tietoturva-II.jpg
Blogi

Blogi: Tietoturvaa on parannettava jatkuvasti

5 lokakuuta 2021

Tietoturva ei ole koskaan projekti. Yksittäisten kvanttihyppyjen sijaan tietoturvaa on syytä parantaa jatkuvasti. Jokainen tietoturvan kerros on tärkeä kokonaisuuden kannalta.

Organisaation tietoturva rakentuu erilaisten tietoturvakerrosten kokonaisuudesta. Tietoturvakerroksiin kuuluvat muun muassa käytössä olevat ohjelmistot, järjestelmään tunnistautuminen sekä palvelinympäristö verkkoineen ja ohjelmistoineen. Yksi keskeisimmistä tietoturvakerroksista on järjestelmän käyttäjä, siis ihminen erilaisine profiileineen ja oikeuksineen.

Kerroksien heikoin lenkki määrittelee tietoturvan tason. Siksi kaikkien kerrosten on oltava tarkkailun, testauksen ja kehityksen alla jatkuvasti. Yksittäisten tietoturvaprojektien sijaan tietoturvan kehittäminen on jatkuva prosessi, jonka on oltava keskeinen osa jokaisen organisaation toimintaa ja johtamisjärjestelmää.

Hyvässä ohjelmistossa tietoturva on keskeinen osa suunnittelun ja kehitystyön dna:ta. Vastuullinen ohjelmistojen tarjoaja ottaa huomioon kaikki tietoturvan kerrokset. Valveutuneet asiakkaat myös vaativat sitä yhä useammin.

Riskit on minimoitava

Aiemmin tietoturva perustui vahvemmin fyysiseen kerrokseen ja suljettuun tietoverkkoon. Tämä lähestymistapa on ollut tyypillinen teollisuudessa. Se on edelleen tärkeä tietoturvan hallintamuoto, mutta kaikkien tietoturvakerrosten tärkeys korostuu nykyisessä tietoturva-ajattelussa.

Nykytrendin mukaan järjestelmät siirtyvät yhä enemmän julkisempiin ja avoimempiin pilvipalveluihin. Näin tiedot ja ohjelmistot ovat käyttäjien saavutettavissa mistä päin maailmaa ja mihin kellonaikaan tahansa.

Suomen huoltovarmuuden kannalta tärkeät järjestelmät ja esimerkiksi rahoituslaitosten ohjelmistot ovat olleet hyvin suojattuja jo pitkään. Vastuullinen palveluntarjoaja ottaa tietoturvan huomioon kaikkien asiakkaidensa kanssa etupainotteisesti. Siksi mekin korostamme Vitec ALMAssa tietoturvan merkitystä jatkuvasti erilaisissa asiakasprojekteissamme. Riskit on minimoitava heti alusta alkaen.

Tietoturva on kaikkien asia

Tietoturvan kannalta on tärkeää pitää järjestelmään kirjautuminen turvallisena. Teknisesti siitä huolehtii yleensä asiakkaan ulkoistettu yhteistyökumppani. Oman henkilöstön tietoturvaosaaminen on myös tärkeässä roolissa.

Jos tehtaan portin ulkopuolelta löytyy usb-tikku, jonka avulla hakkeri pääsee sisään yrityksen järjestelmään, niin siinä eivät enää mitkään sormenjälkisuojaukset auta. Monissa yrityksissä järjestetään erilaisia ”security awareness”-teemaan liittyviä tietoturvakoulutuksia. Ne on usein räätälöity eri henkilöstöryhmille, jolloin koulutuksissa voidaan painottaa jokaisen ammattiryhmän työpäivään liittyviä tyypillisiä tietoturva-asioita.
Koulutuksissa tehdään tietojenkalastajien toimintatapoja tutuiksi ja kerrotaan, mistä hakkerit etsivät heikkoja kohtia ja turva-aukkoja.

Kun kaikki ovat selvillä tietoturvariskeistä, osataan ongelmiin puuttua nopeammin.

Googlen tietoturvalliset konesalit

ALMAssa tietoturva-asiat ovat olleet mukana kaikessa suunnittelussa ja kehitystyössä jopa aivan ohjelmiston syntymästä lähtien. Kun yhä useampi ALMAn asiakas on siirtymässä pois suljettujen tietoverkkojen maailmasta, ovat palvelinympäristöjen tietoturva-asiat tulleet entistä tärkeimmiksi.

Meidän ulkoistetut palvelimemme sijaitsevat Elisan OmaIT:n hallinnoimissa Googlen konesaleissa, joiden tietoturvataso on niin korkea kuin se vain olla voi. Turvallisen alustan päälle olemme rakentaneet ALMAn ratkaisuille turvallisen arkkitehtuurin ja jatkuvat palvelut. Niiden ansiosta asiakkaamme voivat nukkua yönsä hyvin ja huolettomasti. ALMA-ohjelmistojen tietoturva on huippuluokkaa ja sama pätee myös ALMAn Hosting-ympäristöön ja muihin tietoturvan tärkeisiin kerroksiin.



Toni Penttilä

Kirjoittaja on Vitec ALMAn tuotekehitysjohtaja.