...

Collapick

Tietoturva UKK – Collapickin ja Bittigurun asiantuntijavinkit yrityksesi turvaamiseen

ERP / Julkaistu 5.8.2024 / Päivitetty 14.10.2024
Asiantuntijat: Petteri Torssonen ja Janne Mustonen
Lukuaika 9 min

Venäjän hyökkäyksen jälkeen erilaiset tietojärjestelmiin kohdistuvat hyökkäykset ovat lisääntyneet räjähdysmäisesti, mutta myös koronaepidemia on lisännyt verkossa tehtävien rikosten määrää. Tietoturvauhkia on aina ollut, mutta niiden määrä on kasvanut eksponentiaalisesti. Uutisvirta on täynnä ohjeita ja varoituksia yksittäisiin käyttäjiin kohdistuvista kalasteluista. Erilaiset toimijat pyrkivät aiheuttamaan häiriöitä, varastamaan tietoja ja vaikuttamaan yritysten toimintakykyyn sekä maineeseen julkaisemalla yrityksen sisäisiä tietoja julkisuuteen. Yritykset eivät voi enää tuudittautua siihen ajatukseen, ettei tällaista voi tapahtua heille.  

Kysyimme kahden teknologiajohtajan mietteitä tietoturvasta asiakkaan näkökulmasta katsottuna. Tässä artikkelissa usein kysyttyihin kysymyksiin vastaavat Collapickin Petteri Torssonen sekä Bittigurun Janne Mustonen. Yhdessä nämä tahot tekevät yhteistyötä taatakseen Collapickin asiakkaiden tietoturvan, mutta Bittiguru on ottanut haltuunsa myös uuden liiketoimintamallin, jossa suuryritysten tietoturvatasoja tuodaan myös pienyritysten sekä PK-sektorin käyttöön. Uusi tuoteperhe kantaa nimeä BG Defender, ja kerromme siitä artikkelin viimeisessä kappaleessa.

Mitkä ovat yleisimpiä tietoturvauhkia, kun puhutaan järjestelmätoimittajasta tai itse järjestelmäkäyttäjästä?

Järjestelmäkäyttäjä

Suurin tietoturvauhka tällä hetkellä on käyttäjä. Ihmiset ovat inhimillisiä, ja erityisesti suomalaiset haluavat uskoa toisten ihmisten hyvyyteen. Usein tietomurrot johtuvat siitä, että käyttäjä huijataan luovuttamaan pääsy tietoihin. Tämä on helpoin tapa murtaa yrityksen tietoturva, koska monilla yrityksillä palomuurit ja mahdollisesti myös tietoturvasovellukset ovat kunnossa.

On tärkeää perehdyttää, opettaa ja kouluttaa loppukäyttäjiä tietoturvaan ja tietoturvauhkiin, jotta he eivät availe pääsyä yrityksen pilvipalveluihin tai omalle tietokoneelle. Etätyön aikana yrityksen tietokoneilla saatetaan antaa lasten pelata tai tehdä kotisurffailua, mikä lisää tietoturvariskejä. Näitä riskejä voidaan vähentää pitämällä laitteet yrityksen keskitetyssä hallinnassa.

Käyttäjien omat laitteet

Tietoturvariskiä lisää myös omien laitteiden käyttö yrityksen tietojen käsittelyyn, jota kutsutaan myös ”bring your own device” -kulttuuriksi. Emme aina tiedä, onko näissä laitteissa tietoturvasovelluksia. Jos laite murretaan, se voi tarjota pääsyn yrityksen tietoihin.

Monilla asiakkaillamme ERP-järjestelmät pyörivät paikallisissa verkoissa, joihin pääsy tapahtuu VPN-yhteyksien* (virtuaalinen erillisverkko/virtual private network*) kautta. Tietoturvariskejä syntyy, jos VPN-verkot eivät ole ajan tasalla. Teollisuusyrityksissä paikallisiin ERP-järjestelmiin voidaan ottaa yhteyttä eri tavoin, ja käyttäjät saattavat olla kirjautuneina järjestelmiin heikolla salasanalla, mikä lisää tietoturvariskejä.

