Näin tunnistat hakkerin verkossasi – Kyberturvallisuus vaatii yrityksiltä reagointikykyä

19.9.2017 - Johannes Puro - Tietoturva

Tietomurtoa voi olla vaikea ehkäistä. Siksi ympäristöjä täytyy valvoa.

Näin tunnistat hakkerin verkossasi – Kyberturvallisuus vaatii yrityksiltä reagointikykyä


Yritysten tietoturva on murroksessa: perinteinen kyberpuolustus ei enää riitä.

– En halua sanoa, että virustorjuntaohjelmat, palomuurit ja verkon suojaaminen olisivat turhia asioita. Yritysten on kuitenkin hyvä herätä siihen tosiasiaan, että on muitakin keinoja päästä organisaation ympäristöihin, aloittaa tietoturvaan erikoistuneen Combitechin Jyrki Luukko.

– Siksi yritysten täytyy kehittää pelkän puolustautumisen sijaan myös valvonta- ja reagointikykyään.

Tulokulma valmistaa tietohallintoa siihen, että jollain aikavälillä rosvot ja hakkerit pääsevät väistämättä sisään järjestelmiin.   

Tietomurto voi aiheutua esimerkiksi käyttäjätunnusten varastamisesta tai siitä, että työntekijä on huijattu lataamaan haitallisia muistinvaraisia ohjelmia, joita virustorjuntaohjelma ei saa kiinni, koska tiedostoa ei ole.

– Järjestelmiin sisäänpääsy halutaan tietysti tehdä mahdollisimman vaikeaksi ja hyökkääjän etenemistä voidaan vaikeuttaa, mutta tietomurron estäminen voi olla jopa mahdotonta, sillä hakkerit keksivät aina uusia kikkoja.

”Jollain aikavälillä rosvot ja hakkerit pääsevät väistämättä sisään järjestelmiin.”

Haavoittuvuuksia hyväksikäyttäen kyberrikollinen pääsee käsiksi esimerkiksi Windowsin ylläpitotyökaluihin, joiden käyttöä ei voi estää järjestelmän kaatumatta.

Ympäristöjä ei voi koskaan suojata täysin, mutta onneksi niitä voidaan valvoa.

– Ajatellaan vaikka työasemia, joihin hyökkäys yleensä kohdistetaan. Voimme seurata sitä, onko käyttöjärjestelmän taustalla käynnissä epäilyttäviä prosesseja. Hyökkääjä jättää usein kulkiessaan jälkiä, jotka voidaan tunnistaa.

– Kun tietomurto onnistuu, hyökkääjä alkaa kokeilemaan mihin kaikkialle tunnuksilla pääsee. Tällöin syntyy esimerkiksi epäonnistuneita kirjautumisia sinne tänne ja käyttöjärjestelmää saatetaan käyttää outoon kellonaikaan. Jos tavanomainen käyttäjä haluaa skannata verkkoa yhtäkkiä laajemmin, niin ei se ihan normaalia ole, Luukko havainnollistaa.

Myös liikenteen suuntia voidaan vahtia. Onko verkosta otettu esimerkiksi yhteys hyökkääjien usein hyödyntämään Tor-verkkoon.

– Jossain vaiheessa rikollisen tavoitteena on verkkolevy tai tietokanta. Kun tietomurron tehnyt löytää jotain jännää, niin usein tiedoista otetaan itselle kerralla isompi paketti, kuten koko tietokanta työstettäväksi. Taas voidaan kysyä, miksi meidän nuhteeton Taavi Työntekijä lataa koko liiketoimintakriittisen tietokannan käyttöönsä?

 

Jyrki Luukon mukaan yritysten kannattaa kehittää havainnointi- ja reagointikykyään, jotta poikkeamista toivutaan mahdollisimman nopeasti.

 

Tietoturvakonsultti Luukko osoittaa myös käyttöjärjestelmien pääkäyttäjäoikeuksien tärkeyden.

– Itseänikin on joskus ärsyttänyt se, ettei yrityskoneiden asetuksiin voi tehdä muutoksia ilman admin-tunnuksia. Tietoturvan kannalta on kuitenkin tärkeää kyetä eriyttämään ja hajauttamaan järjestelmien käyttöä. Hyvä kysymys on, että jos hyökkääjä saa yksittäisen tunnuksen kaapattua, miten paljon haittaa hän pystyy sillä tekemään? Jos tietokantaan vaaditaan korkeammat oikeudet, hyökkäys pysähtyy siihen.

 ”Jos hyökkääjä saa yksittäisen tunnuksen kaapattua, miten paljon haittaa hän pystyy sillä tekemään?”

Miten yritysten sitten pitäisi lähteä liikkeelle tietoturvan ja valvonnan parantamisessa? Jyrki Luukko peräänkuuluttaa rationaalisuutta.

– Tietoturvan kanssa täytyy toimia vähän samaan tapaan kuin vakuutusten kanssa. Valvotaan vain vähän, jos mahdollisesta murrosta syntyvä haitta on pieni. Yritysten täytyy tunnistaa riskien olemassaolo ja rakentaa mallit riittävään valvontaan. Myös EU:n tietoturva-asetus GDPR edellyttää, että ne ympäristöt, joissa säilytetään henkilötietoja tulee valvoa ja mahdolliset tietomurrot havaita.

GDPR:n sanktiot taitavatkin tulla jo ite wikin lukijoilta ulkomuistista.   

Loppuun heitetään tietoturva-ammattilaiselle kysymys, joka mietityttää ajoittain meitä kaikkia: Minkälainen on hyvä salasana?

– 16 merkkinen salasana on hyvä, sen murtamiseen menee sata vuotta. Vaikeiden erikoismerkkien sijaan voi myös hyödyntää salasanalauseita, jotka on usein helpompi muistaa.   

 

Combitechin ite wiki -profiili
Combitechin kotisivut

 

Haastattelussa

Jyrki Luukko

Kirjoittaja

Johannes Puro

Liiketoimintajohtaja, ite wiki oy
ite wikin co-founder ja liiketoimintajohtaja. Kehitän ite wikin markkinapaikkaa ja rakennan verkostoja liiketoiminnan digitalisointikentässä.

Aiempia julkaisuja kirjoittajalta

« Palaa blogin etusivulle

Muita julkaisuja

Johannes Puro - Häiriövaste
Mikä on yrityksesi häiriövaste? Nopeasti tietomurtoon reagoinut Maersk menetti “vain” 200 miljoonaa dollaria
Johannes Puro - Digtaalisten palveluiden kehittäminen
Ohjelmistokehityksen, web- ja mobiilikehityksen ja julkaisujärjestelmien osaajayritykset Suomessa
Maria Sillanpää - Markkinointi
B2B-palveluiden markkinointi – näin teet vaikuttavampaa markkinointia ihmisiltä ihmisille
Johannes Puro - Internet of Things
IoT-palvelun Proof of Concept jo muutamassa päivässä – IoT-Ticket kasvaa ekosysteemin kautta
Johannes Puro - Alustatalous
Alustatalouden avulla rakennat yrityksellesi epäreilun kilpailuedun
Johannes Puro - Analytiikka
ite wikin analytiikkaa, top 25 blogit ja palautteita – sekä kuulumisia kentältä
Johannes Puro - Intranet
Suomalainen intranet levisi kaikille mantereille
Johannes Puro - Hackathon
Hackathon auttaa digitaalisen innovaation kehittämisessä
Johannes Puro - Taloushallinto
Pilvipohjaisuus, tehokas hankinnasta maksuun -prosessi ja tekoäly mahdollistavat supertaloushallinnon
Lataa lisää