Puhtaan pöydän periaate

Kuvitellaan tilanne, että työhuoneessasi vierailee joku ulkopuolinen. Hän saattaa olla työkaveri, muuta henkilökuntaa, siivooja, asiakas tai muuten vain ulkopuolinen henkilö. Hän saattaa vierailla huoneessasi työaikaan tai kun et ole itse paikalla.

Oletko koskaan ajatellut, kuinka paljon työpöydälläsi on sellaista tietoa, jota et haluaisi näiden muiden henkilöiden näkevän?

Monessa organisaatiossa on käytössä niin sanottu puhtaan pöydän periaate tai -politiikka. Kyseessä on ohjeistus, jota kaikkien kannattaisi noudattaa. Puhtaan pöydän periaatteen idea on se, että esimerkiksi työpöydällä ei saa säilyttää sellaista materiaalia, jota ei haluta muiden näkevän.

Vaikka työhuoneesi olisikin lukittu, niin sinne on silti aina jollain pääsy. Tai vaikka olisitkin itse paikalla, niin silti työpöydältäsi saattaa vuotaa tietoja. Jos työpisteelläsi vierailee joku, niin hän näkee kaiken mitä pöydälläsi on. Hän saattaa ottaa jopa työpöydästäsi kännykkäkameralla kuvan huomaamattasi.

puhtaanpoydanperiaate
Yllä olevassa kuvassa on normaali työpiste; tietokone, lisälaitteet, puhelimia ja jotain lappuja. Varmasti tuttu näky kaikille toimistotyöläisille. Eihän tästä puutu oikeastaan muuta, kuin keltaiset näyttöön liimatut Post-it laput.

Kuvassa ei sinänsä ole mitään erikoista, mutta jos kuvaa tutkii tarkkaan, voidaan todeta, että ainakaan puhtaan pöydän periaatetta tässä ei ole noudatettu. Klikkaa kuva auki ja katso mitä kaikkea siihen on todellisuudessa tallentunut!

Kuvan ottanut henkilö on saanut paljon arkaluonteista tietoa haltuunsa melko pienellä vaivalla…

Seuraavaksi kun lähdet töistä, mieti pitäisikö työpöytää ensin hieman siivoilla?

Tietoturva käytännössä

Tässä on listattuna muutama Tietojesiturvaksi.fi -sivuston blogiviesti, jotka kuvaavat hyvin, miten tietoturvallisuus esiintyy käytännön elämässä. Julkaisut sisältävät hyviä vinkkejä, yleisohjeita ja tosielämän case-esimerkkejä tietoturvaan liittyen.

Tietoturvallisen toimintaympäristön rakentaminen alkaa oikeasta asenteesta:

Ihmisen toiminta on olennaisessa osassa yrityksen tietoturvaa. Työntekijöiden tietoturvatietouden lisääminen auttaa ehkäisemään vakavia uhkia. Kerro henkilöstölle:

Jos haluat parantaa yrityksesi tietoturvaa, niin aloita vaikka tällä tietoturvan kehittämisen muistilistalla. Muista myös huolehtia toiminnan jatkuvuudesta ja dokumentoinnista!

 

Sosiaalinen hakkerointi käytännössä

Selvitetään aluksi mitä sosiaalinen hakkerointi tarkoittaa, jonka jälkeen käsitellään itse esimerkkitapaus. Näin esimerkkitapauksen kokonaiskuva hahmottuu paremmin.

Mitä on sosiaalinen hakkerointi?

Hakkeroinnilla (/krakkeroinnilla) tarkoitetaan yleisesti esimerkiksi tietojärjestelmien heikkouksien hyödyntämistä luvattoman pääsyn hankkimiseksi.

Sosiaalisessa hakkeroinnissa on tarkoituksena saada kohteena oleva ihminen esimerkiksi luovuttamaan tietoja hyökkääjälle, joita kohde ei yleensä kolmansille osapuolille luovuttaisi. Tyyppiesimerkkinä tästä on vaikkapa esiintyä työntekijänä, joka on kadottanut salasanansa, ja soittaa it-tukeen uuden salasanan saamiseksi. Mikäli hyökkääjä on tarpeeksi uskottava, saattaa hän saada huijattua it-tuesta itselleen pääsyn järjestelmiin, joihin hänellä ei normaalisti olisi pääsyä.

Sosiaalinen hakkerointi etenee yleensä siten, että ensin kerätään taustatietoa kohteesta, sitten keksitään jonkinlainen taustatarina johon nojaudutaan ja lopuksi pyritään toteuttamaan ”hakkerointi”, sekä hankkimaan halutut tiedot hyökkäyksen kohteelta.

 

Käytännön esimerkki sosiaalisesta hakkeroinnista

Helsingin sanomat uutisoi 1.7.2012 rikollisista, jotka ovat tyhjentäneet yritysten tilejä kaappaamalla puhelinliittymiä.