Laitteet, joiden olemassaoloa ja tietoturvatilaa ei tiedetä

Erityisen ongelmallista on, jos ERP-järjestelmän ylläpitovastuuta ei ole kenelläkään. Järjestelmä saattaa toimia vuosikausia ilman päivityksiä tai valvontaa, ja pääsy järjestelmään saattaa olla henkilöillä, joilla ei enää pitäisi olla oikeuksia. Säännölliset järjestelmäauditoinnit ovat tärkeitä, jotta voidaan varmistaa järjestelmän ajantasaisuus, varmuuskopioiden kunto ja käyttöoikeuksien asianmukaisuus. Jos yrityksellä ei ole osaamista näiden asioiden hoitamiseen, ne jäävät usein tekemättä, mikä lisää tietoturvariskejä.

Millaisilla toimenpiteillä yritys voi suojata tietojaan?

Käyttöoikeuksien hallinta on oleellinen osa suojausstrategiaa. Sen avulla voidaan määritellä, keillä on tiettyjen tietojen, järjestelmien sekä resurssien käyttöoikeus ja missä tilanteissa. Esimerkiksi Collapick Odoo -ERP:ssä käyttöoikeuksia voidaan hallita ja rajata esimerkiksi roolipohjaisesti. 

Tietomurrolta suojaa myös kaksivaiheinen tunnistautuminen, joka on käyttäjätunnuksen ja salasanan lisänä käytettävä erillinen tunnististustapa, kuten Microsoft Autenticator. Tässä tapauksessa hyökkääjän tulisi saada käyttöönsä monivaiheisen tunnistautumisen kertakäyttökoodikin onnistuakseen tietomurrossa. Jokaisen on hyvä omaksua myös turvalllinen salasanakäytäntö, jossa käytetään vahvoja salasanoja, vaihdetaan niitä säännöllisesti, eikä käytetä samaa salasanaa useammassa eri palvelussa, jolloin esimerkiksi yhdestä palvelusta vuotanut salasana mahdollistaisi tunnusten laajemman hyväksikäytön.

Tietomurroilta voi suojautua pitämällä yrityksen käyttämät ohjelmistot ja järjestelmät päivitettynä, sillä suurin osa itse toteutettavista ohjelmistopäivityksistä sisältää nimenomaan haavoittuvuuksien korjauksia. Haavoittuvilla järjestelmillä on aina isompi riski joutua tietomurron kohteeksi. Säännölliset päivitykset sekä haavoittuvuuksien korjaukset tehdään Collapickin ja Bittigurun kesken yhteistyössä, sillä ne saattavat aiheuttaa järjestelmän käyttöön katkoksen.  Collapick Odoo -ERP itsessään ei vaadi  pakotettuja versiopäivityksiä ollakseen tietoturvallinen, jolloin yritys voi käyttää olemassaolevaa versiota, mikäli se edelleen palvelee nykyisiä ohjelmistotarpeita.  

Verkkohyökkäyksien varalta myös yrityksen palomuurit on hyvä pitää kunnossa, mutta pelkkä asentaminen ei riitä – niiden toimintaa on myös valvottava jatkuvasti. Yleinen virhe on ostaa palomuuri ja asentaa se verkon reunalle, mutta jättää sen lokit ja toiminta huomiotta. Jos hyökkääjä pääsee tunkeutumaan yrityksen verkkoon, hän voi seurata tilannetta viikkojen ajan huomaamatta. Mikäli epäilyttävää liikennettä ei havaita tunnistusvaiheessa, hyökkääjillä on runsaasti aikaa kerätä tietoja ja lopuksi aktivoida hyökkäys. Tämä voi johtaa esimerkiksi yrityksen tietojen kryptolukitukseen ja lunnasvaatimuksiin tai kiristykseen tietojen julkaisemisella. Edistyneempi teknologia, kuten tekoäly, voi auttaa valvomaan yrityksen sisäverkon ja työasemien toimintaa. Tekoäly voi tunnistaa normaalista poikkeavan toiminnan ja varoittaa siitä, mikä auttaa ehkäisemään tietomurtoja.

