{"id":343642,"date":"2020-06-16T09:58:14","date_gmt":"2020-06-16T08:58:14","guid":{"rendered":"https:\/\/pulse.microsoft.com\/?p=343642"},"modified":"2020-06-16T09:58:15","modified_gmt":"2020-06-16T08:58:15","slug":"fa2-etana-kaikkea-kohti-kyberresilienssia","status":"publish","type":"post","link":"https:\/\/pulse.microsoft.com\/fi-fi\/work-productivity-fi-fi\/na\/fa2-etana-kaikkea-kohti-kyberresilienssia\/","title":{"rendered":"“Et\u00e4n\u00e4 kaikkea” – kohti kyberresilienssi\u00e4\u00a0"},"content":{"rendered":"

Olemme el\u00e4neet et\u00e4ty\u00f6aikaa jo\u00a0<\/span>melkein kolme<\/span>\u00a0kuukautta. Omien havaintojeni ja asiakkaiden suunnalta kuultuna alkuh\u00e4ss\u00e4k\u00e4st\u00e4 on toivuttu ja pikkuhiljaa siirrytty “uuteen normaaliin”. Projektit jatkuvat ja monet normaalin ajan tekemiset hakevat uutta tapaa tilanteessa, jossa olemme kaikki erill\u00e4mme. Organisaatiot mukautuvat uusiin tapoihin tehd\u00e4 asioita samalla opetellen jopa kokonaan uusien ty\u00f6v\u00e4lineiden k\u00e4ytt\u00f6\u00e4 ja hallintaa.<\/span>\u00a0N\u00e4m\u00e4\u00a0<\/span>opitut tavat j\u00e4\u00e4v\u00e4t varmasti osaksi my\u00f6s tulevaa ty\u00f6n tekemist\u00e4 kun alamme\u00a0<\/span>pikkuhiljaa palautumaan kohti\u00a0<\/span>\u201duutta\u201d tai \u201dhybridi\u00e4\u201d normaalia.<\/span>\u00a0<\/span><\/p>\n

Kriisi luo mahdollisuuden oppia<\/h2>\n

Kirjoitin maaliskuun puoliv\u00e4liss\u00e4 VPN-yhteyksien kapasiteettihaasteista ja ratkaisuista niihin, kuten tietoliikenteen optimoinnista. T\u00e4m\u00e4 uusi “et\u00e4n\u00e4 kaikkea” -tilanne yll\u00e4tti monet organisaatiot paljastaen ongelmakohtia, joihin ei ehk\u00e4 oltu varauduttu riitt\u00e4vill\u00e4 toimenpiteill\u00e4.<\/span><\/p>\n

Tietoturvallisuus m\u00e4\u00e4ritell\u00e4\u00e4n yleens\u00e4 CIA-kolmion avulla (C=Confidentiality, I=Integrity, A=Availability). Tietojen tulee siis olla riitt\u00e4v\u00e4ll\u00e4 tavalla suojattu (luottamuksellisuus), niiden tulee olle muuttumattomia (eheys) ja niiden tulee olla saatavilla silloin kun niit\u00e4 tarvitaan (saavutettavuus). Viime vuosikymmenten teknologinen kehitys on johtanut siihen, ett\u00e4 n\u00e4ist\u00e4 viimeinen (A) on j\u00e4\u00e4nyt monesti liian v\u00e4h\u00e4lle huomiolle ja se on muuttunut ik\u00e4\u00e4n kuin itsest\u00e4\u00e4nselvyydeksi. Huomio on keskittynyt p\u00e4\u00e4osin salausteknologioiden riitt\u00e4vyyteen, jotka taas osaltaan tarjoavat samalla my\u00f6s eheyden (C ja I). “Et\u00e4n\u00e4 kaikkea” -tilanteen alkaessa k\u00e4vikin, ett\u00e4 tiedot ja palvelut eiv\u00e4t olleetkaan k\u00e4ytett\u00e4viss\u00e4 tai niihin kaikkiin ei p\u00e4\u00e4sty k\u00e4siksi esim. et\u00e4t\u00f6ihin siirrytt\u00e4ess\u00e4. Tiedot olivat kyll\u00e4 varmassa tallessa salattuina ja ehein\u00e4, mutta niit\u00e4 ei p\u00e4\u00e4ssyt k\u00e4ytt\u00e4m\u00e4\u00e4n kun saavutettavuus petti.<\/span>\u00a0<\/span><\/p>\n

