Monissa organisaatioissa järjestelmäkenttä on vuosien saatossa muodostunut monimutkaiseksi kokonaisuudeksi, joka pitää sisällään erilaisia ja eri tarpeeseen hankittuja työkaluja. Useimpien järjestelmien välille on myös rakennettu integraatioita – väyliä, joiden avulla tieto saadaan järjestelmien välillä liikkumaan. Uusien sovellusten käyttöönotto on entistä helpompaa, ja eri järjestelmien integrointi onnistuu helposti kokemattomammaltakin käyttäjältä käden käänteessä. Helppokäyttöisyys sujuvoittaa työn tekemistä, mutta voi huomaamattaan luoda myös riskejä liiketoiminnalle.
Järjestelmien kertyessä ymmärrys siitä, mitä ja millaisia työkaluja käytössä on, voi hämärtyä. Kun kokonaisnäkemystä ei ole, voi järjestelmien ylläpitovastuu jäädä epäselväksi. Tällöin näkymä siihen, mitä tietoja organisaation järjestelmistä näkyy ulospäin, jää helposti hämärän peittoon. Ja tätä tietoturvahyökkääjät käyttävät taitavasti hyväkseen.
Koronapandemia synnytti tietoturvavelkaa
Järjestelmien web-sovellukset, eli verkkoselaimella käytettävät käyttöliittymät, ovat mahdollistaneet etätyöskentelyn jo pitkään, ja viimeistään koronapandemia sysäsi viimeisetkin tietotyöntekijät kotikonttoreille. Pandemia pakotti organisaatiot tarttumaan ripeästi toimeen ja toteuttamaan väliaikaiseksi tarkoitettuja ratkaisuja varmistaakseen työntekijöiden pääsyn organisaation sisäverkkoon ja työssä tarvittaviin järjestelmiin. Nopeiden ratkaisujen toteuttaminen tarkoitti valitettavasti myös kompromisseja tietoturvan suhteen.
Kun organisaatiot joutuivat laajentamaan verkon käyttöä ja tarjoamaan etätyöntekijöille pääsyn organisaation tietoihin omilla laitteillaan tai turvaamattomista verkoista, avautui hyökkääjille samalla uusia mahdollisuuksia tunkeutua organisaation järjestelmiin. Mikäli asianmukaista salausta tai muita suojaustoimenpiteitä ei ollut käytössä, kasvoi tietoturvahyökkäyksen riski merkittävästi.
Haavoittuvuudet haastavat tietoturvaa
Tietoturvahyökkäyksiä tapahtuu jatkuvasti, ja hakkereiden monet keinot ja saatavilla oleva data tekevät työstä helppoa. Monet hyökkäyksistä ovat automatisoituja ja erittäin järjestelmällistä toimintaa.
Kyberrikolliset hyödyntävät työssään avoimia hyökkäysrajapintoja ja sokeita pisteitä: hyökkäysrajapinta tarkoittaa esimerkiksi mitä tahansa järjestelmää tai sovellusta, johon on pääsy julkisen verkon kautta – vaikkapa sieltä laiturin nokasta. Sokeat pisteet taas ovat virheitä, jotka syntyvät esimerkiksi silloin, kun järjestelmäpäivitys jää tekemättä, salasana on määritelty liian helpoksi tai varmuuskopiointi on jäänyt kesken. Erityisen alttiita hyökkäyksille ovat vanhentuneet ohjelmistot tai järjestelmät, joiden määrittelyssä tai asennuksessa on tapahtunut virheitä. Myös huonosti määritellyt käyttöoikeudet ja heikot salasanakäytännöt altistavat tietoturvaongelmille. Sokeat pisteet syntyvät siis usein inhimillisistä virheistä, haastavaksi asian tekee se, että ne jäävät salakavalasti ”näkymättömiksi” taustalle.
Oli kyseessä mikä järjestelmä tahansa, vaatii se säännöllistä ylläpitoa ja päivityksiä. Päivityksillä järjestelmään tuodaan sekä uusia toiminnallisuuksia, että korjataan myös mahdollisia virheitä ja mikä tärkeintä, tietoturvahaavoittuvuuksia.
