Merkittävimmät tietoturvauhat laitettiin järjestykseen – katsaus Tietoturvan vuosi 2017 -raporttiin

Viestintäviraston Kyberturvallisuuskeskuksen Tietoturvan vuosi 2017 -raportti  julkaistiin aiemmin tänä vuonna. Kuten edellissäkin raportissa, siinä kerrattaan viime vuoden merkittävimmät tapahtumat, trendit ja uhat tietoturvallisuuden saralla. Tässä blogiartikkelissa tarkastelemme raportissa esitettyä listausta tietoturvauhista yritysten näkökulmasta.

TOP5-tietoturvauhat – päivitysten laiminlyönti edelleen ykkönen

Merkittävimmät yritysten ja kuluttajien tietoturvauhat ovat Kyberturvallisuuskeskuksen raportin perusteella pysyneet melko samansuuntaisina kuin edellisessäkin katsauksessa. Tässä kohtaa yritysten näkökulmasta kannattaa kuitenkin jälleen kerran kiinnittää huomiota erityisesti siihen, että organisaatioiden osalta TOP5-listan kärjessä keikkuu edelleen päivitysten laiminlyönti.

On selvää, että päivittämättömät päätelaitteet muodostavat merkittävän riskin missä tahansa organisaatiossa. Kuten Kyberturvallisuuskeskuksen raportissa todetaan: ”Laitteita kaapataan resursseiksi rikolliseen käyttöön, ja niiden avulla tunkeudutaan syvälle organisaatioiden järjestelmiin.”

Tietoturvan vuosi 2017 -raportin listauksesta käy hyvin ilmi edellisvuonna havaitut merkittävät tietoturvauhat (ja toisaalta ratkaisut niihin).

Miksi sovellukset jäävät päivittämättä?

Päivitysten päivittämättä jättäminen saattaa ehkä kuulostaa hullulta, mutta varsin totta ja ikävän arkipäiväistä se silti on. Syy päivitysten laiminlyönnille onkin harvoin siinä, että päivitysten merkitystä väheksyttäisiin sinänsä, vaan yksinkertaisesti kiire ja rajalliset resurssit ajavat työntekijöitä ja sitä kautta kokonaisia yrityksiä tekemään kompromisseja tietoturvan ja ajankäytön ristinpaineessa. Kun kolmannen osapuolten pikkusovellukset (Adobe Flash, Adobe Reader, Java, Firefox jne.) vielä tuuttaavat päivityksiään työasemille harva se päivä, alkaa tuottava työnteko aidosti kärsiä. Jos töiden deadline painaa päälle ja jokin pikkusovellus alkaa juuri siinä hetkessä vaatia päivittämisprosessin aloittamista, eivät tietoturvauhat paina deadlinen rinnalla juuri mitään.

Syitä on varmasti monia, mutta raportistakin ilmenevä tosiasia on silti se, että päivitysten laiminlyönti on yksi suurimmista tietoturvauhista yrityksille. Tämän vuoksi päivitykset on vain kerta kaikkiaan saatava ajettua päätelaitteille mahdollisimman nopeasti niiden julkaisun jälkeen. Käyttökelpoinen apu tässä on Centero Software Manager, joka tarjoaa kätevän työkalun nimenomaan näiden alati päivittyvien ns. pikkusovellusten automaattiseen ja keskitettyyn päivittämiseen. Jos tällainen ratkaisu kiinnostaa enemmän kuin työpäivien kuluttaminen päivitysikkunoiden namiskojen naksuttelemiseen, kannattaa suunnata lukemaan lisää osoitteesta csm.fi.

Sovelluspäivitysten hallintaan liittyen on myös mielenkiintoista, että Tietoturvan vuosi 2017 -raportissa uumoillaan nimenomaan väärennettyjen ohjelmistopäivitysten lisääntyvän tulevaisuudessa haittaohjelmien levitystapana. Tämäkin viittaa siihen suuntaan, että ohjelmistopäivitykset on jatkossa yhä järkevämpää ajaa päätelaitteille keskitetysti, hallitusti ja valvotusti ja siten viedä vastuuta pois loppukäyttäjältä.

Muut tietoturvauhat

Päivitysten laiminlyönti on yritysten tietoturvauhista puhuttaessa siis edelleen se merkittävin. Toisaalta se on myös helposti korjattavissa, mistä syystä mielellämme paasaammekin aiheesta aina kun mahdollisuus tulee – kuten nyt tässä blogissa. Kaikesta huolimatta on varmasti selvää, että päivitysten laiminlyönti ei suinkaan ole se ainoa tietoturvauhka, joka yrityksiä vaanii.

Tietoturvan vuosi 2017 -raportissa listatut seuraavaksi merkittävimmät (sijat 2–5) tietoturvauhat yrityksille ja organisaatioille ovat kiristyshaittaohjelmat, huijausviestit ja tietojen kalastelut, ulkoistusten ja laitehankintojen hallinta ja hyökkäyksillä uhkaaminen. Voisikin sanoa, että IT-ympäristöstä löytyy tietoturvan näkökulmasta hyvin erilaisia riskejä ja heikkouksia. Tietoturvauhka voi konkretisoitua yhtä lailla järjestelmäviasta kuin ns. inhimillisestä virheestä. Tärkeää tässä kohtaa on kuitenkin huomioida erityisesti nämä merkittävimmät tietoturvauhat ja kartoittaa niiden näkökulmasta oman tietoturvan taso. Sitä kautta mahdolliset tietoturva-aukot saadaan tukittua ennen kuin kukaan pitkäkyntinen ehtii ensin.

Hyödynnä ilmainen tietoturvan pika-analyysi

Kyberturvallisuuskeskuksen raportin lukeminen saattaa olla ahdistavaa luettavaa, jos varmuutta omien järjestelmien ja IT-ympäristön tietoturvallisuudesta ei ole. Ratkaisu tämän ahdistuksen blokkaamiseen ei ole kuitenkaan silmien ummistaminen, vaan rehti tilanteen perinpohjainen selvittäminen.

Matalan kynnyksen starttina tähän kannattaa tsekata tarjoamamme ilmainen tietoturvan pika-analyysi, jossa vastaat jokuseen nopeaan kysymykseen ja vastaustesi perusteella me muodostamme suuntaa-antavan analyysin tietoturvanne tasosta ja tilasta. Sitä kautta potentiaaliset tietoturvauhat pystytään alustavasti kartoittamaan ja siten tulee otettua vähintäänkin se ensimmäinen askel matkalla kohti parempaa tietoturvan tasoa. Pika-analyysin tehdäksesi sinun ei tarvitse olla organisaatiosi IT-vastaava – analyysi on tarkoitettu ihan kaikille työtehtävää tai titteliä katsomatta.

Tilaa ilmainen tietoturvan pika-analyysi »

Laske säästösi

Automatisoi sovelluspäivitykset ja lopeta pikkusoftien kanssa painiminen. Centero Software Manager säästää aikaa, rahaa ja hermojasi.

« Edellinen artikkeli: Tero Anttila TietoAkselilta kirjoittaa sähköpostin tietoturvasta
» Seuraava artikkeli: Miten FINCSC-kyberturvallisuussertifikaatti auttaa GDPR:n kanssa?