Yritysten tietoturva, osa 1 - Miksei tietoturvaan voi sijoittaa kuten matalaan hiiliriskiin?
Kannattaako startupin maksaa tietoturvasta?
Yritysten tietoturva, osa 5 - Kannattaako startupin maksaa tietoturvasta?
"Rahoitus on katkolla ja lisäarvoa pitäisi tuottaa kokoajan. Miten tässä ehtii mitään tietoturvaa tehdä", ajattelee kenties monikin startup-yrittäjä. Tietoturvan lisääminen tuotteeseen jälkikäteenkään ei onnistu, joten missä vaiheessa startupin kannattaa maksaa tietoturvasta? Tuottaako tietoturva lisäarvoa?
Viisi syytä maksaa tietoturvasta
Vaikka yritys olisikin pieni, se tuottaa rahaa, maksaa laskuja ja sillä voi olla kiinnostavaa tietopääomaa tai asiakastietoa, joista kyberrikolliset tai kilpailijat voivat olla kiinnostuneita. Lisäksi monet hyökkäykset ovat sangen opportunistisia, ja kohteeksi voi joutua helposti. Listasin viisi syytä, miksi startupinkin kannattaa maksaa tietoturvasta.
1. Asiakkaiden vuoksi.
Haluatko asiakkaaksesi isoja yrityksiä? Heidän asiakkaansa, tietoturvasertifiointinsa tai heitä koskeva lainsäädäntö voivat vaatia tiettyä tietoturvatasoa, jolloin sinun yrityksesi on heidän kannaltaan riski. Myös kuluttaja-asiakkaita kiinnostaa tutkitusti sekä tietoturva että tietosuoja.
2. Tulonmenetyksen vuoksi.
Tietomurron selvitys, tuhojen korjaminen, uudelleenasennukset ja viranomaisten kanssa asiointi vievät aikaa, jonka olisi voinut käyttää asiakastyöhön. Tietomurron syyn ja laajuuden selvittäminen maksaa myös siksi, että siinä tarvitaan usein erikoisasiantuntijoiden apua.
3. Maineen vuoksi.
Epäilyttävät käyttöehdot? Outoa dataa näkyvillä palvelussa? Somekeskustelu lähtee helposti laukalle ja kuvakaappauksia kummallisesta käyttökokemuksesta puidaan kohta jo iltapäivälehdissä samalla kuin joukkopako toiseen alkaa. Kaikki julkisuus ei aina ole hyvää julkisuutta.
4. Tietomurron kohteeksi joutuminen voi olla sattuman kauppaa.
Kyberrikolliset etsivät haavoittuvia tietojärjestelmiä kiristyshaittaohjelmien tai muiden kyberhyökkästen kohteeksi esimerkiksi Shodan-hakukoneesta, jolloin paikkaamaton haavoittuvuus käyttöjärjestelmässä tai kolmannen osapuolen kirjastoissa voi olla tietomurron syynä. Kalastelun kohteeksi voi joutua lähes jokainen, joka käyttää sähköpostia.
5. Yrityksen tuottopotentiaalin ja myyntiarvon vuoksi.
Onko tavoitteenasi tuottoisa exit? Jos tuotteesi on täynnä teknistä tietoturvavelkaa ja haavoittuvuuksia, ostajan silmissä se voi näyttää liian kalliilta korjata. Jos startupin tietosuojakin on leväperäisesti hoidettu, ostajaa voi epäilyttää että ongelmia ilmenee myöhemmin kuten Marriott-hotelliketjun tapauksessa: Marriottille selvisi pari vuotta Starwood-hotelliketjun ostamisen jälkeen, että Starwood oli joutunut aiemmin tietomurron kohteeksi. Marriottille jäi vuosien selvittelytyö ja mittavat sakot.
Mihin tietoturvan osa-alueeseen kannattaa panostaa?
Tietoturva on laaja kokonaisuus joka kattaa niin tekniikkaa, prosesseja kuin ihmisten toimintaakin. Mihin tietoturvan osa-alueeseen startupin kannattaa siis ensin investoida? Pitääkö panostaa palomuuriin vai palautumisuunnitelmaan?
Työntekijöiden tietoturvaymmärrykseen ja tietoturvakulttuuriin panostaminen on Matt Shealyn mukaan ensimmäisiä asioita, joita kannattaa tehdä. Tämä käy järkeen, sillä tietoturvasta tietävät työntekijät tunnistavat tietojenkalastelun, sosiaalisen manipuloinnin ja osaavat koodata tietoturvallisesti, jolloin rahaa ei tarvitse käyttää ongelmien korjaamiseen.
Tietoturvaymmärrys kattaa myös tietoturvauhkien ja niihin liittyvän riskin suuruuden arvioimisen. Michael Graham kehottaa miettimään, kuinka paljon rahaa yritys voi voi menettää jos bisnekset tai asiakastietojen tietoturvasta huolehtiminen menee mönkään. Enempää tietoturvasta ei kannata maksaa. Kannattaa olla tarkkana, ettei riskiarvioinnissa sortuisi ajatusvinoumaan. Riskien aliarvioiminen on liiankin helppoa etenkin jos budjetti on pieni eikä tietoturvaongelmista ole omakohtaista kokemusta.
