IT-alalla toimivana se määrä mitä isoiltakin CISOn omaavilta firmoilta löytyy legacy-purkkaa joiden tietoturvasta ei ole oikein mitään takeita on pelottavan iso. Moni firma vetää vielä jonkun vanhan Oraclen yms. päällä olevan sillisalaatin kanssa koska sitä ei voi vaan tehdä uusiksi ilman jättimäisiä investointeja ja tuotantokatkoja, case Oriola ja Tikkurila yrittivät tätä ja ei mennyt ihan putkeen. Moni toimari ei halua itseään lööppeihin kertomaan miksi tuotanto/myynti tyssäsi, toisaalta nyt eivät halua julkisuuteen siksi että tiedot vuotivat. Ojasta allikkoon jne.
Kuntasektori huolettaa vielä enemmän, menemättä yksityiskohtiin niin siellä on monessa paikkaa käytössä ratkaisu joka perustuu Office-makroihin ja jotka ei edes toimi uusimmilla Office-versioilla. Ei onneksi terveydenhuollon/sosiaalihuollon puolella käsittääkseni.
Totta tuokin. Itse tunnen parhaiten isojen yritysten toimintatavat ja -mallit tietoturvan suhteen. Vaikka niistäkin jokaisessa on oma legacy-softasotkunsa pilvipalvelukuoren alla, sekin hoidettiin ainakin henkilötietojen osalta melko hyvään kuosiin GDPR-jumpan yhteydessä ja auditoidaan säännöllisesti.
Veikkaan, että kuntapuolella sarkaa riittää. Tiedän siitä puolesta lähinnä kollegoiden kautta, joten vaikea kommentoida sen enempää.
Pienet ja osa keskisuuristakin yrityksistä ovatkin sitten melkoinen villi länsi.
“Kiristyksen tultua ilmi syyskuun lopussa 2020 Nixu on myös tarkistanut Vastaamon tietojärjestelmiä ja vahvistanut niiden suojausta. Nixun selvityksessä ei ole ilmennyt viitteitä siitä, että tietojärjestelmiin olisi tunkeuduttu maaliskuun 2019 jälkeen.”
Osakekurssin reaktio hieman yllätti, mutta onhan tämä oivaa mainosta Nixulle.
Tietoturva on harvassa yhtiössä vieläkään osana liiketoimintaprosesseja. Siinä riittäisi vielä tekemistä Nixulle ja muillekin. Samoilla apajilla on nyt Tieto, CGI, Accenture ja kaikki muutkin suuret. Mutta kyllähän yksittäisten järjestelmien turvaaminen on näille kaikille pala kakkua. Kyllä ne turvallisiksi saadaan ja yleensä helposti.
Itsellä vähän sellainen kutina, että Vastaamon hakkeroineet saattavat päätyä vielä vastaamaan teoistaan. Tämä on merkittävyydessään ja vastenmielisyydessään sen luokan teko, että tarvittaessa apua saadaan varmasti myös muilta, kuin suomalaisilta tahoilta. Jos ovat pelkkään Tor-verkkoon luottaneet jälkiä peitellessään saattaa luvassa olla yllätyksiä.
Vastaamo-casen jälkeen tietoturva-asiat on otettu nyt yrityksissä ihan eri tavalla pöydälle kuin aiemmin. Teen työssäni paljon myös myyntiä ja nyt kuukauden sisään on käytännössä jokaisessa myyntipalaverissa kysytty tietoturvasta, vaikka aiemmin se oli aihe joka ei juuri ketään kiinnostanut. Samoissa palavereissa asiakkaat ovat kertoneet että ovat tilanneet tietoturva-auditointeja ja nämä asiat täytyy olla kunnossa. Auditointien tasosta riippuen jokaisessa firmassa varmasti riittää kehitettävää enemmän tai vähemmän ja Nixun palvelutarjoama sopii todella hyvin niihin tarpeisiin.
Tätä kakkua jakamassa on toki monia muitakin yrityksiä, mutta Nixun koko bisnes on tietoturvan auditointia, kehittämistä ja ylläpitoa. Voin kuvitella että Nixun myyjillä on aika helpot ajat kun asiakkaille ei tarvitse vääntää rautalangasta että miksi tietoturvaan kannattaa investoida ja mitkä seuraukset voivat pahimmillaan olla jos nämä investoinnit jättää tekemättä. Vastaamo nousee varmasti esiin jokaisessa myyntipalaverissa ja uskoisin että aiheesta tullaan uutisoimaan jatkossakin, viimeistään siinä vaiheessa kun Vastaamo hakeutuu konkurssiin.
