Cyber Blog -

Entä jos kyberturva kiinnostaisi liiketoimintaakin?

Jani AntikainenKyberturva ja liiketoiminta – vikaan mennyt avioliitto?

Kyberturva ja liiketoiminta – liitto, jossa ensimmäisen tulisi suojata jälkimmäistä – tuntuvat parhaimmillaankin asumiseroon päätyneeltä avioparilta – jos varsinaista avioliittoa koskaan on ollutkaan? Tämä siitäkin huolimatta, että uhkiin vastaaminen ilman vähintään osapuolten välistä keskusteluyhteyttä, lähentelee mahdotonta. Hyvänä esimerkkinä tästä on tiedon manipuloiminen rikollisiin tarkoituksiin. Uskon, että asumiseron sijaan löytyy tie molempia palvelevaan kokonaisuuteen – kyberturvasta voidaan saada liiketoimintaa kehittävä lisäarvo turvallisuuden lisäksi.

Kyberturvassa, kuten tietoturvassakin, syyllistytään rajoittuneeseen ajatteluun – hieman karrikoiden – pääosin tekniikan suojaamiseen. Tarkoitus olisi kuitenkin suojata liiketoimintaa, sen kriittistä tietoa ja toiminnan jatkuvuutta. Kosketus varsinaiseen liiketoimintaan ja sen tarpeiden ymmärtämiseen sekä jatkuvuuden suojaamiseen toivotaan tapahtuvan, kun teknologia on hankittu. Liiketoimintaa puolestaan ei voisi pääsääntöisesti vähempää kiinnostaa. Tätä asetelmaa tuskin missään yrityksessä tietoisesti haetaan. Miten mallia voisi muuttaa – miten kyberturva saadaan kiinnostavaksi?

Toimintaprosessien eheyden varmentaminen – ”uusi tapa toteuttaa kyberturvaa”?

Toimivia ratkaisuja on vain yksi. Turvallisuus pitää määrittää liiketoiminnan kriittisten palveluiden, niitä tuottavien prosessien sekä jälkimmäisen hyödyntämän tiedon turvaamisena, ei ICT-teknologian tai tietokantojen turvaamisena. Tämä vaatii hahmottamaan keskeisten liiketoimintaprosessien ja niiden tiedon turvaamisen tarpeen. Harva kyberturvasta tai edes ICT:stä vastaava pystyy tätä yksin tänä päivänä tekemään – mukana pitää olla hyvä ymmärrys liiketoiminnasta. Jos on halua, tämä kuilu on ylitettävissä, ja palkintopuolella teknologia- tai tietoturvajohtajalle on turvallisuuden roolin liiketoimintamerkityksen nouseminen.

Teknologialla on silti tilauksensa, ei hätää teknologiatoimittajat! Mutta vasta sen jälkeen, kun suojaamisen kohde ja liiketoiminnan määrittämät ehdot eheälle liiketoimintatiedolle on määritetty. Tässä piilee samalla mahdollisuus tehdä kyberturvasta jotain enemmän – potentiaalia selkeyttää ja kehittää liiketoiminnan päivätyötä ja tuoda euroja tilinpäätöksen tulosriville.

Puheesta teoiksi – miten tämä onnistuu?

Tässä esimerkki uudesta ratkaisumallista. Jokaisesta yrityksestä löytyy hankinnasta-maksuun pitkittäisprosessi. Valitaan tämä tällä kertaa kohteeksi. Prosessissa on monia toimijoita sekä tietojärjestelmiä – myös usein rajoitettu näkyvyys koko prosessiin, ja huomattavia väärinkäytöksen mahdollistavia aukkoja niin ulkoisille kuin sisäisillekin toimijoille.

Prosessiguruksi ei tarvitse itseään kouluttaa. Riittää, että keskustelemalla prosessista vastaavien ihmisten ja vastuutahon (usein CFO/finanssitiimi) kanssa hahmotetaan, mitä tapahtuu, kun hankitusta tuotteesta tai palvelusta tulee yritykseen lasku. Miten lasku vastaanotetaan (skannaus, verkkolaskut, mailissa tulevat laskut jne.), oikeellisuustarkistetaan, tiliöidään ja maksatetaan pankkiin. Liittämällä tähän karkeaan toimintatasoon järjestelmät ja käsiteltävä tieto, on tarvittavat pelinappulat jo kasassa.

