logo-Artboard 3

Päivittäisessä uutistulvassa törmää yhä useammin uutisiin palvelunestohyökkäyksistä ja tietomurroista yrityksiin ympäri maailmaa. Milloin tekijätahona on kansainvälinen rikollisjärjestö, milloin vasta mustaa hattua päähänsä sovittelevat hakkerinalut. Iskujen tekijöiden motivaation lähteet vaihtelevat paljon. Joskus hyökkäykset tehdään puhtaasti huvin vuoksi, kun taas joidenkin hyökkääjien motivaattori on tietty aate. Usein tähtäimessä on kuitenkin raha, tavalla tai toisella. Näitä uutisia lukiessani mietin usein, miten tavallinen yritys voi selviytyä digitaalisella sotatantereella.

Oletko itse koskaan miettinyt, mikä omassa yrityksessäsi voisi olla kiinnostavaa? Monella yrittäjällä tulee ensimmäisenä mieleen juuri oman yrityksen kassavarannot tai jopa yrityksen fyysinen omaisuus. Kuitenkin pk-yrityksen tapauksessa nämä harvoin kiinnostavat esimerkiksi kansainvälisiä rikollisjärjestöjä.

Yhä useammin katse tulisi kääntää yrityksen omiin asiakkaisiin ja miettiä, kuka voisi olla kiinnostunut asiakkaistasi tai heidän asiakkaistaan. Erityyppiset palveluketjuun kohdistuvat hyökkäykset ovat yleistyneet viime vuosien aikana, osittain johtuen toki palveluiden ulkoistamisen yleistymisestä. Mikäli oma asiakkaasi toimii kansainvälisesti näkyvässä roolissa ja yrityksesi on mukana tuottamassa heille tärkeää palvelua, voi hyvinkin olla, että yrityksesi nimi nousee esille myös sellaisissa yhteyksissä, joihin se ei muuten kuuluisi.

Hakkerin työkaluilla hakkerointia vastaan

Tekniikan kehittyessä haavoittuvuuksien löytäminen on tullut entistä helpommaksi. Esimerkkinä hakkereiden suosima hakupalvelu Shodan.io, joka löytää helposti suojaamattomat väylät yrityksen verkkoon, jos kaikki ei ole siellä kunnossa. Tilanne on epäreilu, sillä hyökkääjille riittää yksi haavoittuvuus, kun taas puolustajien pitää saada tukittua kaikki aukot, jotta yrityksen saa pidettyä turvassa.

No, miten tässä viidakossa sitten on mahdollista pysyä turvassa. Toki yrityksen toiminnan siirtäminen syrjäisen metsän keskelle ja kaikkien palveluiden käytön lopettaminen houkuttelee varmasti joskus ainakin kokeneempia yrittäjiä, mutta ei se varsinaisesti ole realistinen vaihtoehto.

Parempi vaihtoehto on seisoa selkä suorassa ja hoitaa oma pelikenttä kuntoon. Onneksi meidän tietoturvan puolesta puhuvien avuksi on tänä päivänä helppo järjestää erilaisia palveluita, jotka auttavat tässä urakassa. Hyvä esimerkki tästä on HackerOne, jonka kautta Vismakin on järjestänyt Bug Bounty-ohjelmia tuotteidemme suojaksi. Tällöin saamme valkohattuisilta hakkereilta apua oman pelikenttämme puhtaana pitämiseen. Oman yrityksen tietotaidon kehittäminen tietoturvan osalta kannattaa myös aina. Alla onkin muutamia vinkkejä, kuinka pysyä ajan tasalla:

  • Seuraa luotettavia uutislähteitä ja toimi heidän ohjeidensa mukaisesti. Hyvä esimerkki tästä on Traficomin Kyberturvallisuuskeskus, joka tiedottaa ajankohtaisista asioista mm. Twitterissä. Suosittelen seuraamaan myös heidän #kybersää-tiedotteitaan, joista saa hyvän kuvan, mitä maailmalla milloinkin tietoturvan osalta tapahtuu.
  • Seuraa, onko yrityksesi sähköpostiosoitteita mukana laajoissa tietovuodoissa. Sen pystyt tarkistamaan HaveIBeenPwned -palvelun kautta.
  • Käytä luotettavia pilvipalveluntarjoajia. Selvitä myös, onko palveluntarjoajasi miettinyt riskiskenaarioitaan vain omasta näkökulmastaan vai ottanut huomioon myös asiakkaansa, mukaan lukien sinun yrityksesi.
  • PS. Suosittelen tsekkaamaan myös Yle Areenasta dokumenttisarjan Docstop: Team Whack – kaikki on hakkeroitavissa. Siinä oikeat valkohattuhakkerit osoittavat käytännön esimerkeillä, kuinka eri asioita voidaan hakkeroida.


    Riku Tarkiainen toimii Visma Solutionsin IT Managerina. Tietoturvasta ja tekniikasta innostuva tiiminvetäjä pitää huolen, että yrityksemme työntekijöillä on käytössään parhaat työkalut ja organisaatiomme pysyy turvassa.