Tietoturva ja asiakas-caset: HPR-tapahtuman parhaat palat

Blogi Kirjoittanut:
Sisäisen tarkastuksen toimenpiteiden seurannassa sähköpostiviestintä korvattiin PowerApps-ratkaisulla.

Kävin piipahtamassa OnSightin järjestämässä SharePoint ja Office 365 Hyvät, pahat ja rumat -tapahtumassa, joka järjestettiin 9.5. Jätkäsaaren Clarion-hotellissa. Tietoturva ja GDPR-kysymykset olivat tilaisuudessa laajasti esillä, mutta mukaan mahtui myös monta hyvää SharePoint- ja O365-puheenvuoroa. Seuraavaksi muutama nosto tapahtuman esityksistä.

Mikko Hyppönen: Tummia pilviä

F-Securen Mikko Hyppönen piti tapahtuman key note -esityksen, joka painottui organisaatioiden digitaaliseen tietoturvaan. Nykypäivän hyökkäysryhmittymät toimivat eri motiivein, eri teknologioita käyttäen. Osa kyberrikollisista on jännitystä etsiviä nuoria, osa protesti- tai poliittisin motiivein toimivia ryhmiä, unohtamatta valtiollisia toimijoita. Myös ääriryhmittymien keinovalikoimat saattavat laajentua entistä enemmän kyberrikollisuuden piiriin.

Hyvä esimerkki meitä kaikkia koskettaneesta tietomurrosta on vuoden 2012 LinkedIn-murto, josta tiedotettiin vasta monta vuotta murron jälkeen. Minä ja sinä todennäköisesti olimme myös murron uhreja: tunnuksia ja sähköpostiosoitteita varastettiin yli 100 miljoonaa.

Tekijät etsivät tässä(kin) tapauksessa sähköpostitunnuksia. Ne ovat rahanarvoista tavaraa, koska niillä puolestaan pääsee usein käsiksi henkilöiden verkkokauppatunnuksiin. Iskun tekijä myi näitä tietoja eteenpäin ja hankki rahoillaan mm. loistoautoja ja kelloja – joilla rehenteli esimerkiksi Instagramissa. Kyseinen nuorimies on parhaillaan pidätettynä Tsekeissä ja odottaa luovutusta Yhdysvaltoihin. Elämä opettaa.

F-Secure itse kouluttaa henkilöstönsä tietoturvaan pelillistämisen keinoin. Käytännössä henkilökunta saa tavallisen sähköpostinsa joukkoon erilaisia hyökkäys- ja kalasteluviestejä. Kun työntekijä kuittaa epäilyttävän viestin tietoturvauhaksi, saa hän tästä pisteitä. Intranetissa on tätä varten high score -lista.

F-Securen malli on hyvä ja konkreettinen pelillistämis-case, jonka avulla henkilökunta on saadaan pysymään kartalla tärkeästä perusosaamisesta – mukaan lukien hallinnolliset työntekijät.

Mikolla oli myös kiinnostava huomio liittyen EU:n tulevaan tietosuoja-asetukseen. GDPR  (General Data Protection Regulation) sinänsä pitää sisällään paljon hyvää, mutta Hyppösen mukaan se myös auttaa rikollisia määrittämään verkkohyökkäyksille käyvän hintatason. Skenaario: asiakastietosi varastetaan. Haluatko maksaa EU-sanktion 4% globaalista liikevaihdosta, vaiko rikollisten tarjoaman ”halvennuksen”, esim. 2%?

Toisia lähteitä seuranneena näyttää siltä, että esimerkiksi palvelunestohyökkäyksen tekeminen tänä päivänä on valitettavasti lähes naurettavan helppoa, eikä sellaisen toteuttaminen edellytä juurikaan teknisiä taitoja.

Tietoturvasta ja GDPR:stä hieman lisää tämän tekstin lopussa.

Osuuspankin intranet & Outotecin Office 365 -käyttöönotto

Näiden kahden case-esittelyn yhteydessä oli helppo havaita, mitä tapahtumaan osallistuneet olivat ennen kaikkea tulleet hakemaan. Molemmat esitykset synnyttivät runsaasti keskustelua, kun osallistujat etsivät ratkaisuja ja suuntaviivoja omia suunnitteilla tai meneillään olevia hankkeitaan varten.

OP:n Venla Virkajärvi kertoi heidän SharePoint 2013 -pohjaisen intranet-ratkaisunsa kehittämisen tavoitteista ja toteutumista. Venlan mukaan hankkeessa suurimmat panostukset liittyivät ratkaisun käyttäjälähtöisyyteen asiakokonaisuuksittain. Esimerkiksi korttitiedot löytyvät tänä päivänä keskitetysti yhdestä paikasta – eli intranet on käytännön tietovarasto kaikille pankkityöntekijöille, vaikka paikallisiakin sisältöjä on runsaasti.