Turvalliset työasemat ja tiedonjakamistavat esimerkiksi pilvipalveluissa, pääsynhallinta ja käyttäjien vahva tunnistaminen tärkeiden tietojen käsittelyn yhteydessä ovat perusta startupin tietoturvalle. Kun järjestelmiä tai työntekijöitä alkaa olla paljon, tietoturvan valvontaa kannattaa kehittää, jotta esimerkiksi oudoista kirjautumisyrityksistä tai poikkeuksellisista tapahtumista palvelimille tulee automaattinen hälytys. Vaikka valvonnan ulkoistaisi, jonkun yrityksestä tulee olla tavoitettavissa ja reagoida hälytyksiin tarvittaessa.
Mikäli yrityksessä tehdään omaa ohjelmistokehitystä, tuotteen tietoturvan kehittämistä ei voi unohtaa. On toki ymmärrettävää, että tietoturva ei ole aivan ykkösasia, jos on vielä epäselvää, lentääkö bisnesidea ollenkaan. Kannattaa kuitenkin huomata että tietoturvan lisääminen ei myöhemmin onnistu helposti: järjestelmän suunnittelu uudelleen voi vaatia tuplatyön. Potentiaalisia sijoittajia tai ostajia ei kiinnosta softa, joka on teknologisesti niin heikko, että se täytyy koodata uudestaan.
Ohjelmistokehityksen tietoturvaa voi lisätä esimerkiksi skannaamalla avoimen lähdekoodin kirjastoja tunnettujen haavoittuvuuksien varalta ja käyttämällä staattisia koodianalysaattoreja bongaamaan haavoittuvuuksia omasta koodista. Molempiin tarkoituksiin on olemassa myös avoimen lähdekoodin työkaluja, jolloin kustannuksia tulee vain omaan kehitysputkeen integroinnista ja tulosten tarkastamisesta. Myös käyttäjätarinoiden kevyt uhkamallinnus, eli pohdinta siitä, mikä voi mennä pieleen ja mitä sille voi tehdä, ennen toteutuksen aloittamista on myös hyödyllinen keino havaita etenkin arkkitehtuuriin ja prosesseihin liittyviä ongelmia ajoissa. Vähintä mitä voi tehdä, on dokumentoida otetut oikopolut ja tunnistetut heikkoudet vaikkei niille voisikaan tehdä nyt mitään: näin tietoturvatasosta voidaan saada realistinen kuva ja kehityskohteisiin voidaan tarttua myöhemmin.
Lähdekoodin, oman tietopääoman ja kehitysympäristöjen turvaaminen on myös tärkeää. Lisäarvon tuottaminen takkuaa, jos buildipalvelimelle on tehty tietomurto, pilviresursseja käytetään kryptovaluutan louhimiseen tai bisnessuunnitelmat ovat vahingossa julkisessa jakelussa.
Kuka vastaa tietoturvasta muutaman hengen yrityksessä?
Startupeissa voi olla vain muutama työntekijä, joten päätoimisen tietoturva-asiantuntijan palkkaaminen tuskin tulee kysymykseen - paitsi jos kyseessä on tietoturva-alan yritys. Muutkin yrityksen roolit, kuten talous, riskienhallinta, myynti tai markkinointi, ovat todennäköisesti jonkin henkilön osa-aikaisia hattuja ja näin kannattaa menetellä tietoturvankin kanssa. Tarah Wheeler antaa artikkelissaan esimerkin kymmenen henkilön yrityksestä, joista yksi työntekijöistä huolehtii IT:stä ja neljäsosa siitä on tietoturvaa. Tällaisen murto-osaroolin toteutumisesta on tärkeää pitää kiinni, tai muuten tietoturvaa ei hoida kukaan.
Wheelerin mukaan tietoturvariskien hallinnan voi sisällyttää yritystoiminnan muuta riskienhallintaa hoitavalle taholle. Toki riskien arvioimisessa kannattaa hyödyntää muidenkin työntekijöiden osaamista.
Alkuvaiheessa on hyödyllistä että yrityksellä on käytettävissään tietoturvageneralisti, joka ymmärtää niin yrityksen käyttämien teknologioiden ja palveluiden suojaamisesta, päätelaiteturvallisuudesta, yrityksen uhkakentästä kuin hallinnollisesta tietoturvastakin. Erityisosaamista, kuten esimerkiksi tietoturvavalvontaa ja tietoturvatestaamista kannattaa ulkoistaa ja vasta firman kasvaessa harkita oman tietoturvaosaamisen rekrytoimista. Vastuuta ei tosin voi ulkoistaa - yrityksen johto on viime kädessä vastuussa myös tietoturvaongelmien seurauksista.
Tämä blogi on osa yritysten tietoturvaa ja tietoturvatietoisuutta käsittelevää blogisarjaa. Sarjan edellisessä osassa käsiteltiin kyberhyökkäyksiltä suojautumista ja suojausten testaamista. Löydät kaikki osat linkeistä alla.