Pohjalla kun on vielä nuo jo aiemmin tehdyt ja vaikuttamaan alkaneet kannattavuustoimenpiteet, niin uskoisin että Nixu tulee kertomaan omistajilleen todella mukavia uutisia seuraavan vuoden aikana.
Disclaimer: olen alkanut Nixun osakkeenomistajaksi Vastaamon tietomurrosta uutisointien jälkeen ja odottelen innolla Q4 tulosta ja ensi vuoden tuloksia
EU-maan ulkoministeriö on joutunut verkkovakoilun uhriksi, kertoo ZDnet. Crutch-niminen haittaohjelma varastaa arkaluontoisia asiakirjoja suodattamalla ne salaa hyökkääjien valvomien Dropbox-tilien kautta. Crutch on aiemmin yhdistetty Turla-hakkeriryhmään.
Toistaiseksi hyökkäystä tutkiva ESET ei ole paljastanut tapauksen kohteesta muita yksityiskohtia kuin sen, että uhriksi on joutunut EU-maan ulkoministeriö, mikä on linjassa Turlan aikaisempien hyökkäysten kanssa. Hyökkäyksen analyysi osoittaa, että haittaohjelmaa on voitu piilotella ja päivittää jopa vuosia sen tehokkuuden säilyttämiseksi.
”Hyökkäysten hienostuneisuus ja tekniset yksityiskohdat vahvistavat edelleen käsitystä siitä, että Turla-ryhmällä on huomattavia resursseja operoida suurta ja monipuolista arsenaalia", sanoi kertoo ESET:in haittaohjelmien tutkija Matthieu Faou.
Hyökkäyksen hienostuneisuudesta huolimatta organisaatiot voivat välttää vastaavia iskuja melko yksinkertaisin turvatoimin. Fauon mukaan hyökkääjät ovat pystyneet liikkumaan järjestelmässä ja vaarantamaan useita laitteita hyödyntämällä samoja salasanoja. Tutkija uskoo käyttöoikeuksien rajoittamisen tekevän hyökkäämisestä hankalampaa ja suosittelee järjestelmänvalvojia käyttämään kaksivaiheista todennusta sekä monimutkaisia salasanoja.
Olisi varmaan voitu tämäkin selkkaus välttää sillä että tietoturva olisi auditoitu ulkoisen toimijan tekemänä. Vähitellen varmasti kasvaa ymmärrys siitä että sisäinen selvitys ei ole riittävä, koska todennäköisesti organisaatiossa ainoat pätevät ihmiset tietoturvaselvityksen tekemiseen ovat ne samat henkilöt jotka ovat oikaisseet jossain ja esimerkiksi käyttäneet samoja(jopa vakio-) salasanoja palvelimissa, tietokannoissa ym.
Aika mediaseksikkäitä tietomurtoja tapahtunut nyt lyhyen ajan sisään Nixun myyntityötä helpottamaan. On ihme jos asiakkaat eivät ala ymmärtämään että data ja sen suojeleminen on yritysten kannalta elintärkeää.
Inbound-kysyntä erityisesti tietoturvatarkastuksille on kasvanut merkittävästi nyt tietoturvallisuuden ollessa taas todella pinnalla. Toki vuoden loppu on muutenkin tarkastuksille vilkasta aikaa. Meidän liiketoimintamme kannalta erityisen olennaista on, miten paljon tarkastusinto kääntyy kehitysprojekteiksi, joissa tietoturvallisuutta pyritään laittamaan aivan oikeasti kuntoon.
Hesarissa viikko sitten juttu tietoturvasta, jossa viitataan Etlan tutkimukseen. Ikäviä juttuja, mutta kuulostaa hyvältä Nixun kannalta. Muutama nosto:
Viime vuonna tietoturvaongelmia kohtasi 42 prosenttia suomalaisista suuryrityksistä, kun koko EU:ssa niitä ilmeni 23 prosentilla.
Poliisin tietoon tulleet kyberrikokset, kuten tietomurrot, ovat määrältään kaksinkertaistuneet parissa vuodessa.
