Pingauksia verkkoon

Näkökulmia tietoturvaan ja tietoliikenteeseen

Tietoturvan palapelin kokoaminen

18. toukokuuta 2017

Palapelin palat

 

”Vive la république!”

 

Näillä sanoilla Emmanuel Macron tervehti Ranskan kansalaisia presidentinvaalien voiton varmistuttua toukokuun ensimmäisenä sunnuntaina. Samalla pyyhkiytyi unholaan vain kaksi päivää aiemmin paljastunut tietomurto, jossa Macronin johtaman En Marche! –liikkeen sähköposteja ja tiedostoja oli julkistettu ensin äärioikeistolaisten ylläpitämällä www-palvelimella ja myöhemmin Wikileaksin sivuilla. Aitojen dokumenttien mukaan oli tietysti solutettu tekaistuja asiakirjoja, nykyistä muotisanaa käyttäen niin sanottua disinformaatiota, jonka tarkoitus oli muokata yleistä mielipidettä Macronin vastaiseksi juuri ennen vaaleja.

 

Lista huonosti toteutetun tietoturvallisuuden mahdollistamista hyökkäyksistä on loputon. Vain kaksi viikkoa Ranskan presidentinvaalien jälkeen mm. brittiläisen SoTe-sektorin yllätti käyttöjärjestelmän haavoittuvuuksia hyväksikäyttänyt WannaCry-kiristysohjelma. Eikä kotimaiset pankit lamaannuttaneesta käytettävyyshyökkäyksestä tai Suomen ulkoministeriön tietovuodosta mahdottoman kauan ole. Perinteisesti verkkohyökkäykset ja tietomurrot ovat olleet rikollisten keinoina vahingoittaa kaupallisia yrityksiä ja näiden liiketoimintaa. Tänään tietoverkkorikollisuus on toimialariippumatonta ja motiivit tietomurtoihin ja verkkohyökkäyksiin ovat moninaiset ja entistä todennäköisemmin haitanteko voi osua kenen kohdalle tahansa.

 

Tietomurtoja ja verkkohyökkäyksiä vastaan voi varautua tietysti pitämällä huolta järjestelmiensä tietoturvallisuudesta. Mitä se tarkoittaa? Tietoturvallisuutta myydään usein sisäänrakennettuna ominaisuutena osana järjestelmien kokonaistoimitusta. Myydään yhtä ja samanmuotoista palikkaa jonka tulisi sopia asiakkaan palapelissä tietoturvallisuus-nimiseen aukkoon. Tämä palikka ratkaisee kaikki tietoturvaongelmat tietenkin helposti ja näkymättömästi, ilman lisätyötä ja –vaivaa. Todellisuus on kuitenkin toinen. Asiakkaan palapelit ovat varsin erilaisia, kaikilla on omat erityistarpeensa ja puuttuvan palasen tulee sopia siihen tarkoitettuun aukkoon.

 

Miten voidaan varmistaa, että hankittava palanen on sopivan muotoinen ja kokoinen? Ensin tulee kartoittaa ja analysoida nykytilanne. Tietoturvallisuuden osalta nykytilanteen kartoitus tapahtuu parhaiten ulkopuolisen – ei siis sen tutun järjestelmätoimittajan – tekemän auditoinnin avulla. Tietoturvallisuuden määräaikaishuolloista tai terveystarkastuksistakin joskus puhutaan. Nämä nimet kuvaavat hyvin auditoinnin tarkoitusta ja sen tuomia hyötyjä. Säännöllisesti suoritettuna ne antavat hyvän kuvan juuri kyseisen tietoverkon erityispiirteistä ja kehitystarpeista.

 

Kun tarpeet on selvitetty, on aika muokata aukkoihin sopivat palat. Tietoverkon turvallisuus perustuu huolelliseen arkkitehtuurisuunnitteluun. Toki olemassa olevaan verkkoon isojen muutosten tekeminen on työlästä, mutta verkot kehittyvät ja laajenevat koko ajan ja ainakin uusien toimintojen osalta turvallisuus on syytä ottaa huomioon jo alkuvaiheessa. Tietojen ja tietojärjestelmien luokittelu auttaa ymmärtämään riskien todelliset vaikutukset toteutuessaan sekä kohdistamaan suojaustoimenpiteet oikeisiin kohteisiin oikeassa laajuudessa. Tietoverkkojen valvonta ja tilannekuvapalvelu auttavat havaitsemaan haittaohjelmat ja muut tietoturvaloukkaukset, mikä on tärkeää myös EU:n tietosuoja-asetuksen vaatimusten näkökulmasta. Entä hallinnollinen tietoturva, ovatko tietoturvapolitiikat, -ohjeistukset ja henkilöstön tietoturvakoulutus ajan tasalla?

 

Auditointien tekemättä jättäminen johtuu valitettavan usein siitä, että vaikka tiedetään tietoturvallisuuden vaativan kehitystä ja korjaustoimia, ei asiaa haluta tiedostaa. Vähän niin kuin jänis, joka laittaa päänsä pensaaseen ja toivoo tervehtyvänsä. Korjausehdotuksia sisältävä auditointiraportti aiheuttaa yleensä lisätöitä ja –hankintoja, joita halutaan välttää siinä pelossa, että korjaustoimet olisivat kohtuuttomia työmäärältään tai kustannuksiltaan. Näin voi ollakin, jos apuna toimiva kumppani tarjoaa tuotteistettuja palvelupaketteja tai ohjelmistoratkaisuja ymmärtämättä asiakkaan todellisia tarpeita. Jos asiakas osaa vaatia palvelua, sitä on myös saatavilla. Tällöin on käännyttävä monipuolisen ja ketterän kumppanin puoleen, joka ei pelkää tarttua hankaliinkaan haasteisiin. Jos yrityksesi tietoturvallisuuden tilaa ei ole viime aikoina selvitetty, älä laita päätäsi pensaaseen vaan toimi nyt. Tuloksena on todennäköisesti vino pino kehitystarpeita, mutta niiden kuntoon laittaminen oikean kumppanin kanssa ehkäisee kohtuullisen hyvin yritystä joutumasta vaikeuksiin erilaisten tietoturvaloukkausten taholta.


Timo Rinne

 

Timo Rinne on Ymonin CISSP- ja CISA-sertifioitu seniorikonsultti. Hänellä on kahdenkymmenen vuoden kokemus tietoturvallisuuden (ml. tietosuoja) toimeksiannoista lukuisissa kotimaisissa ja kansainvälisissä yrityksissä, käsittäen mm. auditointeja ja hallinnollista tietoturvaa. Timon tarkemman profiilin löydät LinkedInistä.