Yritysten tietoturva on murroksessa: perinteinen kyberpuolustus ei enää riitä.

– En halua sanoa, että virustorjuntaohjelmat, palomuurit ja verkon suojaaminen olisivat turhia asioita. Yritysten on kuitenkin hyvä herätä siihen tosiasiaan, että on muitakin keinoja päästä organisaation ympäristöihin, aloittaa tietoturvaan erikoistuneen Combitechin Jyrki Luukko.

– Siksi yritysten täytyy kehittää pelkän puolustautumisen sijaan myös valvonta- ja reagointikykyään.

Tulokulma valmistaa tietohallintoa siihen, että jollain aikavälillä rosvot ja hakkerit pääsevät väistämättä sisään järjestelmiin.   

Tietomurto voi aiheutua esimerkiksi käyttäjätunnusten varastamisesta tai siitä, että työntekijä on huijattu lataamaan haitallisia muistinvaraisia ohjelmia, joita virustorjuntaohjelma ei saa kiinni, koska tiedostoa ei ole.

– Järjestelmiin sisäänpääsy halutaan tietysti tehdä mahdollisimman vaikeaksi ja hyökkääjän etenemistä voidaan vaikeuttaa, mutta tietomurron estäminen voi olla jopa mahdotonta, sillä hakkerit keksivät aina uusia kikkoja.

”Jollain aikavälillä rosvot ja hakkerit pääsevät väistämättä sisään järjestelmiin.”

Haavoittuvuuksia hyväksikäyttäen kyberrikollinen pääsee käsiksi esimerkiksi Windowsin ylläpitotyökaluihin, joiden käyttöä ei voi estää järjestelmän kaatumatta.

Ympäristöjä ei voi koskaan suojata täysin, mutta onneksi niitä voidaan valvoa.

– Ajatellaan vaikka työasemia, joihin hyökkäys yleensä kohdistetaan. Voimme seurata sitä, onko käyttöjärjestelmän taustalla käynnissä epäilyttäviä prosesseja. Hyökkääjä jättää usein kulkiessaan jälkiä, jotka voidaan tunnistaa.

– Kun tietomurto onnistuu, hyökkääjä alkaa kokeilemaan mihin kaikkialle tunnuksilla pääsee. Tällöin syntyy esimerkiksi epäonnistuneita kirjautumisia sinne tänne ja käyttöjärjestelmää saatetaan käyttää outoon kellonaikaan. Jos tavanomainen käyttäjä haluaa skannata verkkoa yhtäkkiä laajemmin, niin ei se ihan normaalia ole, Luukko havainnollistaa.

Myös liikenteen suuntia voidaan vahtia. Onko verkosta otettu esimerkiksi yhteys hyökkääjien usein hyödyntämään Tor-verkkoon.

– Jossain vaiheessa rikollisen tavoitteena on verkkolevy tai tietokanta. Kun tietomurron tehnyt löytää jotain jännää, niin usein tiedoista otetaan itselle kerralla isompi paketti, kuten koko tietokanta työstettäväksi. Taas voidaan kysyä, miksi meidän nuhteeton Taavi Työntekijä lataa koko liiketoimintakriittisen tietokannan käyttöönsä?

 

Jyrki Luukon mukaan yritysten kannattaa kehittää havainnointi- ja reagointikykyään, jotta poikkeamista toivutaan mahdollisimman nopeasti.

 

Tietoturvakonsultti Luukko osoittaa myös käyttöjärjestelmien pääkäyttäjäoikeuksien tärkeyden.

– Itseänikin on joskus ärsyttänyt se, ettei yrityskoneiden asetuksiin voi tehdä muutoksia ilman admin-tunnuksia. Tietoturvan kannalta on kuitenkin tärkeää kyetä eriyttämään ja hajauttamaan järjestelmien käyttöä. Hyvä kysymys on, että jos hyökkääjä saa yksittäisen tunnuksen kaapattua, miten paljon haittaa hän pystyy sillä tekemään? Jos tietokantaan vaaditaan korkeammat oikeudet, hyökkäys pysähtyy siihen.

 ”Jos hyökkääjä saa yksittäisen tunnuksen kaapattua, miten paljon haittaa hän pystyy sillä tekemään?”

Miten yritysten sitten pitäisi lähteä liikkeelle tietoturvan ja valvonnan parantamisessa? Jyrki Luukko peräänkuuluttaa rationaalisuutta.

– Tietoturvan kanssa täytyy toimia vähän samaan tapaan kuin vakuutusten kanssa. Valvotaan vain vähän, jos mahdollisesta murrosta syntyvä haitta on pieni. Yritysten täytyy tunnistaa riskien olemassaolo ja rakentaa mallit riittävään valvontaan. Myös EU:n tietoturva-asetus GDPR edellyttää, että ne ympäristöt, joissa säilytetään henkilötietoja tulee valvoa ja mahdolliset tietomurrot havaita.

GDPR:n sanktiot taitavatkin tulla jo ite wikin lukijoilta ulkomuistista.   

Loppuun heitetään tietoturva-ammattilaiselle kysymys, joka mietityttää ajoittain meitä kaikkia: Minkälainen on hyvä salasana?

– 16 merkkinen salasana on hyvä, sen murtamiseen menee sata vuotta. Vaikeiden erikoismerkkien sijaan voi myös hyödyntää salasanalauseita, jotka on usein helpompi muistaa.   

 

Combitechin ite wiki -profiili
Combitechin kotisivut