Mobiilipäätelaitteiden kuten tiedonkeruupäätelaitteiden, ammatillisten älylaitteiden tai ”puhelimen” kaltaisten laitteiden rooli on kasvanut ratkaisevaksi osaksi nykyaikaista työntekoa monilla eri aloilla. Laitteiden avulla varmistetaan reaaliaikainen työnkulku, kirjaukset ja järjestelmien käyttö. Tämä on olennainen osa tehostamaan toimintaa ja mahdollistaa sen tarkemman johtamisen.
Toinen, minkä etenkin verkkokauppojen suosio on tuonut etenkin kaupan alalle ja logistiikkaan, mutta mitä myös palvelualat ovat kehittäneet on erinäinen prosessien aikainen merkintä. Merkintää tehdään pääasiallisesti tarratulostimilla ja esimerkiksi Burger King on ottanut käyttöön tarramerkinnät yksittäisille annoksille, esimerkiksi hampurilaisille, Espanjan ja Portugalin ravintoloissa. Käytännössä tämä varmistaa virheiden poiston ja lisää tehokkuutta, mutta lisää laitteita, jotka tulee IT:n ottaa huomioon tehdessään suunnitelmia tulevalle vuodelle liittyen laitteiden varmistamiseen ja turvaamiseen.
Vaikka nämä ratkaisut ovat tuoneet mukanaan selviä etuja, ne ovat myös avanneet uudenlaisia haasteita IT:lle mm. käyttöönottoprojektien, lisälaitteiden hankinnan kuin myös tietoturvariskien ja elinkaaren haasteiden kanssa. Uusi rooli IT:llä onkin liiketoiminnan kehittämisen sekä toiminnan jatkuvuuden lisäksi niiden tietoturvan ja elinkaaren johtaminen.
Tietoturvan tilanne nykypäivänä: Miten tilanne on kehittynyt sitten Krimin selkkauksen 2014 ja Ukrainan hyökkäyssodan myötä
Venäjän Krimin valtaus ja hyökkäyssota Ukrainassa ovat mullistaneet myös suomalaisten yritysten tietoturvakenttää. Viime aikoina erityisesti kriittisen infrastruktuurin toimijat, kuten energia-, logistiikka- ja viestintäsektori ovat olleet suurimmassa vaarassa joutua suoraan tai välillisesti valtiollisten kyberhyökkäysten kohteeksi.
Todistetusti Venäjän kyberoperaatiot ovat sisältäneet kiristysohjelmahyökkäys (ransomware-hyökkäyksiä) ja palvelunestohyökkäyksiä, joilla pyritään häiritsemään yritysten toimintaa. Lisäksi huoltovarmuuskriittiset toimijat ovat erityisessä vaarassa, sillä niiden toiminnan häiriöt voivat vaikuttaa koko yhteiskunnan toimintaan. Tämä on johtanut tietoturvatoimenpiteiden kiristämiseen, sääntelyn tiukentumiseen ja ennakoivien teknologioiden, kuten koneoppimista hyödyntävien kyberpuolustusratkaisujen, yleistymiseen.
Lisäksi WithSecure tutki 2023 ja 2024 trendejä kyberhyökkäysten osalta ja huomasi 400 % kasvun hyökkäyksissä kohdistuen laitteisiin, mitkä ei perinteisesti kuulu IT-osaston suoraan valvontaan. Tällaisia ovat nimenomaan mobiilipäätelaitteet, viivakoodiluentalaitteet, tarratulostimet sekä teollisuuslaitteet ja järjestelmät.
Siksi tämän päivän yritysten yksi merkittävimmistä uusista haasteista koskee tietoturvaa. Viimeisten vuosikymmenten aikana tietojärjestelmien merkitys kilpailukyvyssä ja pilveen siirtyminen on tuonut kaikkien CIO / Tietohallintojohtajien pöydälle uusia huolia.
Monet laitteet toimivat langattomassa verkossa tai matkapuhelinverkossa, käsittelevät, keräävät ja lähettävät suuria määriä dataa, jolloin ne voivat olla alttiina kyberhyökkäyksille. Tietoturvaongelmat eivät rajoitu pelkästään käyttäjätietoihin, vaan voivat ulottua yrityksen järjestelmiin kuten asiakastietoihin, taloushallintoon, varastonhallintajärjestelmiin ja toimitusketjun muihin osiin. Jokainen heikosti suojattu päätelaite voi olla potentiaalinen sisääntulopiste haitallisille hyökkäyksille.
”Emme enää turvaa tietokoneita – vaan turvaamme yhteiskunnan”,
WithSecuren Mikko Hyppönen Slush tapahtumassa 2015
Mitä sitten tulisi huomioida tietoturvan ja elinkaaren osalta?
- Priorisoi elinkaari ja tietoturva hankinnoissa:
Hankkiessasi ratkaisuja liiketoiminnan tueksi varmista niiden olevan sellaiselta valmistajalta, joka ottaa vakavasti tietoturvan ja panostaa myös laitteen tukeen sen elinkaaren aikana. Olen kiinnittänyt huomiota ja yllättynyt, miten lyhyen elinkaaren laitteita yritykset hankkivat (esim. alle 2v.).
