internet, mutta yritykset lähtivät mukaan vasta silloin. Muutama vuosi sen jälkeen tulivat selaimet, ja sittenhän internetin käyttö räjähtikin. Vuonna 1999 ”näin valon” ja tietoturvaurani lähti liikkeelle palomuurihommista.
Miten päädyit pilven tietoturvan pariin?
Pilviherätykseni tapahtui vuosina 2013–14, kun toimin suomalaisessa startupissa nimeltään Cloud Solutions. Silloin puhuttiin AWS:sta, julkipilvestä, mutta ei vielä SaaS-palveluista. Ymmärrettiin, etteivät julkipilvet ole turvallisia ilman tietoturvaa.
Miten Secure Cloud sai alkunsa?
Ensimmäinen kokemukseni yrittäjyydestä oli Santa Monica Networks, jossa olin osakkaana. Vuoden 2015 lopulla olin töissä Cygatella, kun piirsin ruutupaperille ensimmäisen idean Secure Cloudista. Ehdotin parille kollegalle, että tekisimme tietoturvaa jatkossa eri tavalla – kaikki tulisi pilvestä. He eivät ostaneet ideaa alkuunkaan.
Jatkoin vakuuttelua, että maailma tulee muuttumaan, ja lisäsin mukaan vielä identiteetit. Vuoden 2017 alussa kaverit uskoivat, että olen oikeilla jäljillä. Löytyi myös rahoittaja, joka lähti mukaan tekemään tulevaisuuden tietoturvaa. Minä, Ensti Kentala ja Petri Rantanen perustimme Secure Cloudin.
Millainen Secure Cloudin alkutaival oli?
Suomalaiset yritykset eivät olleet vielä valmiita pilvitarinaan. Ensimmäiset puolitoista vuotta kiertelimme paljon firmoja, mutta juttujamme pidettiin outoina. Miten niin palomuuria ei tarvita? Todistimme SaaS discoveryn avulla, miten paljon yrityksissä on käytössä SaaS-palveluita, joista tietoturvavastaavilla ei ole tietoa.
Vähitellen firma on kasvanut, ja Miko Lähdesmäki oli meidän ensimmäinen rekrymme. Kukaan meistä, pöydän molemmilla puolilla, ei varsinaisesti tiennyt mitä tuleman pitää, mutta näin jälkikäteen sanottuna osuimme aika hienoon persoonaan, josta ihan kaikki voivat olla ylpeitä. Meillä ei myöskään startup-firmana ollut todellisia mahdollisuuksia palkata tunnettuja huippuammattilaisia, joten valitsimme toisen tien. Se että valitsimme nuoria tekijöitä, sisälsi tietenkin riskejä, mutta myös mahdollisuuksia, ja ainakin itse uskon siihen, että valintamme oli oikea.
Myöhemmin tiimimme on tullut mukaan kokeneempaa porukkaa, sekä myyntiin että asiantuntijarooleihin, mutta yksi isoimmista muutoksista tapahtui kesällä 2019 kun Antti Rajala aloitti meidän toimitusjohtajanamme.
Miten yritysten suhtautuminen Secure Cloudin tarinaan on kehittynyt?
Olen aika usein ollut ensimmäisten joukossa tietoturvaan liittyvissä asioissa. Löysin esimerkiksi CASB-ratkaisut, jotka ovat kehittyneet nykyisiin SASE- ja SSE-ratkaisuihin, RSA-konferenssista San Franciscosta vuonna 2014. Netskope oli siellä pienen siivouskomeron kokoisella ständillä, ja näin 10 vuotta myöhemmin se on yksi johtavista päämiehistä pilvitietoturvan alalla. Esittelyssä kerrottiin, että uusi tietoturva rakentuu pilvestä ja palomuurit voi unohtaa. Tulin intoa puhkuen Suomeen, mutta kukaan ei tajunnut jutuistani mitään moneen vuoteen.
Secure Cloudin tarinaankaan ei alussa uskottu, mutta nyt kaikki ymmärtävät sen, koska ihmiset tekevät töitä muuallakin kuin konttorilla. Korona-aika todisti, että palomuurikeskeinen ajattelu on menneen talven lumia. Olimme aikaamme edellä, mutta nyt maailma on erilainen. Sama tapahtui identiteettipuolella.
Mikä tietoturvan alue kiinnostaa sinua eniten ja miksi?
Olen aina ollut kiinnostunut uusista jutuista. SASE kiinnostaa, koska haluan nähdä, mihin siinä lopulta päädytään.
Toinen kiinnostava palvelu on MDR (Managed Detection and Response), jota voisi kutsua moderniksi SOC-palveluksi (Security Operations Center). Tietoturva-analyytikon homma on vaativaa, koska pitää olla hereillä 24/7, ja verkkorikolliset kehittyvät koko ajan.
Lisäksi uusi iso juttu on proaktiivinen tietoturva. Yleensä toimitaan vasta siinä vaiheessa, kun ransomware on jo sisällä. Eikö olisi parempi, jos seuraisimme signaaleja ja huomaisimme ajoissa, jos joku suunnittelee jotain ikävää?