Mielenkiintoista oli myös kuulla OP:n satojen ihmisten sisällöntuottajaverkostosta ja siitä, kuinka viestintä ohjaa ja tukee työntekijöitä ajantasaisen ja laadukkaan sisällön tuottamisessa. Venla painotti tässä vierihoidon merkitystä: kun tähdätään hyvään laatuun ja intranetin merkityksellisyyden kasvattamiseen oman työn näkökulmasta, eivät keskitetyt yleiskoulutukset toimi.

Työkontekstin huomiointi intranet-koulutuksissa onkin olennaista. Toinen tavallaan itsestään selvä, mutta aina yhtä tärkeä pointti esiin nostettavaksi on intranet-palvelun jatkuva kehittämisen tarve. Etenkään isoissa organisaatiossa ei ole mahdollista jäädä teknisen projektin jälkeen odottelemaan seuraavaa isompaa versiopäivitystä, vaan intranetin sisältöä ja rakennetta on kehitettävä pitkäjänteisesti ja työntekijöitä osallistettava ja koulutettava säännöllisesti.

Outotecin Kirsi Sahlstén kertoi Office 365 -työtilojen onnistuneen jalkauttamisen keinoista. Käyttäjät olivat keskimäärin varsin tyytyväisiä projektin lopputuloksiin, vaikka oppejakin oli matkalla kertynyt. Kirsin mukaan järjestelmän hyödyntämistä olisi alusta lähtien pitänyt miettiä enemmän aitojen käyttäjäryhmien näkökulmasta, yleisten käyttäjäroolien sijaan.

Koulutuksen suuntaaminen työtehtävien suorittamiseen uudella tavalla pelkkien työvälinekoulutuksten sijaan onkin Kirsin näkökulmasta tärkeää. Samoin korostui ajatus työvälineiden roolituksesta: O365-välineet pitää roolittaa, mutta samoin tulisi kaikki muutkin välineet ja järjestelmät, joita yksittäinen tiimi käyttää.

Kyllä, tästä olen todellakin samaa mieltä: tiimin/prosessin työtä pitää suunnitella ja kehittää kokonaisuutena, ei pistemäisesti yhden järjestelmän näkökulmasta. Samalla haasteeksi nousee muutosinvestoinnin kustannus. Tätä aihetta käsittelin juuri koulutusten tehokkuutta pohtivassa blogissani.

Tietoturva ja GDPR

Mikko Hyppösen esityksen lisäksi tietoturva ja sen merkitys nousi esille myös muissa puheenvuoroissa. OnSightin Jussi Roine suositteli pariinkin kertaan siirtymään pilviympäristöissä asteittain vahvaan tunnistautumiseen silloin, kun käyttö tapahtuu sisäverkon ulkopuolella. Organisaatioiden huomiota tietoturvaan ohjaa tietysti myös EU:n tuleva tietosuoja-asetus, GDPR, jota aletaan soveltaa 25.5.2018 alkaen. Aiheesta puhui HPR-tapahtumassa Microsoftin Minna Frände.

GDPR:n myötä jokaisen organisaation tulee analysoida tallentamansa henkilötieto ja sen talletusperusteet sekä oma kyvykkyytensä tarjota tietoa esimerkiksi yksityiselle henkilölle tallennetuista tiedoista. Lisäksi on analysoitava kyky poistaa tallennetut tiedot, etenkin kun talletus on perustunut henkilön antamaan suostumukseen, joka vedetään pois.

Direktiivissä puhutaan ”asianmukaisista teknisistä ja organisatorisista toimenpiteistä”, mutta se ei täsmälleen ottaen rajaa mikä on riittävä joukko toimenpiteitä – ne tulee suhteuttaa riskiin. Esimerkiksi tietojen poistamisen suhteen oikeuspäätökset tullevat tarkentamaan reaalimaailman vaatimuksia, eli direktiivit jättävät asioita avoimeksi.

Joka tapauksessa on selvää, että palvelunestohyökkäysten ja tietomurtojen määrä tulee lisääntymään. Tämä on uhka, johon on pakko reagoida, niin EU-sakkojen kuin organisaation maineen ja liiketoiminnan riskienhallinnan näkökulmasta.

Yritysten tuottavuuden ja toimintakyvyn turvaamiseksi suosittelen, että teknistä tietoturvaa ja digitaalisten tietoturvallisten työskentelytapojen kehittämistä mietitään käsi kädessä. Näitä päätöksiä ei voi eikä kannata tehdä siiloissa. Digitalisaatio on koko yrityksen yhteinen murros.

Microsoftin Harri Mikkanen painotti kollaboraatioympäristöjen (esimerkiksi Office 365) merkitystä osana GDPR-valmistautumista. Myös Microsoftin on-line -palveluiden sopimusehdot tulevat tähän liittyen päivittymään ja näitä muutoksia kannattaa seurata. Aiheesta lisää mm. Microsoftin GDPR-sivustolta.

Kiitokset tapahtuman järjestäjille!