Digitaalisaatio on tullut jäädäkseen. Se tarjoaa meille aivan uusia liiketoimintamahdollisuuksia, mutta toisaalta organisaatioihimme kohdistuvat (tietoturva)riskit ovat saaneet aivan uuden muodon.
Kuinka meidän sitten tulisi suhtautua muuttuneen maailman riskeihin? Luonnollisesti organisaation hallinnollisen turvallisuuden tulee olla kunnossa. Organisaatiolla tulee olla tietoturvallisuuden tavoitetila, jota kohden organisaatio haluaa kulkea. Monesti tällaisen tavoitetilan reunaehdot määritellään organisaation tietoturvapolitiikassa. Tämän lisäksi vähintääkin organisaation riskienhallinnan, omaisuudenhallinnan mukaan lukien tietojen ja järjestelmien luokittelun, toimintaohjeiden ja käyttäjien koulutuksen tulee olla kunnossa. Tässä tekstissä keskityn kuitenkin tarkastelemaan muutamia teknisiä kokonaisuuksia, joihin jokaisen tulee mielestäni kiinnittää huomiota. Nämä kokonaisuudet ovat:
- Käyttövaltuudet ja salasanat
- Järjestelmien päivitykset
- Haittaohjelmasuojaus
- Verkkoliikenteen suodattaminen
- Varmuuskopiointi
Käyttövaltuudet ja salasanat: karkeasti voidaan sanoa, että yhdestäkään hienosta teknisestä tietoturvaratkaisusta ei ole apua, mikäli käyttövaltuudet on määritelty väärin. Tällöin voidaan päätyä pahimmillaan tilanteeseen, jossa vihamielinen henkilö pystyy lukemaan tai muuttamaan tietoa vapaasti, koska hänen käyttövaltuutensa antavat siihen mahdollisuuden. Vastaavasti, jos hyökkääjä pystyy arvaamaan käyttäjän salasanan liian helposti, niin hyökkääjällä on mahdollisuus päästä uhrin tietoihin kiinni. Ja mikäli organisaatiossa käytetään pilvipalveluja (Office 365, Google Drive, jne), niin tällöin salasanojen merkitys kasvaa entisestään. Koska pilvipalveluiden ideana on mahdollistaa palvelun käyttäminen useimmiten ajasta, paikasta ja laitteesta riippumatta, niin mikäli hyökkääjä saa käyttäjän salasanan haltuunsa, niin hyökkääjä pystyy niin ikään käsittelemään tietoja milloin tahansa, mistä tahansa ja millä tahansa. Oma suositukseni on, että kaikkiin palveluihin otettaisiin kaksivaiheinen tunnistautuminen käyttöön, jos palvelu vähänkään sitä tukee. Lisäksi käyttäjille tulee kouluttaa hyvän salasanahygienian perusteet. Meidän tulee muistaa, että organisaation tulee myös kouluttaa käyttäjille sallitut tavat, miten salasanat tulee säilyttää. Ei ole enää realistista olettaa, että käyttäjät muistaisivat kaikki (vahvat) salasanat kirjoittamatta niitä jonnekin ylös.
Ohjeistettavat asiat:
- Salasanan laatuvaatimukset
- Miten salasanoja saa tai tulee säilyttää (+ mahdolliset salasananhallintasovellukset)
- Miten tunnistaa mille sivulle salasanan ja käyttäjätunnuksen voi syöttää (erityisesti pilvipalveluissa)
- Miten toimia, jos epäilee, että oma käyttäjätunnus ja salasana ovat saattaneet paljastua.
Järjestelmien päivitykset: Mikäli organisaation järjestelmät ja sovellukset on päivitetty viimeisimpiin versioihinsa, niin tämä hankaloittaa merkittäväksi hyökkääjien toimintaa. Erityistä huomiota tulee kiinnittää internettiin näkyviin palveluihin sekä kriittisten käyttäjien työasemiin.
Tänä päivänä jokaista internettiin näkyvää palvelinta ”koputellaan” aivan varmasti. Monet koputteluista ovat melko yksikertaisia pelkästään koneellisia käyttäjätunnus-salasana-parin arvauskokeiluja, mutta aina välillä palvelimia koestetaan myös tunnetuilla hyökkäyskoodeilla. Erityisesti hyökkäyksissä näkyy piikkejä silloin kuin jokin uusi haavoittuvuus on nostettu julki. Aivan viimeisimpien kuukausien aikana maailmalla on esiintynyt kiristysohjelmia, jotka pyrkivät salaamaan palvelimien kovalevyjä. Nämä haittaohjelmat pyrkivät nimenomaan hyödyntämään haavoittuvia sisäverkon palvelimia. Monesti uhrit ovat myös näissä tapauksissa halukkaampia maksamaan lunnaat, koska sisäverkon palvelimilla on useimmiten organisaatiolle erittäin arvokasta tietoa.
Loppukäyttäjien työasemat luovat perusturvallisuuden käyttäjillä. On myös enemmän kuin todennäköistä, että jokainen käyttäjä joutuu joskus epämääräiselle sivulle tai lataa sovelluksen, joka sisältää haitallista koodia. Tämän johdosta on erittäin tärkeää, että käyttäjien päätelaitteet ovat ajan tasalla (sekä työasemat että mobiililaitteet).