Olen innoissani, mutta myös kauhuissani, OT-ympäristöjen tietoturvasta. Operatiivisten ympäristöjen, kuten tehtaiden, sähkölaitosten, vesilaitosten, tuuli- ja aurinkovoimaloiden, tietoturva on heikolla tasolla. Vahingot ovat aivan eri skaalassa kuin IT-puolella. Esimerkiksi itäinen naapurimme on osoittanut voivansa tehdä hyvin ikäviä, kaikkia koskettavia, OT-puolen kyberhyökkäyksiä sinne minne haluaa. Ukrainassa on kaadettu sähköverkkoja, tai kaupunkien lämpö-, vesi-, tai valaistustoteutuksia. Tämä on huomattavasti suurempi uhka kuin tyypillinen kiristysohjelmahyökkäys. Myös kyberrikolliset ovat löytäneet OT-maailman haavoittuvuudet, ja he entistä useammin hyökkäävät sinne, koska siellä on myös paljon rahaa. Toivoisin, että koko tietoturvayhteisö reagoisi tähän huomattavasti tehokkaammin. IT- ja OT-ympäristöjen tietoturvan yhteistyöllä olisi tässä suuri merkitys.
Miten tietoturvakenttä on kehittynyt urasi aikana?
Ennen tietoturvaa tehtiin minimibudjetilla, mutta nykyään se otetaan tosissaan. Kiristysohjelmat tekivät sen, että tietoturvaan on alettu panostamaan. Regulaatioita ei saa unohtaa, koska ilman niitä asioita ei tapahdu. Suosittelen tekemään minimissään NIS2:n vaatimat asiat, vaikka ei olisi sen alaisuudessa. Se ei ole mikään ihmejuttu. Ensi vuonna rahoituspuolelle tuleva DORA on paljon vaativampi.
Mitkä ovat yritysten suurimmat tietoturvahaasteet tänä päivänä?
Haastetta on muuttuneen maailman ymmärtämisessä. Moni on edelleen palomuurikeskeinen, eikä ymmärrä, ettei se suojaa SaaS-palveluita. Liiketoimintayksiköt ottavat SaaS-palveluita itsenäisesti käyttöön ja usein SaaS discoveryssa paljastuu, ettei niistä tiedetä.
Yksi menestystarinoistamme on M365-sähköpostin koventaminen. Sähköpostihan on absoluuttisesti suurin uhkakanava, joka kannattaa tukkia. Meillä on siihen superratkaisu, joka ei ole edes kallis.
Myös haavoittuvuuksien hallinta on haastavaa monille suomalaisille yrityksille. Se pitää tehdä fiksusti ja nopeasti. Ramsomware-porukat ja muut hyödyntävät julkistettuja haavoja tunneissa.
Mitä tavoitteita sinulla on tulevaisuudessa?
Työnkuvallisesti olen siellä missä haluankin – neuvonantaja ja luottopeluri yritysten C-tasolle ja director-tasolle. Sanotaan, että Suomessa on kaksi ”Tietoturva-Mikkoa”. Toinen on se tunnetumpi, ja toinen on tämä Tammiruusu. Olen tietysti pitkään tehnyt ja ollut kovissa paikoissa.
Olen hivenen pettynyt siihen, missä Secure Cloud nyt on. Uskoin huomattavasti nopeampaan menestykseen. Mutta uskon edelleen, että voimme saada yrityksemme nopeampaan lentoon Meillä on siihen kaikki mahdollisuudet. Meidän tarinamme on oikea, ja uskon myös siihen, että markkinat ovat nyt samaa mieltä siitä.
Mitä teet vapaa-ajallasi?
Minulla on kaksi pääharrastusta. Olen hyvin innokas ruuanlaittaja ja vastapainoksi hyvin innokas pyöräilijä. Pyöräilen sekä maastopyörällä että maantiepyörällä, ja nykyään minulla on myös sähköpyörä. Kesällä olin sekä Itävallassa että Italiassa vuoristossa pyöräilemässä. Se oli aivan mahtavaa. Alpit, kuten myös Suomen Lappi, ovat paljon hienompia kesällä ja syksyllä kuin talvella.
Mitä neuvoja antaisit uraa tietoturva-alalla harkitseville?
Alaa kannattaa harkita. Työ on siisti sisätyö, työpaikka varma ja palkka kohtuullisen hyvä. Ihmettelen, miksei ala vedä. Meillähän on miljoonien ihmisten vaje globaalisti. Toki työ on vaativaa ja pitää olla hereillä koko ajan. Minäkin liki kuusikymppisenä koulutan itseäni jatkuvasti. Ihmettelen myös kovasti, miksi tietoturva-alalla ei ole naisia. Siihen ei pitäisi olla mitään syytä. Rohkaisisin nuorempaa sukupolvea katsomaan tämän kyberturvakortin.
