Tutkimuksen mukaan puuteet vaarantavat yritysten vastuunmukaisuuden, maineen ja kilpailukyvyn. Erityisesti lisääntynyt pilvipalveluiden käyttöönotto edellyttäisi yrityksiltä tarkempaa tietoturva-asioiden pohtimista, CA:sta huomautetaan.
Itsenäisiä it-hallintaohjelmistoja toimittavan CA Technologiesin teettämän Euroopan-laajuisen tietoturvatutkimuksen mukaan suomalaisissa yrityksissä ei ole juurikaan käytössä tietovuotojen estämiseen tarkoitettuja DLP-ratkaisuja (Data Loss Prevention).
Tilanne on verrattavissa Ruotsiin, kun taas Norjassa ja Tanskassa 40 prosenttia yrityksistä käyttää DLP-tekniikoita ja koko Euroopassa keskimäärin 28 prosenttia.
Tutkimuksessa todetaan, että elleivät suomalaiset yritykset ryhdy tarvittaviin toimiin yritykselle tärkeiden tietojen tunnistamiseksi koko yrityksessä ja niiden suojaamiseksi tietovuodolta ja väärinkäytöltä, sillä voi olla vakavat seuraukset suomalaisille yrityksille maineen vahingoittumisen, kilpailukyvyn ja tietoturvan heikentyminen kautta.
Tietojen menetys
voidaan estää
Tietovuotojen ja tiedonkäytön hallintaan tarkoitettu COA-arkkitehtuuri (compliant-oriented architecture) voi auttaa estämään tietojen menetyksen. Se on joukko käytäntöjä, joiden soveltaminen varmistetaan erilaisilla tekniikoilla ja jotka minimoivat tietojen vuotamisen vaaran ja mahdollistavat rikkeen tapahtuessa tapahtumien kulun jäljittämisen ja tutkimisen.
Jotta COA toimisi tehokkaasti, kolme perusedellytystä on CA:n mukaan täytettävä. Ensinnäkin käytössä on oltava käyttäjien- ja käyttövaltuushallinnan ratkaisut (IAM eli Identity and Access Management), jotka mahdollistavat työntekijöiden, heidän roolinsa ja vastuidensa ymmärtämisen ja käyttöoikeuksien määrittämisen ja soveltamisen.
CA:n teettämään tutkimukseen osallistuneista suomalaisista yrityksistä yhdelläkään ei ollut käytössä kokonaisvaltaista IAM-järjestelmää (Tanskassa vastaava osuus oli 33 prosenttia ja Norjassa 20 prosenttia).
Toiseksi COA edellyttää tietojen haku- ja luokitustoimintoja – suomalaisista organisaatioista 30 prosenttia ilmoitti niiden olevan käytössä organisaatiossa. Kolmas edellytys COA:n tehokkaalle toiminnalle on se, että varmistetaan käyttäjien roolit ja tietojen käytön yhdistävien käytäntöjen soveltaminen.
CA:n mukaan monet DLP-työkalut automatisoivat toisena ja kolmantena mainitun asian – automatisoinnin aste tosin vaihtelee. Yhdessäkään tutkimukseen osallistuneista suomalaisista organisaatioista ei juuri nyt ole käytössä DLP-tekniikoita edempänä todetulla tavalla.
Välinpitämättömyyttä
DLP-tekniikoista
Suomalaiset organisaatiot suhtautuvat välinpitämättömästi DLP-tekniikoihin, mutta arvioivat silti tietoturvan vaikuttavan organisaatioonsa seuraavien viiden vuoden aikana. (Vaikutuksen vakavuudeksi arvioitiin 3,0 asteikolla 1–5, kuin yleiseurooppalainen arvio 3,2)
Tutkimuksen mukaan IT-osastot ponnistelevat Suomessa täyttääkseen vastuunmukaisuusvaatimukset, kuten maksukorttien turvastandardin (PCI DSS) ja ISO 27001 -standardin vaatimukset. Silti organisaatioissa ei yllättäen olla selvillä siitä, miten tekniikat voivat auttaa niitä tässä.
Tutkimus kertoo, että ulkoiset uhat ovat suurin yksittäinen huolenaihe tietoturvan kannalta. (Arvio ongelmasta oli 3,6 asteikolla 1–5, ongelma koettiin vakavammaksi kuin Norjassa, Ruotsissa ja Tanskassa sekä keskimäärin Euroopassa 2,7).
Muita suomalaisten tärkeiksi uhkiksi mainitsemia tietojenkäsittelyyn liittyviä asioita organisaatiossa olivat henkilöstön Internetin käyttö (3,2) ja sisäisten käyttäjien omat toimet (3,1). Kaikkia näitä huolenaiheita yhdistää yksi asia: tietojen jakaminen käyttäjien välillä (usein Internetin kautta). Useiden julkisuuteen tulleiden tapausten, joissa arkaluonteisia tietoja on menetetty, taustalla on juuri tämä asia.
Kalevi Nikulainen