On mahdollista luoda nopeasti ”kontrolleja”, joilla tämä maksatusprosessi voidaan turvata niin tiedon kuin prosessinkin eheyden osalta. Samalla on mielekästä luoda reaaliaikaista näkymää prosessin kulkuun, koska liiketoimintaa kiinnostaa tehokkuus, mittarit ja näkyvyys. Näitä kontrolleja voivat olla esimerkiksi:

1)  Maksutietojen tulee olla samat laskun vastaanotossa, mitä ne ovat maksun siirtyessä pankkiin

2)  Maksutietomuutoksia voidaan tehdä vain toimittajatietojärjestelmään (muutokset muissa järjestelmissä rikkovat kontrollia)

3) Yli 50 000€ maksuissa hyväksyjän tulee olla rekisteröityneenä toimitilaan sisään (kulunvalvontatiedon hyödyntäminen

4) Maksuja ei hyväksytä toimistoajan ulkopuolella

5) Sähköpostilla tulleen maksupyynnön pyytäjän tulee hyväksyä pyyntö käsittelyjärjestelmässä (toimitusjohtajahuijaukset)

5) Hyväksyjällä tulee olla aktiivinen työsuhde (ei esimerkiksi opintovapaalla)

6) Hankitun palvelun ja summien tulee vastata ostajan aiempaa hankintaprofiilia

7) Uuden toimittajan tiedot tarkistetaan automaattisesti ulkoisesta lähteestä (esim. googlen fraud-haut pienille ulkomaalta tulleille laskuille).

Yksikään esitetyistä kontrolleista ei itsessään ole maailmaa mullistava. Magiaa syntyy useiden kontrollien yhteistoiminnalla. Samalla syntyy ympäristö, jossa väärinkäytöstä toteuttavan tahon tulisi tuntea tarkasti koko prosessi ja käytössä olevat kontrollit. Onko uhka sisäinen tai ulkoinen, suojaus on tehokas yhtä lailla – niin itse prosessi kuin sen liiketoimintatieto on tehokkaasti suojattu eheyden ja luotettavuuden osalle; onpa sivussa tarjottu liiketoiminnalle seuranta ja mittarit tehokkaasti suojattuun prosessiin.

Haaste ja ratkaisu ymmärretty, miten tekniikasta tukea?

Tämän päivän kyberturvatuotteiden kyvykkyys toteuttaa kuvattu suojaus ja vaaditut kontrollit on lähes olematon. Hetkessä, jossa rikolliset tahot rekrytoivat enenevissä määrin liiketoimintaosaajia rivistöihinsä tilanne voi hyvin pian olla sietämätön. Uhat monimutkaistuvat ja turvaaminen vaatii toiminnan, ei järjestelmien turvaamista (ajattelumalli). On aika toteuttaa ratkaisuja liiketoimintaa hyödyttävin ja sidottavin ratkaisuin. On myös hyvä tunnistaa tuoreita liiketoimintaa ja tiedonhallintaa ymmärtäviä kyberturvatoimijoita ja näiden kehittämiä järjestelmiä, joissa turvaaminen keskittyy prosessien ja tiedon luotettavuuteen takaamiseen ja jotka pystyvät analysoimaan tätä oikeellisuutta liiketoiminnan asiayhteydessä, kuten kuvatussa prosessissa. Näin kyberturvallisuus alkaa kiinnostamaan liiketoimintaakin.

Huginn on toimija hyvin harvojen joukossa, jonka ratkaisulla ja teknologialla kuvattu liiketoiminnan ja tiedon eheys voidaan taata – kattaen myös tarpeen mukaan liittyvät regulaatiot ja auditoitavuustarpeet. Meillä on kyky korjata tämä kyberturvan ja liiketoiminnan epämääräiseen limboon ajautunut liitto. Tule ja haasta meidät, lupaamme positiivisen yllätyksen!

Jani Antikainen on tiedon eheyden ja luotettavuuden varmistamisen mahdollistavan Huginn (www.huginn.com) -kyberturvatuotteen kehittäneen Spartan (www.spartaconsulting.fi) perustaja ja hallituksen puheenjohtaja.