Leo Niemelä, LähiTapiola: Johtaja, investoi hakkereihin!
Tietoturvallisuuden ekosysteemiin on kasvamassa uusi sukupolvi – valkohattuiset hakkerit. Perinteisten tietoturvallisuuden työkalujen rinnalle astuu uusi sukupolvi, joka etsii tietojärjestelmistä heikkouksia. Näille kybermaailman partiolaisille maksetaan saavutetuista tuloksista, ei heikkouksien etsintään käytetystä ajasta.
Digitalisaation nopeus vaatii organisaatioilta yhä ketterämpiä turvallisuuden hallintaan liittyviä toimenpiteitä aina sovelluskehityksestä toimitusketjujen hallintaan. Uuden sukupolven tietoturvallisuuden työkalupakkiin kuuluvat osana eettiset hakkerit – he ovat kaikkien yritysten saatavilla ja käytettävissä.
”Bug Bounty –ohjelma antaa luvan ulkopuolisille eettisille hakkereille tehdä tietoturvatutkimusta yrityksen antamiin kohteisiin. Ohjelman avulla yrityksellä on hallittu tapa havaita, seurata ja hallita kohteena olevan palvelun turvallisuutta. ”
Olen tavannut kymmeniä valkohattuisia hakkereita ympäri maailman ja tiedustellut heidän motivaatiotaan hakkeroida laillisesti ja luvallisesti yrityksiä, jotka maksavat haavoittuvuuksien löytämisestä palkkiota.
Ei liene yllätys, että tärkein motivaatiotekijä on raha eli bountyt. Myös kyberrikolliset ovat rahan perässä – miksi emme sallisi tällaista laillista ansaintalogiikkaa valkohattuhakkereille? He etsivät luvallisesti haavoittuvuuksia järjestelmistä, raportoivat ne yritykselle korjausta varten ja saavat siitä korvauksen.
Kestävä turvallisuustyö vaatii perinteitä rikkovia ajatusmalleja
Tietoturva-ala elää ja markkinoi asioita uhkakuvien sekä vastakkainasettelujen kautta, mutta tulevaisuuden yritysjohto vaatii tietoturvallisuudelta paljon enemmän.
Uusi tietosuoja-asetus siirtää ajattelumaailman siihen, miten yritykset suojaavat asiakkaiden tiedot ja miten tietoturvallisuuden ammattilaisten tuovat siihen oikeat keinovalikoimat. Pelottelulla ja uhkakuvien maalailulla voi saada pikavoittoja. Kestävä ja hyvä pohja turvallisuustyölle rakennetaan kuitenkin tuomalla johdon agendalle perinteitä rikkovia ajatusmalleja.
Yritysjohtajien tulisi käynnistää vuoropuhelu tietoturvallisuudesta vastaavien kanssa ja haastaa heidät tutkimaan, voisiko oikea työkalu olla Bounty-ohjelma.
Suomessa on jo nyt paljon osaamista tällaisen ohjelman käynnistämiseen ja oikein rakennettuna ohjelma on yritykselle riskitön. LähiTapiolan oma Bounty-ohjelma on ollut käynnissä yli kolme vuotta ja mitkään ennakkovalmisteluissa arvioidut riskit eivät ole toteutuneet. Päinvastoin, olemme matkan aikana saaneet yli 600 haavoittuvuusraporttia, joista olemme korjanneet yli 200 haavoittuvuutta.
Tarkemmat tilastot on koottu ohjelmamme etusivulle: https://hackerone.com/localtapiola
Yrityksissä työskentelee yhä enemmän nuoria tietoturvallisuuden tekijöitä ja he ovat ketteriä, eteenpäin pyrkivä ja motivoituneita työssään. Heillä on hyviä näkemyksiä sekä uusia innovaatioita tietoturvallisuuden kehittämiseen – yritysten johdon on tuettava heitä saavuttamaan tavoitteensa.
Leo Niemelä
Tietoturvajohtaja
LähiTapiola -ryhmä