Vismalla isoveli valvoo keskitetysti
Visma on yksi tietoturvan globaaleja edelläkävijöitä. Kaiken liiketoiminnan ytimessä toimii tietoturvayksikkö, jonka tarkoituksena on tehdä tietoturva kaikille Visma-yhtiöille helpoksi.
Yksi tiimeistä toteuttaa hyökkäävää tietoturvaa, eli tarkastelee yrityksen tietoturvaa hyökkääjän silmin. Tiimi etsii järjestelmistä sokeita pisteitä ja haavoittuvuuksia, tavoitteenaan murtautua suojaamattomiin verkkoihin. Hakkereiden kohteena on tyypillisesti data, ja tiimi etsii keinoja, joita hyökkääjät todennäköisesti hyödyntäisivät. Varsinaista hyökkäystä ei toteuteta, mutta mikäli tiimi saa riittävää näyttöä mahdollisesta tietojen vaarantumisen uhasta, raportoidaan tämä välittömästi eteenpäin.
Visman hyökkäävän tietoturvan tiimi koostuu joukosta poikkeuksellisia asiantuntijoita, joille tietoturva ei ole vain työtä, vaan myös harrastus. Monet tiimin asiantuntijoista ovat myös pitkän linjan ohjelmistokehityksen konkareita. Vastaavia teknisiä asiantuntijoita on alalla melko vähän, sillä tehtävä itsessään on vaativa. Osaamistaan on kehitettävä jatkuvasti, sillä ala muuttuu nopeasti. Ollakseen askeleen kyberrikollisten edellä vaaditaan monipuolisia teknisiä erityistaitoja ja kykyä ”Out of the box” ajatteluun. Tehtävään ei voi suoraan kouluttautua, vaan työ vaatii sisäänrakennettua mielenkiintoa tietoturvaa kohtaan ja motivaatiota kehittyä jatkuvasti.
Monipuolisesta osaamisesta kertoo myös se, että tiimi on itse kehittänyt ratkaisun, jonka avulla yli sadan Visma-yhtiön tietoturvasta huolehditaan. Konserni, joka kasvaa yli 40 yritysoston vuosivauhtia, tarvitsee tietoturva-arviointiin luotettavan ja tehokkaan työkalun. Kun tällaista ei markkinoilta löytynyt valmiina, lähti tiimi itse kehittämään järjestelmää. Nyt kahden vuoden kehitystyön jälkeen, tämä uraauurtava työkalu on valmis ja tiimin kehittämä mittaristo tietoturvauhkien raportoimiseksi on käytössä yli sadalla Visma-yhtiöllä.
Yhteisellä asialla
Tiimiläisiä ajaa vilpitön halu parantaa tietoturvaosaamista ja – tietoisuutta globaalisti. Vaikka ensisijainen tavoite on turvata oman organisaation liiketoiminta, julkaisee tiimi kehittämiään ratkaisuja avoimena koodina myös muille. Kyberrikolliset eivät lepää ja tietoturva-aukkojen tilkkiminen laajalla rintamalla on kaikkien etu.
Visman asiantuntijat toimivat osana kansainvälistä verkostoa ja raportoivat huomioitaan tarvittaessa myös laajemmin. Vuonna 2022 he tekivätkin kolmannen osapuolen järjestelmästä vakavan löydöksen, jota koordinoitiin yhdessä pohjoismaisen kyberturvakeskuksen kanssa. Löydöksen teki merkittäväksi se, että kyseinen sovellus on käytössä useilla yrityksillä ympäri maailmaa, ja lähes jokaisella työntekijällä. Protokollan mukaan löydöksen voi julkaista vasta, kun löydöksestä on tiedotettu asianomaista ja heille on annettu mahdollisuus korjata asia. Tuona aikana kyseisen haavoittuvuuden osalta turvassa olivat varmasti vain Visman asiakkaat.
Visma tukee suomalaisten organisaatioiden digitalisaatiota kehittämällä niille liiketoimintakriittisiä ohjelmistoja ja palveluja.