Sana hakkeri nostaa monella meistä karvat pystyyn. Ajatus siitä, että joku murtautuu tietojärjestelmiimme ja pääsee käsiksi liiketoiminnalle kriittisiin tietoihin, herättää heti kysymyksen tekijän aikeista. Hakkereita on kuitenkin moneen lähtöön, minkä takia yrityksen kannattaa havahtua hakkeroinnin mahdollisuuksiin.
Tietoturva-asiantuntija Laura Kankaalaa tituleerataan valkohattuhakkeriksi. Valkohattuhakkereita voi kutsua myös eettisiksi hakkereiksi tai hyvishakkereiksi. Mitä valkohattuhakkeri oikein tekee?
”Koska hakkerointi-termi yhdistyy monen mielessä rikolliseen toimintaan, sen rinnalle on kehitetty termi valkohattuhakkeri. Se kuvastaa sitä, kuinka yrityksen tietojärjestelmiin tunkeudutaan sovitusti ja luvan kanssa. Valkohattuhakkerointia tehdään usein yrityksille, jotka haluavat tarkistaa omien järjestelmiensä tietoturvan tilan”, Kankaala kertoo.
”Kaikki on pienestä kiinni, kun puhutaan tietoturvasta”
Kankaala on nähnyt kyberturvallisuusalaa laajasti eri työrooleistaan käsin. Kiinnostus tietokoneisiin syntyi jo lapsena, ja ammattikorkeakoulussa suunta selkiytyi entisestään.
”Korkeakoulussa kiinnostukseni teknologian ja järjestelmien toimintaa kohtaan kasvoi. Ymmärsin, kuinka pienestä kaikki on kiinni, kun puhutaan tietoturvasta. Siinä vaiheessa en vielä tiennyt, että hakkerointia voi tehdä työkseen”, Laura muistelee.
Hakkeroinnista kuulee monia väritettyjä tarinoita ja uskomuksia, joista kaikkia ei kannata niellä pureksimatta.
”Ei se hakkerointi mitään Hollywood-menoa ole. Emme tee hakkerointia pimeässä luolassa, eikä mikään räjähdä niin kuin leffoissa, jos joku pääsee käsiksi arkaluontoiseen tietoon.”
Kiehtovuutta tietojärjestelmiin murtautumisesta ei silti puutu. Kyberturvallisuus koskettaa digitalisoituvassa maailmassa meitä kaikkia. Pieni moka tai puute tietoturvassa saattaa johtaa liiketoiminnan pysähtymiseen, yhteiskunnalle tärkeiden operaatioiden lamaantumiseen tai yksilöiden tietojen vuotoihin.
Valkohattuhakkerin työn suola on toisille pakollinen paha
Kun yritys kutsuu hakkerin apuun, projektissa on usein selkeät raamit, joiden sisällä toimitaan.
”Tyypillisesti saamme yritykseltä speksit, joiden mukaan testaamme sovellusta tai järjestelmää. Joissain tilanteissa koko yritys, toimistorakennukset ja henkilöstö ovat hyökkäyksen kohteena. Etsimme haavoittuvuuksia eri tavoin kohteesta riippuen. Teemme samalla muistiinpanoja toimistamme ja havainnoistamme.”
Tietojen käsittely ja hallinnointi tuo yritykselle vastuuta, jonka kantaminen on tärkeä osa tietojen suojaamista.
”Tietoturvaan ja -suojaan liittyvistä asioista ajatellaan helposti, että ne ovat pakollinen paha, joka pitää hoitaa. Milloin pääsemme siihen ajattelumalliin, että yritykset ovat tiedon varjelijoita, joiden yksi tärkeimmistä tehtävistä on pitää ihmisten tiedot mahdollisimman hyvin suojassa?” Kankaala pohtii.
Työn tilanneelle asiakkaalle jää eettisestä hakkeroinnista raportti, jossa selvitetään hänen toivomansa kohteen tietoturvan tila. Raportti sisältää tiedon tehdyistä löydöksistä ja jatkosuositukset tietoturvan parantamiseen, jos aukkoja löytyy.
”On tärkeää muistaa, että hakkerointitestit ovat aikasidonnaisia. Ne kertovat tietoturvasta vain sen hetken osalta, kun testaus on tehty. Tilanne voi muuttua hyvinkin nopeasti esimerkiksi erilaisten järjestelmäpäivitysten sekä organisaatio- tai henkilöstömuutosten myötä. Ajan myötä myös vanhoista käyttöjärjestelmistä ja sovelluksista löytyy jatkuvasti haavoittuvuuksia, jotka voivat tulla yritykselle kalliiksi”, Kankaala muistuttaa.
Miten yrityksesi voi varmistua siitä, että tietoturva on kunnossa?
- Suojaa laitteet haittaohjelmilta käyttämällä päätelaitesuojausta
- Huolehdi etäyhteyksien suojaamisesta perinteisellä VPN:llä tai rakenna yrityksellesi ajanmukainen ZTNA-hybridityöratkaisu
- Hallinnoi pääsyoikeuksia yrityksesi verkkoon ja tietojärjestelmiin DNA Pääsynhallinnalla
- Hanki älykäs palomuuripalvelu, joka varmistaa, että jokainen internet-, pilvi- ja yritysverkkoyhteys on turvallinen
- Jos oman tietoturvayksikkösi osaaminen tai resurssit eivät riitä, harkitse yrityksen ulkopuolista apua erilaisiin tietoturvatestauksiin
Lue, miten DNA:n tietoturvapalveluilla yrityksesi arki toimii turvallisesti, tehokkaasti ja tarkoituksenmukaisesti kaikissa tilanteissa. Vielä syvemmälle voit sukeltaa tutustumalla kyberrikollisuutta ja tietoturvaa käsittelevään oppaaseemme.
Kuuntele myös Kyberrosvot-podcastin Vastaamo-jakso, jossa Laura Kankaala on vieraana!
