Kalliita uhkia

  • Aki Anttila
Kalliita uhkia.

Oletko koskaan miettinyt, mikä on yrityksesi arvo? Pörssiyrityksille sen määrittäminen on helppoa, mutta muiden osalta laskelman tekeminen on vaikeampaa. Tietoturvauhista puhuttaessa maksimikustannus on sama kuin yrityksen arvo. Alaraja on tietysti nolla ja yksittäisen haittatapahtuman kustannus jotain tältä väliltä. Miksi näin?

Oletetaan kuvitteellinen yritys, jonka liiketoiminnan rahavirrasta pääosa tulee tietotekniikkaan pohjautuvista tuotteista. Siis nykyaikainen yritys, jossa mitään ei tapahdu, ellei tietotekniikka toimi. Kaikki asiakaskommunikaatiosta tarjous- ja tilauskäsittelyn kautta toimitukseen hyödyntävät erilaisia ohjelmistoja. Jos niihin iskee käyttökatkos, putoavat hanskat välittömästi.

Pidempi käyttökatkos voi syntyä monesta syystä. Tämän hetken uhkakuvista primääri on kiristyshaittaohjelmat, jotka salaavat kaiken yrityksen levyiltä löytyvän informaation. Pahimmassa tapauksessa organisaation koko toiminta pysähtyy siihen asti, kunnes lunnaat on maksettu ja salauksen purkuavain saatu. Mutta mitäs tehdään, jos näin ei tapahdukaan? Eli maksetaan lunnaat, mutta panttivankia, eli tietojamme, ei palauteta. Parempi vaihtoehto tällöin on, että tunkeilija haluaa vain lisää rahaa. Huonompi vaihtoehto on, että kiristäjän kovalevy on hajonnut ja purkuavain kadonnut taivaan tuuliin.

Useiden päivien käyttökatkos tietojärjestelmissä voi aiheuttaa valtavia ongelmia. Mietitään vaikkapa elintarviketeollisuutta. Tuotantoa ohjataan ERP-järjestelmällä, johon kauppiaat syöttävät tilauksensa. Koska kauppojen hyllyissä ja varastoissa on erilaisia tuotteita ainoastaan muutaman päivän tarpeeksi, ajaudutaan nopeasti tyhjien hyllyjen syndroomaan. Vastaavasti tuotantolaitoksissa ajaudutaan raaka-aineiden ylimäärään. Tällainen käyttökatkos voi syntyä vaikkapa silloin, kun kriittiseen järjestelmään kiinni päässyt tunkeilija päättää tuhota tietokannat, ja niiden varmuuskopiointi on epäonnistunut jo vuosikausia. Eli varmuuskopioiden toimintaa ei ole koskaan testattu käytännössä.

Toinen polku tietoturvattomuuden kustannuksiin ovat erilaiset tietomurrot. Suurimpiin näistä kuuluu Yahoon tapaus. Siinä yhtiö arvelee jopa miljardin käyttäjän tietojen päätyneen ulkopuolisiin käsiin. Tietoihin kuuluivat nimien lisäksi sähköpostiosoitteet, syntymäajat, suojatut salasanat ja myös muita tietoja. Tietomurroista ei välttämättä synny muita suoria kustannuksia kuin selvittelyyn kuluneen ajan hinta, mutta välilliset kustannukset maineen, asiakaskunnan ja toimintaedellytysten menettämisen näkökulmasta voivat pahimmillaan kaataa yrityksen. Näin on jo käynyt useita kertoja ja käy varmasti myös tulevaisuudessa.

Jokaisen organisaation johtajan tulee katsoa peiliin ja kysyä, kuinka suuren osan yrityksen arvosta on valmis menettämään tietoturvattomuuden vuoksi. Jos vastaus on ”kaiken”, ei ole syytä huoleen, vaan voi jatkaa hyvällä mielellä pohtimatta mitään suojauskeinoja. Jos taas ensimmäisenä mieleen juolahtaa ”ei mitään”, niin tällöin tulee huolehtia riittävien suojausten olemassaolosta. Tämä taas onnistuu helpoiten Santa Monica Networksin kaltaisten kumppaneiden avulla.

 

Ota yhteyttä

Aki Anttila
Aki Anttila Chief Technology Officer 040 7591 631 Tämä sähköpostiosoite on suojattu spamboteilta. Tarvitset JavaScript-tuen nähdäksesi sen.