Ennakoiva tietoturva säästää enemmän kuin korjaava
Digitaalinen turvallisuus on Netumilla kaiken tekemisen perusta. Autamme organisaatioita suojaamaan tietonsa, täyttämään lainsäädännön vaatimukset ja hallitsemaan riskejä niin kehitystyössä, arjessa kuin muutoksessa. Toimintaympäristön muuttuessa ja kyberuhkien kehittyessä yhä ammattimaisemmaksi, myös suojauskeinojen on kehityttävä samaa vauhtia. Tietoturva ei ole vain yksittäinen toimenpide, vaan jatkuva prosessi.
Netumilla tietoturvan parissa työskentelee kyber- ja tietosuoja-asiantuntijoita sekä ohjelmistokehittäjiä. Tietoturva ja tietosuoja huomioidaan jokaisessa asiakasprojektin vaiheessa. Kyberturvallisuuskonsultointimme kattaa riskien arvioinnin, suojausratkaisut, toimintamallit ja jatkuvan kehittämisen, jotta asiakkaat voivat toimia turvallisesti ja luottamusta herättävästi.
Työskentely kovien vaatimusten ympäristössä
Tatu Sikkinen on työskennellyt Netumilla kyberturvakonsulttina kolmen vuoden ajan turvallisuussektorin asiakkaalla. Hän on keskittynyt erityisesti Linux-ympäristöihin, joissa tietoturvavaatimukset ovat kovat ja ympäristöjen auditointi säännöllistä.
– Kaikki tekemisemme kulminoituu tietoturvaan. Kehitämme ratkaisuja turvallisuuskriittisiin ympäristöihin aina käyttöympäristöstä sovellustasolle asti. Tietoturvaa pitää pystyä kehittämään ja ylläpitämään kokonaisvaltaisesti ja jatkuvasti myös tilanteissa, joissa yhteydet katkeavat, Sikkinen kertoo.
Turvallinen ei tarkoita haavoittumatonta. Vaikka järjestelmä olisi lähtökohtaisesti tietoturvallinen, se ei ole koskaan täysin immuuni haavoittuvuuksille. Tämän vuoksi on tärkeää, että järjestelmän tietoturvapäivitykset pidetään ajan tasalla ja palveluita ja tuotteita testataan systemaattisesti ja säännöllisesti.
Sulautettujen järjestelmien tietoturvariskit ja Linux hardening
Tietoturva korostuu monessa mielessä myös sulautetuissa järjestelmissä, joissa fyysiset laitteet ovat keskeisessä roolissa. Esa Jääskelä toimii Netumilla sulautettujen järjestelmien seniorikonsulttina ja kyberturvallisuuden asiantuntijana. Hän on työskennellyt muun muassa turvallisuussektorilla sekä infrastruktuuriin ja teollisuuteen liittyvissä asiakasprojekteissa.
Sulautettujen järjestelmien puolella hyökkäykset eivät rajoitu pelkästään verkkoyhteyksiin. Jääskelän mukaan erityisesti kuluttajapuolen laitteissa tietoturva on usein puutteellista. Laitteiden elinkaari on usein pidempi kuin niiden saamat tietoturvapäivitykset, mikä heikentää tietoturvaa. Tätä varten joulukuussa 2027 voimaan tuleva EU:n Kyberkestävyyssäädös (Cyber Resilience Act) edellyttää, että valmistajat ylläpitävät digitaalisten tuotteiden ja ohjelmistojen tietoturvaa ja tarjoavat päivityksiä nykyistä pidempään.
– Järjestelmät ovat Linuxin puolella usein riisutumpia ja tiettyihin laitteisiin räätälöityjä. Tämä voi altistaa ne helpommin matalan tason hyökkäyksille. Pahimmillaan hyökkääjä voi ottaa laitteen hallintaansa käyttäjän tietämättä, Jääskelä mainitsee.
