Traficomin Kyberturvallisuuskeskus varoittaa kriittisestä uhasta (mm. 10.12 ja 18.12.): ”Log4j-komponentin haavoittuvuus on aktiivisen hyväksikäytön kohteena – päivitä välittömästi!” Ja edelleen: ”Suosittelemme organisaatioita selvittämään, onko niillä Log4j-komponenttia käyttäviä palveluita käytössään.”

Kyberturvallisuuskeskuksen (sekä muun IT-uhkia koskevan uutisvirran) seuranta ja toimenpiteiden toteuttaminen niiden perusteella on IT-palvelutaloissa arkipäivää. Mutta kuinka monen organisaation IT-päälliköllä tai -vastaavalla on aikaa seurata uhkauutisointia kaiken muun tekemisen ohella? Ja jos ehtii, niin miten esimerkiksi tuota Log4j:n komponentin käyttöä käytännössä tulisi selvittää? Siihen ei vastauksia tai ohjeita löydy suoraan Kyberturvallisuuskeskuksen tai muiltakaan sivuilta.

Kyberturvallisuuskeskus ohjeistaa yleisellä tasolla mm. seuraavasti:

• Varmista, että kriittiset tietojärjestelmät ovat tiedossa, mukaan lukien pilvipalvelut.
• Varmista, että ainakin kriittiset tietojärjestelmät sekä palvelut tarkastetaan haavoittuvuuden varalta ylläpidon tai palvelutoimittajan toimesta. Jos vain mahdollista, kaikki organisaation tietojärjestelmät tulisi tarkistaa.
• Haavoittuvuuteen liittyvien korjausten lisäksi on huolehdittava vaikutusten rajaamisesta
• On aina varauduttava siihen, että organisaatiota on jo kohdannut tai kohtaa tietomurto.

Yrityksillä on useita eri sovelluksia käytössään. Voiko IT luottaa siihen, että sovellustoimittajat tekevät päivitykset ja nuo päivitykset päätyvät myös organisaation käytössä oleviin sovellusversioihin? Kuten Kyberturvallisuuskeskuskin toteaa samaisessa uutisessaan: ”Päivittäminen vie aikaa. Sovelluskehittäjät julkaisevat päivityksiä tuotteisiinsa, mutta niiden läpimeno ei tapahdu hetkessä. Haavoittuvan komponentin löytäminen voi olla haastavaa ja päivitystä pitää myös testata ennen sen käyttöönottoa.”

Melko monessa organisaatiossa sovellusympäristön dokumentaatio on vanhentunut tai puuttuu jopa kokonaan. Ns. varjo-IT eli yksittäisten henkilöiden tai eri toimintojen hankkimat ja käyttämät (pilvi)sovellukset voivat olla kokonaan pimennossa IT:ltä.

Yhä useammalla organisaatiolla on tarve hyödyntää ulkopuolista IT-kumppania uhkien seurantaan, havainnointiin ja torjuntaan.  Hyvä IT-kumppani huolehtii myös siitä, että asiakkaan ICT-ympäristö koskeva dokumentaatio on ajan tasalla, kolmansien osapuolten yhteystiedot, vastuut ja eskalointikanavat on kuvattu, organisaation tekniset ratkaisut edistävät tietoturvaa ja valmiussuunnitelmat ovat olemassa. Mikään organisaatio koosta, toimialasta, sijainnista tai tunnettuudesta riippumatta ei ole turvassa uhilta ja hyökkäyksiltä tänä päivänä – siksi uhan toteutumiseen on valmistauduttava.

Keskustellaanko lisää siitä, miten IT:n vastuita ja taakkaa voidaan jakaa myös tietoturvauhkien osalta hyvän IT-kumppanin kanssa?

Ota yhteyttä meihin sähköpostitse sales@prog-it.net tai puhelimitse 010 832 7202.