Varmaa on, ett\u00e4 jotain joskus sattuu. Kyse on siit\u00e4, miten organisaatio on erilaisiin tilanteisiin varautunut.<\/span><\/p><\/blockquote>\n

Jokainen kriisi on mahdollisuus, sanoi joku viisas joskus ja v\u00e4it\u00e4n, ett\u00e4 t\u00e4ss\u00e4 meill\u00e4 on loistava tilaisuus oppia. “Perimeter Security”:st\u00e4 on p\u00e4\u00e4st\u00e4v\u00e4 eteenp\u00e4in muuttuneessa maailmassa, ja kehotan miettim\u00e4\u00e4n tieto- ja kyberturvallisuutta tilan sijasta prosessina. Kutsun t\u00e4t\u00e4 prosessia kyberresilienssiksi. Isommassa kuvassa pit\u00e4isi oikeastaan puhua operatiivisesta resilienssist\u00e4, tai suomeksi sietokyvyst\u00e4.<\/span>\u00a0<\/span><\/p>\n

Varmaa on, ett\u00e4 jotain joskus sattuu. Oli se sitten tietomurto, haittaohjelmaepidemia, palvelunestohy\u00f6kk\u00e4ys tai globaali pandemia. Kyse on siit\u00e4, miten organisaatio on erilaisiin tilanteisiin varautunut, miten se pystyy tilanteet havainnoimaan ja miten se kykenee niist\u00e4 toipumaan. Kyberasiantuntijat ovat jo vuosia puhuneet “Assume breach” -asenteesta ja “Zero Trust” -arkkitehtuurista. N\u00e4iss\u00e4 molemmissa on kyse varautumisesta ennalta odottamattomaan, havaitsemaan se ja\u00a0<\/span>rakentamaan riitt\u00e4v\u00e4\u00e4<\/span>\u00a0kybersietokyky\u00e4 n\u00e4ist\u00e4 tilanteista toipumiseksi.<\/span>\u00a0<\/span><\/p>\n

Kolme ensiaskelta sietokykyiseen kyberturvallisuuteen<\/span>\u00a0<\/span><\/h2>\n

1. Zero Trust -l\u00e4hestyminen kaikkeen\u00a0<\/strong><\/p>\n

Zero Trust -arkkitehtuuri<\/span>\u00a0on edellytys t\u00e4m\u00e4n p\u00e4iv\u00e4n kyberuhkilta suojautumiseksi ja kybersietokyvyn saavuttamiseksi. T\u00e4m\u00e4 kokonaisuus on liian iso t\u00e4ss\u00e4 k\u00e4sitelt\u00e4v\u00e4ksi, mutta kantavana ajatuksena on suhtautuminen kaikkeen\u00a0<\/span>l\u00e4ht\u00f6kohtaisesti<\/span>\u00a0ep\u00e4luotettava<\/span>n<\/span>a. Perimeter Securityst\u00e4 kohti kehittyneemp\u00e4\u00e4 kyberturvallisuutta -aihepiiriin liittyy konsepteja kuten monivaiheinen tunnistaminen (MFA<\/span>)<\/span>, ehdollinen p\u00e4\u00e4synhallinta (Conditional Access), jne.\u00a0<\/span>\u00a0<\/span><\/p>\n

2. P\u00e4ivitykset\u00a0<\/strong><\/p>\n

T\u00e4t\u00e4 asiaa on toitotettu jo pari vuosikymment\u00e4, mutta minua h\u00e4mm\u00e4stytt\u00e4\u00e4 yh\u00e4 edelleen, miten helposti organisaatiot t\u00e4st\u00e4 asiasta luistavat. Koronaepidemia on jopa saanut aikaan sen, ett\u00e4 p\u00e4ivitysten asentamista lyk\u00e4t\u00e4\u00e4n tai se on mahdotonta (koska perimeter security ja et\u00e4ty\u00f6 est\u00e4v\u00e4t fyysisen paikalle p\u00e4\u00e4syn eik\u00e4 menetelmi\u00e4 p\u00e4ivitystenhallintaan ilman fyysist\u00e4 paikallaoloa ole mietitty saati toteutettu). T\u00e4m\u00e4 on yksinkertaisesti liian suuri riski otettavaksi.<\/span>\u00a0<\/span><\/p>\n