Haittaohjelmasuojaus: Haittaohjelmasuojauksen tarve jakaa mielipiteitä merkittävässä määrin. Toinen leiri on sitä mieltä, että haittaohjelmasuojaus on syytä olla kaikissa laitteissa aina ja toinen leiri taasen pitää suojausta tarpeettomana vedon haittaohjelmien harvinaisuuteen omalla alustallaan. Itse olen todennut, että pyrin asentamaan haittaohjelmasuodatuksen, jos sellainen on tarjolla. Perustan tämän siihen, että olen jokaisessa organisaatiossa nähnyt, miten olemassa olevat suojaukset ovat estäneet haittaohjelmatartuntoja. Tämän lisäksi, mikäli laitteen käyttöjärjestelmä ei ole täysin päivitetty, niin haittaohjelma suojaus (saattaa) ehkäistä tartuntoja.
Haittaohjelmasuojauksesta tulee myös huomata, että käyttäjille tulee kouluttaa miten epämääräisten tiedostojen luottavuudesta voi varmistua. Ei siis riitä, että ohjeistetaan ”älä avaa epämääräistä tiedostoa”, vaan käyttäjille on kerrottava miten epäselvissä tilanteissa tulee toimia. (Sama koskee myös helpdeskiä, myös heille on kerrottava miten epämääräiset tiedostot tulee tutkia.)
Verkkoliikenteen suodattaminen: Palomuureista ja liikenteen suodattamisesta on ollut puhetta jo pitkään. Nykyään tietoliikennettä ei kuitenkaan kannata suodattaa täysin samoin periaattein kuin esimerkiksi 10 vuotta sitten. Nykyään käyttäjät liikkuvat, palvelimet voivat sijaita pilvessä ja ”kaikki” tietoliikenne kulkee joko portin 80 tai 443 kautta. Näinpä perinteinen palomuuri organisaation reunalla ei tarjoa kuin osittaista suojaa. Uusilla ns. seuraavan sukupolven palomuureilla suodatusta voidaan tehostaa huomattavasti. Uudet palomuurit osaavat ”haistella” liikenteestä älykkäästi sen sisällön. Tämä puolestaan mahdollistaa sovelluspohjaisten sääntöjen luomisen. Lisäksi monet muurit pystyvät myös tunnistamaan vihamielisiä yhteyksiä liikenteestä, joten näin ”helpot” hyökkäykset pystytään estämään jo verkon reunalla.
Vaikka uudet palomuurit ovatkin erittäin kyvykkäitä laitteita, niin ihmeisiin nekään eivät pysty. Näin ollen suodatuslaitteiden säännöt on jatkossakin pidettävä terveenä eikä turhia avauksia sovi olla. Lisäksi suosittelen, että niiltä osin kuin verkon segmentointi on mahdollista, niin verkon eri suojausvyöhykkeiden välistä liikennettä tulisi rajoittaa. Tämä koskee myös ulospäin menevää liikennettä.
Varmuuskopiointi: Perinteisesti varmuuskopioinnilla on pyritty varautumaan fyysisiin laitteiden hajoamiseen. Sittemmin järjestelmät ovat tulleet luotettavimmiksi ja pilvipalvelumaailmassa tietojen varmistaminen on monesti jätetty palvelun tarjoajan huoleksi. Näinpä varmuuskopiointia tunnutaan välillä kovasti aliarvostettavan. Mutta, varmuuskopiointi on edelleen tärkeää. Toimiva varmuuskopiointi on muun muassa kaikista halvin tapa palauttaa salatut tiedot kiritysohjelman jäljiltä. Pilvipalvelujen varmuuskopioinnin toteutus on myös syytä ymmärtää. Monesti palveluntarjoajat tarjoavat 30 päivän nauhakierron. Käytännössä tämä tarkoittaa sitä, että mikäli tallennettuja tietoja muuttuu huomaamatta, vahingossa tai tahallaan, niin organisaatiolla on 30 päivää aikaa havaita virhe ennen kuin virheellinen tieto alkaa korvata ehjiä varmuuskopiolta.
Lopuksi: onneksi tietoturva ei ole rakettitiedettä vaan pieniä oikeita tekoja jokapäiväisessä elämässämme. Kun varmistamme, että edellä mainitut asiat ovat kunnossa, niin useimmat organisaatiot pääsevät jo pitkälle. Ja jos edellä mainitut asiat ovat jo kunnossa, niin sitten voikin aloittaa syventymisen lokienhallinnan ihmeelliseen maailmaan.
Antti Pirinen toimii Tietoturva ry:n hallituksen puheenjohtajana 2016. Leipätyönään Antti toimii Verizonella tietoturva-asiantuntijana päätehtävänään asiakasverkkojen poikkeamanhallinta. Ennen Verizonea Antti työskenteli KPMG:llä tietoturva-asiantuntujana sekä KPMG Suomen tietoturvapäällikkönä. Tietoturvan parissa Antti on työskennellyt vuodesta 1999 saakka.