Yrityksellä tulisi olla nimetty henkilö tai tiimi, joka seuraa tietoturvan tilaa. Bittigurun BG Defenderin kaltaisten valmiiden työkalujen avulla yritys voi valvoa tietoturvaa ilman syvällistä asiantuntemusta. Työkalu antaa selkeän kuvan siitä, onko kaikki kunnossa, ja mahdollistaa tietoturvan arvioinnin. Jos yrityksellä on IT-henkilö, hän voi suorittaa tietoturva-auditointeja ja laatia niistä raportteja. Bittigurun uusi palvelu tarjoaa pääsyn kaikkiin tarvittaviin työkaluihin, ja yritys voi valita, ylläpitääkö tietoturvaa itse vai ostaako ylläpitopalvelut ulkopuolelta.

Miten iso merkitys datan sijainnilla on tietoturvaan?

Kun tieto sijaitsee Suomen rajojen sisäpuolella, voidaan sanoa, että sen turvallisuus on hyvällä tolalla. Tietovuodot tapahtuvat yleensä valokuitukaapeleiden ja vastaavien reittien kautta, joten vaikka konesalin ympärillä olisi vahvat turvatoimet ja aseistettu vartija, se ei takaa tiedon turvallisuutta. Tietoa voidaan varastaa valokuitujen kautta palomuurien läpi mahdollisten tietoturva-aukkojen kautta, jolloin hyökkääjä voi sijaita missä päin maailmaa tahansa. Kun data on Suomen rajojen sisäpuolella, tiedetään, että se kulkee suomalaisissa tietoverkoissa, joihin kolmas osapuoli ei pääse käsiksi. Jos tieto siirretään ulkomaille, emme voi enää tietää, kuka on yhteydessä kyseisiin valokuituihin ja kuka saattaa kuunnella tietoliikennettä. Esimerkiksi Yhdysvallat ja Venäjä ovat vuosikymmenten ajan harjoittaneet tietoliikenteen salakuuntelua asentamalla omia vakoilulaitteitaan Atlantin alapuolella kulkeviin kaapeleihin.

Useimmat toimijat uskaltavat luvata tietojen sijainniksi EU-alueen. Julkisella sektorilla saatetaan vaatia tietojen säilyttämistä Suomen sisällä, mutta monille pienyrityksille riittää, että tieto on EU:n sisällä. Esimerkiksi Microsoft 365 -tuotteita käytettäessä tiedot voivat sijaita hajautetusti eri maissa, kuten Ranskassa, Saksassa tai jossain muussa EU-maassa. Bittigurulla on oma palvelinlaitteisto sekä konesali Outokummussa, jolloin data sijaitsee yrityksen omissa tiloissa, ei julkipilvessä tai ulkomailla. Yleisesti pilvipalveluun tallennetun tiedon maantieteellinen sijainti tai tallennetun tiedon elinkaari riippuvat palveluntarjoajasta ja asiakkaan kanssa tehdystä palvelusopimuksesta.

Miten pilvipohjaisen ERP-järjestelmän tietoturva on toteutettu?

Collapick Odoo ERP-kokonaisratkaisu, sekä sen muodostavat Odoo ja Collapick Tempo -lisäosat ovat pilvipalveluita, jossa Collapick antaa asiakkaidensa käyttöön verkon yli käytettävän järjestelmän. Ohjelmistoa käytetään verkkoselaimella, eikä sitä asenneta kiinteästi yrityksen laitteille. Palvelun toteutuksesta ja järjestelmän teknisestä tietoturvasta vastaa palveluntarjoaja, ja asiakkaalla onkin hyvin rajalliset mahdollisuudet vaikuttaa näiden toimintojen konkreettiseen toteutukseen. Avoimeen lähdekoodiin pohjautuvalla Odoolla on myös oma yhteisö, joka testaa ja kehittää jatkuvasti järjestelmän tietoturvaa ja korjaa siinä ilmeneviä aukkoja. Collapick on toteuttanut myös itse tietoturvaan liittyviä testauksia esimerkiksi käyttäjätunnistautumiseen liittyen. 

Pääsääntöisesti pilvipalveluiden toiminta taataan varmuuskopioinnin tai palveluiden kahdentamisen avulla. Varmuuskopioinnissa tieto kopioidaan turvalliseen paikkaan ja kahdentamisessa koko palvelu replikoidaan toiseen paikkaan, jotta palvelu on ajantasainen ja käytettävissä samaan aikaan eri paikoissa. Varmuuskopiot ja kahdennukset voivat sijaita missä päin maailmaa tahansa riippuen siitä, missä palveluntarjoajan ja palvelinkumppanin palvelinkeskukset tai käytettävät palvelinkapasiteetit sijaitsevat. Collapick ja Bittiguru hyödyntävät kolminkertaista varmuuskopiointia, joista kahta kopiota säilytetään eri formaatissa ja yhtä kopiota irti verkosta. 