Riskit on tunnistettava ajoissa ja niihin on vastattava hallitusti. Linux hardening eli Linux koventaminen on tärkeä osa sulautettujen järjestelmien tietoturvan rakentamista ja ylläpitoa. Koventamisen ydin on yksinkertainen: hyökkäyksen pinta-alaa pienennetään niin paljon kuin mahdollista.
– Koventamisella tarkoitetaan sitä, että järjestelmästä poistetaan kaikki tarpeeton ja jäljelle jäävä suojataan huolellisesti. Tämä edellyttää syvällistä ymmärrystä järjestelmästä ja siitä, mitä se pitää sisällään, miksi se on siellä ja mitä ilman voidaan tulla toimeen, Jääskelä avaa.
Sulautetuissa järjestelmissä työ alkaa usein rajapinnoista. Kun nämä on konfiguroitu oikein, autentikointi toimii ja haavoittuvuudet on poistettu, voidaan suojausta syventää järjestelmän sisään.
Perusvirheet edelleen yllättävän yleinen riski
Vaikka kyberuhista puhuttaessa korostuvat usein kehittyneet hyökkäykset ja uudet teknologiat, todellisuus on usein arkisempi. Monet tietoturvaloukkaukset johtuvat edelleen yksinkertaisista virheistä. Väärin konfiguroitu palvelu, päivittämätön ohjelmisto tai jopa oletussalasana voivat riittää avaamaan hyökkääjälle oven.
– Monet vakavat tapaukset lähtevät liikkeelle edelleen perusasioista. Esimerkiksi konfiguraatiovirhe voi tehdä muutoin turvallisesta järjestelmästä täysin haavoittuvan, Sikkinen huomauttaa.
Samaan aikaan hyökkäykset kehittyvät ja automatisoituvat. Tämä tarkoittaa sitä, että pelkkä “ihan hyvä” tietoturva ei enää riitä. Huonosti kovennetun järjestelmän seuraukset voivat olla vakavia ja kalliita: yritykselle se voi tarkoittaa liiketoiminnan keskeytymistä, tietovuotoja ja mainehaittaa. Yksilöille seuraukset voivat näkyä henkilötietojen väärinkäyttönä ja aikaa vievänä selvitystyönä.
– Turvallisuuskriittisissä ympäristöissä voidaan puhua miljoonien eurojen vahingoista, tai pahimmillaan jopa ihmishenkien menetyksistä, Sikkinen lisää.
Riskienhallinta alkaa ymmärryksestä
Tietoturva ei synny sattumalta, vaan se perustuu riskien tunnistamiseen ja hallintaan. Riskianalyysin tekeminen on oleellinen osa tietoturvaloukkauksien ennaltaehkäisyä. Organisaation on ymmärrettävä mitä uhkia sen järjestelmiin kohdistuu, kuinka todennäköisiä ne ovat ja mitä niiden toteutuminen tarkoittaisi käytännössä.
– Mitä kriittisempi järjestelmä, sitä tärkeämpää on hyödyntää myös ulkoisia auditointeja ja standardeja, Sikkinen mainitsee.
Vaikka keskustelu siirtyy yhä enemmän uusiin teknologioihin, kuten tekoälyyn, yksi asia pysyy ennallaan: suurin osa ongelmista syntyy edelleen perusasioiden laiminlyönnistä. Tietoturvaan panostaminen voi tuntua kalliilta investoinnilta, mutta vaihtoehto on usein huomattavasti kalliimpi.
– Konsultti on lopulta varsin edullinen vaihtoehto verrattuna siihen, mitä tietoturvaloukkaukset voivat pahimmillaan maksaa, Jääskelä huomauttaa.
Lopulta tärkein oivallus on yksinkertainen: tietoturva ei ole projekti, joka tehdään kerralla valmiiksi. Se on jatkuva tila, joka vaatii seurantaa, kehittämistä ja reagointia. Kun tämä ymmärretään, esimerkiksi Linux-ympäristöjen koventaminen ei ole yksittäinen toimenpide, vaan olennainen osa kestävää ja turvallista digitaalista toimintaa.