Blogikirjoitus:

Kyberturvallisuuden kerroskakku ja GDPR

Kirjoittanut: Ville Laiho


Turvallisuus ja etenkin kyberturvallisuus on puhuttanut it-alaa jo pidemmän aikaa. Yrityksissä alkaa olla turvallisuutta useammassa kerroksessa, on päätelaitteiden ja palvelimien virus- ja haittaohjelmien torjuntaa, palomuureja, tunkeutumisenestoa ja sähköpostien suodatusta. Näitä kaikkia yhdistää eräänlainen jälkijunassa tuleminen. Pyritään ehkäisemään vahinkoa siinä vaiheessa kun ollaan jo kasvokkain kasvottoman hyökkääjän kanssa.

Teknologia on myös levinnyt lähes kaikille liiketoiminnan alueille, myös niille joilla IT ei perinteisesti ole ollut se vahvin osaamisalue. Oman lisähaasteensa tuo myös kaiken linkittyminen internettiin, eli se paljon puhuttu teollinen internet joka myös lyhenteenä IOT tunnetaan. Entistä suurempi osa yritysten liikevaihdosta kertyy kanavista jotka ovat suoraan kytkettyinä internettiin.

Aiemmin rakennetut tietoturvakerrokset eivät enää yksistään riitä vastaamaan tähän uuteen haasteeseen. Uudessa tilanteessa vaaditaan ennaltaehkäiseviä toimenpiteitä. Tällaisia toimenpiteitä ovat esimerkiksi yritysjärjestelmien haavoittuvaisuuksien tunnistaminen säännöllisen aikataulutuksen avulla. Tästä lisää tekstin loppupuolella.

Eurooppalainen lainsäädäntö uusiutuu

Samaan aikaan myös eurooppalainen lainsäädäntö asettaa uusia sääntöjä, joita yritysten on pakko alkaa noudattaa vuoden 2018 toukokuuhun mennessä.

Tämä uusi EU-tason lainsäädäntö tunnetaan ehkä paremmin lyhenteellä GDPR (General Data Protection Regulation) ulottaa uusia tietoturvakäytäntöjä yrityksiin, sakon uhalla. Tietoturvamateriaalin, kuten esimerkiksi henkilödatan (PII data) joutuminen rikollisten käsiin voi johtaa pahimmillaan miljoonien eurojen sakkoihin. Sakkojakin suurempi uhka mielestäni on maineen menetys, joka internet aikakaudella voi hyvinkin johtaa siihen että viimeinen lähtijä sammuttaa konttorin valot.

GDPR regulaatio nimittäin asettaa yritykselle vastuun tiedottaa asiakkaittaan mikäli henkilötunnisteita sisältävää salaamatonta dataa on varastettu. Aikaa tiedottamiseen on annettu 72 tuntia, käytännössä siis julkisia ripittäytymisharjoituksia päivälehtien ostetuilla etusivuilla on luvassa.

Ennaltaehkäisevät toimenpiteet ovat uusi kyberturvallisuuden kerros

Vaatimukset ovat kovia ja niin ovat sanktiotkin. Asiat on kuitenkin käsiteltävä asioina ja kiertoteitä ei luvassa ole. Yritysjärjestelmien suojaamisessa ennaltaehkäisevät toimenpiteet nousevat uudeksi kyberturvallisuuden kerrokseksi. Tätä taustaa vasten PCP ja F-Secure ovat tuoneet markkinoille uudenlaisen pilvipalvelun, PartnerDetect nimeltään. Palvelun avulla haavoittuvaisuudet yritysjärjestelmissä havaitaan jo ennen kuin pahikset keksivät käyttää aukkoja hyväkseen. Ennaltaehkäisyä tarvitaan. Ensimmäiset asiakkaat ottavat palvelua käyttöön juuri nyt, kannattaa siis ottaa yhteyttä!

GDPR regulaatio ohjaa myös tulevan vuoden kehityshankkeitamme PCP:llä ja tulemme lanseeraamaan useita uusia palveluita vuoden 2017 aikana. Aiomme mm. kryptata kaiken datan lennossa ja tehdä sen vielä siten että nykyisiin palveluihin ei tarvitse edes tehdä muutoksia.

Uusien palveluiden kantavana ajatuksena on tehdä siirtymä vuoden 2018 jälkeiseen, säänneltyyn datamaailmaan helpommaksi. Helppoa siitä ei kuitenkaan tule, sen verran isoista asioista on kyse. Liikkeelle pitääkin lähteä nyt, ensivuonna tähän aikaa alkaa olla todella kiire!