Yleisesti pilvipalveluun tallennetut tiedot voivat sijaita palveluntarjoajasta riippuen yhdessä tai useammassa eri paikassa sekä yhdessä tai useamassa eri maassa. Collapick esimerkiksi ostaa kapasiteettia Bittigurulta, jolloin tietoja tallennetaan paikalliseen konesaliin. Pienemmillä toimijoilla voi olla myös omia konesaleja tai palvelinkeskuksia, joihin tieto tallennetaan. 

Pilvipalvelujen tietoturva eroaa paikallisten järjestelmien tietoturvasta esimerkiksi siten, että pilvipohjaisessa järjestelmässä voi suorittaa päivityksiä, lisätä ja poistaa toiminnallisuuksia, tehdä rajoituksia, hallinnoida käyttäjäoikeuksia ja toteuttaa huoltotoimia reaaliaikaisesti, nopeasti ja helposti. Pilvipalvelun toiminnallisuuksia voidaan siis kytkeä käyttöön, pois käytöstä sekä yhdistää toisiin palveluihin nopeasti ja helposti käyttäjän tarpeen mukaan. Pilvipalveluiden käyttö ja kuormituksen seuranta sekä resurssien hallinta ovat yleisesti ottaen helpompia ja läpinäkyvämpiä, mikä mahdollistaa myös toiminnan ja kulujen optimoinnin. 

Kuka vastaa yrityksen tietojen suojaamisesta?

Lopulta tietoturvasta vastaa aina yritys itse, ja erityisesti sen hallitus, kuten kaikesta muustakin yhtiön toiminnasta. Pilvipalvelun kokonaisturvallisuus muodostuu kuitenkin useista osista, niin palveluntarjoajan että asiakkaan tietoturvakäytännöistä, sekä itse pilvessä toimivan järjestelmän tietoturvasta. Siten yritys ei tietenkään voi vaikuttaa esimerkiksi ERP-järjestelmän mahdollisiin tietoturva-aukkoihin. Vastuu määräytyy myös osittain sopimuksen ehtojen kuten sanktioiden perusteella, jos tietoturvaongelma johtuu esimerkiksi Collapickin huolimattomuudesta. Vaikka yrityksen hallituksella onkin lopullinen vastuu tietoturvasta, myös työntekijöiden on osattava toimia turvallisesti, sillä jokaisella on tärkeä rooli käytännön työssä. 

Pilvipalveluja käytettäessä on tärkeää punnita mahdolliset riskit ja arvioida niiden sopivuus omalle yritykselle. Lisäksi voidaan tehdä toimenpiteitä pilvipalveluiden riskien vähentämiseksi, kuten käyttää sisäisiä verkkoja ja rajoittaa palveluun pääsyä VPN-teknologian avulla, jolloin verkko ei ole julkisesti avoinna. Pääsyä pilvipalveluihin voi rajoittaa myös sallimalla yhteydet vain tietyistä IP-osoitteista. Jos asiakas haluaa lisäturvaa, voidaan esimerkiksi sopia, että kotitoimistolta ei ole pääsyä järjestelmiin.

Collapickin ja Bittigurun välisessä yhteistyössä hyvää on se, että voimme rakentaa erilaisia tietoturvaratkaisuja. Palveluissamme on perustaso, mutta tarjoamme mielellämme lisämahdollisuuksia, jotka tuovat asiakkaalle luonnollisesti myös hieman lisäkustannuksia.

Bittigurun uusi liiketoimintamalli BG Defender -tietoturvaportaali auttaa tietoturvan kanssa painivia yrityksiä

Yrityksen tietoturvan tilasta on usein vaikea saada kokonaiskuvaa, ja sen hallinta voi tuntua monimutkaiselta. Bittigurun tavoitteena on tehdä tietoturvasta selkeää ja yksinkertaista. Uuden liiketoimintamallin tarkoituksena on tuoda markkinoille BG Defender -tuoteperhe, joka hallinnoi kattavasti yrityksen tietoturvan eri osa-alueita.