- Säännölliset päivitykset ja ylläpito:
Varmista kaikkien laitteiden käyttävän ajan tasalla olevaa tuotantotestattua laiteohjelmistoa (firmwarea), käyttöjärjestelmä -versiota ja säännöllisesti päivitettyjä tietoturvapäivityksiä. Päivitykset tulee suorittaa jatkuvasti, suunnitellusti sekä seurata ja varmistaa, ettei laitteisiin jää tunnettuja haavoittuvuuksia.
- Salaus ja käyttäjäautentikointi:
Tietojen salaaminen sekä vahvan käyttäjäautentikoinnin käyttöönotto vähentävät riskiä, ettei yrityksen arkaluontoiset tiedot päädy vääriin käsiin. Tätä tulee paikka paikoin ainakin harkita. On myös hyvä huomioida, että se usein hankaloittaa työntekijän työn tekoa.
- Varmista laite- ja elinkaarenhallintajärjestelmät kaikissa laitteissa:
Reaaliaikainen seuranta, valmistellut prosessit ja hälytykset epäilyttävästä toiminnasta voivat estää hyökkäykset ennen kuin ne ehtivät vahingoittaa järjestelmää. Lisäksi järjestelmiä voidaan käyttää päivitysten jakeluun, ratkaisun kehittämiseen sekä työnohjauksen tukena.
Laitteiden elinkaari: Ennaltaehkäiseviä toimia kustannusten hallitsemiseksi
Kun investoidaan ratkaisuihin, on tärkeää ymmärtää niiden elinkaaren merkitys. Laitteet voivat toimia useita vuosia, ja jopa suorituskyky voi riittää tulevaisuuden tarpeille, mutta tietoturva heikkenee ratkaisussa ajan myötä ilman asianmukaista ylläpitoa ja päivityksiä.
Elinkaaren hallinnan keskeiset vaiheet:
- Hankinta ja asennus:
Laiteinvestoinnin alkuvaiheessa tulisi jo huomioida, kuinka hyvin laitteet skaalautuvat yrityksen tarpeisiin ja miten niiden tietoturva vastaa nykyisiin sekä tuleviin vaatimuksiin. Esim. miten monta vuotta laitevalmistaja lupaa laitteelle tukea, entä tietoturvapäivityksiä?
- Käyttö ja ylläpito:
Säännölliset toimenpiteet, kuten firmware ja tietoturvaohjelmistojen päivitykset sekä laitteiden huolto tai fyysinen tarkastus ovat edellytyksiä laitteiden pitkälle käyttöiälle.
- Uudella laitteella korvaus, vanhan eläköityminen ja kierrätys:
Kätevä tapa huolehtia elinkaaresta on luoda prosessi, missä elinkaaren päässä olevia laitteita rullataan uuteen sukupolveen vaiheittain. Talousjohtajan kassavirtaraportit ja myös tuotannon jatkuvuus kiittää sekä vältytään isoilta ja raskailta hankintaprojekteilta. Kun laite saavuttaa käyttöikänsä pään, tulee lisäksi varmistaa, että se poistetaan käytöstä turvallisesti. Tämä tarkoittaa kaikkien tietojen poistamista laitteesta ja asianmukaista kierrätystä.
Yhteenveto: Tehokkuus ja turvallisuus tasapainossa
Laitteet ja niiden tuomat ratkaisut ovat tehokkuuden lisäämisen kannalta korvaamattomia, mutta niiden tietoturva sekä elinkaarenhallinta vaativat jatkuvaa johtamista. Siksi yritysten tulisi nähdä nämä laitteet pitkän aikavälin investointina, jonka onnistunut hallinta ei ainoastaan vähennä kustannuksia huolloissa vaan lisää turvallisuutta, vähentää käyttökustannuksia ja pidentää laitteiden käyttöikää.
Paras tapa hallita elinkaarta ja tietoturvaa on varmistaa jokaiselle laitealueelle selkeä prosessi sekä johtamisjärjestelmä, joka keskittyy seuraamaan laitehallinta- ja elinkaarenhallintajärjestelmien dataa sekä elinkaaren tilaa. Näiden perusteella suunnitellaan toimenpiteet elinkaaren ja tietoturvan johtamiseksi.
Oikein hallinnoituna ratkaisut tarjoavat yritykselle sekä kustannustehokkuutta, että turvallisuutta. Puutteet tietoturvassa tai elinkaaren hallinnassa voivat tuoda mukanaan merkittäviä riskejä, joilla joku voi jopa saada potkut tai joutua uutisten otsikkoihin. Kukaan meistä ei toivo sellaista.
Kiitos, että näit vaivaa lukea näin pitkälle – kiitokseksi mielellämme autamme sinua, miten tätä asiaa käytännössä kannattaa tehdä. Mikäli kiinnostuksesi heräsi aiheeseen liittyen, ole rohkeasti meihin yhteydessä.
Innostavin terveisin, Mika Veijalainen – Tietoturva innostunut