Kyberturvallisuuskeskukselle ilmoitettujen verkkohuijausten ennakoitu lukumäärä on tänä vuonna yli viisinkertainen viime vuoteen verrattuna.
Säännöllistä tietojärjestelmien turvallisuustestausta tehtiin Ruotsissa ja Tanskassa useammissa yrityksissä kuin Suomessa, ja niissä dokumentoituja tietoturvakäytänteitä pidettiin paremmin ajan tasalla.
Suomen kyberturva-alan edunvalvontajärjestön FISC:n tutkimuksen mukaan lähes kaksi kolmasosaa suomalaisista kyberturvayrityksistä kokee pulaa alan osaajista, ja se koettiin myös suurimmaksi esteeksi alan kasvulle.
Jos tuossa jotain positiivista on, niin juuri se, että tietomurto kyettiin havaitsemaan.
Eduskuntaan kohdistunut hyökkäys havaittiin eduskunnan sisäisessä teknisessä valvonnassa.
– Siinä on hatunnoston paikka, Koivunen sanoo.
Yllättävän pieni kohu tuosta kuitenkin nousi kun ajattelee kuinka merkittävästä asiasta on kyse. Ehkäpä sen vuoksi, että tiedottaminen on tutkinnallisista syistä tiukkaa eikä lehdet pysty tästä syystä repimään skandaalinkäryisiä otsikoita. Kyberturva on siinä mielessä hieno ala, että ilmaista markkinointia on takuuvarmasti luvassa myös tulevaisuudessa.
Maaorganisaatiot pois ja tilalle viisi liiketoiminta-aluetta:
Asiakaskokemus (Client Experience)
Asiantuntijapalvelut (Expert Services)
Hallinnoidut palvelut (Managed Services)
Markkinalaajentuminen (Market Expansion)
Innovaatiot (Labs)
Tiedotteen melko lyhyellä kuvauksella en ehkä ihan saa kiinni kaikkien alueiden sisällöstä - onko asiakaskokemus esimerkiksi siis uudeelleen nimetty myynti vai …? . Toivottavasti näitä avataan hieman lisää ensi viikon tilinpäätöksen julkaisun yhteydessä.
Samalla myös johtoryhmää uuteen uskoon:
Nixun johtoryhmä 1.3.2021 alkaen:
Petri Kairinen, toimitusjohtaja (Chief Executive Officer)
Valtteri Peltomäki, johtaja, asiakaskokemus (SVP Client Experience)
Björn-Erik Karlsson, johtaja, asiantuntijapalvelut (SVP Expert Services)
Mats Lindgren, johtaja, markkinalaajentuminen (SVP Market Expansion)
Pietari Sarjakivi, johtaja, innovaatiot (SVP Labs)
Janne Kärkkäinen, talousjohtaja (Chief Financial Officer)
Katja Müller, henkilöstöjohtaja (Chief People Officer)
Verrokiksi nykyinen:
Petri Kairinen, toimitusjohtaja (Chief Executive Officer)
Janne Kärkkäinen, talousjohtaja (Chief Financial Officer)
Valtteri Peltomäki, Finland Market Area leader
Björn-Erik Karlsson, Sweden Market Area leader
Pietari Sarjakivi, Leadership Team Advisor
Katja Müller, henkilöstöjohtaja (Chief People Officer)
Jesper Svegby, Chief Commercial Officer (CCO)
Kim Westerlund, Chief Development Officer (CDO)
Errit Müller, Denmark Market Area Leader
Omaan silmään tuosta osuu CCO ja CDO tittelien katoaminen.
Perustatko tuon “eivät ole sukua” -väitteen siihen että toinen on Tanskassa ja toinen Suomessa?
Ok, ikäeron mukaan ei varmasti ole tytär, mutta voisin lyödä ainakin 50% salkustani vetoa että jokin sukulaisyhteys löytyy Ei olisi ensimmäinen kerta kun veljen tyttärelle tai siskon pojalle hoidellaan vähän parempaa duunia kun on koulutkin käynyt niin hyvin ja tunnollisesti
Luotto Nixun johtoportaaseen heikentyy entisestään. 2019 loppuvuoden “ennustevirhe” on edelleen muistissa eikä tälläinen kasvata luottoa.
Pyritään pitämään tämäkin ketju siistinä sen sijaan että aletaan keksimään syytöksiä aiheesta mistä ei ole itsellä alkeellisintakaan faktatietoa. Tackar.