BG Defenderin seurantatyökalu sisältää työpöytänäkymän, joka tarjoaa yhdellä silmäyksellä kokonaiskuvan yrityksen tietoturvatilanteesta. Näkymä kertoo ovatko työasemat ja mobiililaitteet kunnossa, onko niissä poikkeamia ja tarvitsevatko ne reagointia. Portaali kattaa kaikki yrityksen laitteet ja hyödyntää erilaisia tietoturvaohjelmistoja. Se soveltuu myös laitteiden hallintaan, jolloin tiedetään laitteelle asennetut ohjelmistot, mahdolliset tietoturvauhat ja järjestelmäpäivityksen tila. Laitehallinnalla voidaan estää ei-toivottujen sovellusten asentaminen ja poistaa tarpeettomia sovelluksia. Työkalu auttaa kartoittamaan myös sellaisten koneiden tilan, joiden historiaa ei tunneta. Työkalu näyttää myös historiatiedot tietoturvahyökkäyksistä, mikä helpottaa seurantaa.

BG Defenderin arviointityökalu mahdollistaa oman tietoturvan tilan arvioinnin. Portaali sisältää suomenkielisiä kysymyksiä, joihin vastataan erilaisilla asteikoilla hyödyntämällä liukusäädintä. Lopputuloksena järjestelmä antaa raportin joka kertoo, mitkä asiat ovat kunnossa ja mitä pitäisi kehittää. Bittiguru voi konsultoida yritystä näissä kipukohdissa ja auttaa toteuttamaan tarvittavat muutokset.

Bittigurun tietoturvaperheen ytimessä ovat seuranta- ja arviointityökalut, mutta yritys tarjoaa myös muita tietoturvapalveluita – kuten turvapostin, virustorjunnan ja käyttöoikeuksien hallinnan. Palvelut ovat kuukausiveloitteisia ilman aloitusmaksuja, ja sisältävät kaikki tarvittavat tietoturvakomponentit. Asiakkaan nykyiset tietoturvaohjelmistot kuten WithSecure (entinen F-Secure) tai Symantec, sekä Windows-työasemien päivitystiedot voidaan integroida Bittigurun portaaliin. Tämä mahdollistaa koko järjestelmän tilan seuraamisen yhdestä n’kymästä ja näiden tuotteiden keräämän datan keskitetyn tarkastelun. 

Myös tietoturvavalvonta sekä järjestelmäauditointi ovat osa BG Defender palveluita. Tietoturvavalvonnassa Bittigurun tietoturva-asiantuntijat voivat vastata portaalin hälytyksiin ja toteuttaa tarvittavia toimenpiteitä asiakkaan luvalla, kuten puhdistaa saastuneen ympäristön. Yrityksen järjestelmäkäyttäjiä voidaan testata lähettämällä heille simuloituja sähköpostihyökkäyksiä. Jos käyttäjä klikkaa vaarallista linkkiä, hän saa tiedon testistä ja ohjeistuksen muutaman minuutin koulutukseen. Näin opitaan tunnistamaan vastaavia hyökkäyksiä. Jos käyttäjä toistaa virheen koulutuksen jälkeen, hänet voidaan ohjata laajempaan tietoturvakoulutukseen. Osana järjestelmäauditointia Bittiguru on listannut yli 24 tietoturvakomponenttia. Bittigurun teknologiajohtaja Janne Mustosen mukaan mikäli yritys ottaa käyttään viisi tärkeintä, on tietoturva jo hyvällä mallilla, vaikka esimerkiksi isommilla teollisuusyrityksillä on lisäksi omat erityistarpeensa. 

 

Kysyttävää Collapick Odoo ERP-järjestelmän tietoturvasta?

Ota yhteyttä teknologiajohtajaamme Petteri Torssoseen!

 

Mikäli kiinnostuit Bittigurun BG Defenderistä, kysy lisää: 

Kristian Kettunen
Asiakkuuspäällikkö
0400 304 602
kristian.kettunen@bittiguru.fi

Petteri Torssonen

Teknologiajohtaja, projektit

050 347 5122

petteri.torssonen@collapick.com