3. Tietoisuus ja kulttuuri\u00a0<\/strong><\/p>\n

Meit\u00e4 ihmisi\u00e4 ei sovi unohtaa. Usein (ja valitettavasti) se heikoin lenkki l\u00f6ytyy n\u00e4pp\u00e4imist\u00f6n t\u00e4lt\u00e4 puolen ja t\u00e4st\u00e4 toimii hyv\u00e4n\u00e4 esimerkkin\u00e4 tietojenkalastelun viime vuosien r\u00e4j\u00e4hdysm\u00e4inen lis\u00e4\u00e4ntyminen. Organisaatioiden henkil\u00f6st\u00f6n kybervalveutuneisuuteen pit\u00e4\u00e4 nyt jos koskaan panostaa, luoda selke\u00e4t ohjeistukset sek\u00e4 rakentaa mekanismit ep\u00e4ilytt\u00e4v\u00e4n toiminnan raportoimiseksi. Et\u00e4ty\u00f6olosuhteet eiv\u00e4t suinkaan v\u00e4henn\u00e4 t\u00e4t\u00e4 tarvetta vaan p\u00e4invastoin korostavat sen merkityst\u00e4 enemm\u00e4n kuin ennen.<\/span>\u00a0<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Olemme el\u00e4neet et\u00e4ty\u00f6aikaa jo\u00a0melkein kolme\u00a0kuukautta. Omien havaintojeni ja asiakkaiden suunnalta kuultuna alkuh\u00e4ss\u00e4k\u00e4st\u00e4 on toivuttu ja pikkuhiljaa siirrytty “uuteen normaaliin”. Projektit jatkuvat ja monet normaalin ajan tekemiset hakevat uutta tapaa tilanteessa, jossa olemme kaikki erill\u00e4mme. Organisaatiot mukautuvat uusiin tapoihin tehd\u00e4 asioita samalla opetellen jopa kokonaan uusien ty\u00f6v\u00e4lineiden k\u00e4ytt\u00f6\u00e4 ja hallintaa.\u00a0N\u00e4m\u00e4\u00a0opitut tavat j\u00e4\u00e4v\u00e4t varmasti osaksi my\u00f6s tulevaa […]<\/p>\n","protected":false},"author":60,"featured_media":343699,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"class_list":["post-343642","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","specials-work-productivity-fi-fi","stories-how-can-i-work-secure-fi-fi","stories-working-secure-fi-fi","businessPriorities-modern-workplace-fi-fi"],"_links":{"self":[{"href":"https:\/\/pulse.microsoft.com\/fi-fi\/wp-json\/wp\/v2\/posts\/343642"}],"collection":[{"href":"https:\/\/pulse.microsoft.com\/fi-fi\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pulse.microsoft.com\/fi-fi\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pulse.microsoft.com\/fi-fi\/wp-json\/wp\/v2\/users\/60"}],"replies":[{"embeddable":true,"href":"https:\/\/pulse.microsoft.com\/fi-fi\/wp-json\/wp\/v2\/comments?post=343642"}],"version-history":[{"count":7,"href":"https:\/\/pulse.microsoft.com\/fi-fi\/wp-json\/wp\/v2\/posts\/343642\/revisions"}],"predecessor-version":[{"id":344389,"href":"https:\/\/pulse.microsoft.com\/fi-fi\/wp-json\/wp\/v2\/posts\/343642\/revisions\/344389"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/pulse.microsoft.com\/fi-fi\/wp-json\/wp\/v2\/media\/343699"}],"wp:attachment":[{"href":"https:\/\/pulse.microsoft.com\/fi-fi\/wp-json\/wp\/v2\/media?parent=343642"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pulse.microsoft.com\/fi-fi\/wp-json\/wp\/v2\/categories?post=343642"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}