HS:n uutisen mukaan rikolliset etenivät seuraavalla tavalla:

  1. Rikolliset valitsivat tietyt yritykset ja selvittivät niistä tarkempia tietoja.
  2. Rikolliset laativat väärennetyn hallituksen kokouksen pöytäkirjan, jossa yrityksen tilin käyttöoikeudet päätetään siirtää henkilölle X.
  3. Rikolliset ilmoittavat teleoperaattorille, että yrityksen hallituksen puheenjohtajan sim-kortti on rikki/kadonnut.
  4. Teleoperaattoria pyydetään ohjaamaan hallituksen puheenjohtajan puhelut toiseen numeroon. Numero on tietysti rikollisten käytössä.
  5. Henkilö X menee pankkiin nostamaan rahoja yrityksen tililtä.
  6. Pankkivirkailija tarkistaa pöytäkirjan (tai muun vastaavan dokumentin) ja tekee varmistussoiton yritysen hallituksen puheenjohtajalle.
  7. Koska puhelu siirtyy rikollisten numeroon, niin heidän on helppo vahvistaa dokumentin aitous.
  8. Rikollinen saa rahat…ainakin osassa tapauksista. Uutisen mukaan parhaimmillaan jopa kymmeniä tuhansia euroja.

Rikolliset siis toteuttivat ensin taustatietojen tarkistusta (yrityksen nimi, puheenjohtaja jne), joiden perusteella he laativat taustatarinat (pöytäkirjat). Itse hakkerointi on tässä tapauksessa pankkivirkailijan luottamuksen hankkimista ja sen vahvistamista puheluun (kohta 7.) vastaamalla.

Pankit ja operaattorit ovat sen verran isoja toimijoita, että asiakkaan näkökulmasta heihin ei voi oikein muuta kuin luottaa. Pienemmille yrityksille luottamuspula voi kuitenkin aiheuttaa sellaisen kolhun liiketoimintaan, että koko toiminta voi loppua.

Oli kyseessä sitten iso tai pieni yritys, tulisi sosiaaliseen hakkerointii varautua edes jotenkin. Tunnetusti ihminen on tietoturvan heikoin kohta. Aihe on kuitenkin hankala, koska ihmiseen ei voi asentaa esimerkiksi palomuuria, joka estää asiattomat kyselyt ihmismieleen.

Sen sijaan jos ihminen pystyy tunnistamaan hankalan tilanteen, pystyy hän todennäköisesti toimimaan siinä myös paremmin. Kouluttaminen ja tietoturvatietoisuuden lisääminen ovat siis olennaisessa osassa sosiaalisen hakkeroinnin torjunnassa.

Tietoturva-asiat postipakettia noutaessa

Kuinka helppoa on toisille osoitettujen pakettien noutaminen ja mitä tekemistä sillä on tietoturvan kanssa? Lue tositarinaa tapahtuneesta!

Henkilö A oli tilannut ulkomaalaisesta nettikaupasta tavaraa, mutta paikkakunnalta toiselle muutosta johtuen toimittajalla oli väärät yhteystiedot. Korjausyrityksistä huolimatta paketti ehti lähteä toiseen kaupunkiin vanhoilla osoitetiedoilla.

Henkilöt A ja B tekivät valtakirjan, jolla henkilö B saa noudettua tuon väärään osoitteeseen lähteneet sekä tietyllä seurantakoodilla varustetun paketin. Henkilö B meni noutamaan pakettia, niin noutopisteen työntekijä C kertoi, että mitään valtakirjoja ei tarvita. Riittää kun B kertoo henkilötunnuksensa loppuosan, joka sitten merkittiin kuittiin.

B antoi seurantakoodin ja sai paketin, joka oli jo maksettu. Hän ilmoitti suullisesti henkilötunnuksensa loppuosan. Outoa tässä oli se, että työntekijä C ei missään vaiheessa tarkistanut henkilön B henkilöllisyyttä eikä vaivautunut edes lukemaan tarjottua kahden tekstirivin valtakirjaa sen tarkemmin. Mitään allekirjoituksia noutamisesta ei myöskään pyydetty. Toisin sanoen paketin saamiseksi riitti se, että tiesi tarvittavan seurantanumeron.

Tietoturvanäkökulmat:

  • Jos ei tiedä seurantakoodia, niin osapuoli C tuskin antaa pakettia eteenpäin. Tämä oli ainut hyvä asia koko tapauksessa!
  • Työntekijä C vaaransi tietoturvaa ja todennäköisesti laiminlöi työtehtäviään kun ei pyytänyt allekirjoitusta (unohdus?) eikä tarkistanut henkilöllisyyttä (laiskuutta?)
  • Työtenkijä C luotti sokeasti henkilön B kertomaan henkilötunnuksen loppuosaan, eikä tarkistanut sitä mistään.
  • Työntekijälle C tarjottiin mahdollisuutta tarkistaa kahden tekstirivin valtakirja, mutta hän ei sitä tehnyt koska ”hän ei sitä tarvitse”.
  • Jos valtakirjaa olisikin tarvittu, niin miten helppoa sellainen on väärentää? Periaatteessa tässä olisi riittänyt kahden eri allekirjoituksen väärentäminen.

 

Esimerkkitapaus liittyi tällä kertaa yksityishenkilöiden välisiin asioihin. Yrityselämässä kannattaa kuitenkin muistaa se, että vaikka oma yrityksesi olisikin tietoturvan suurlähettiläs (vrt henkilöt A ja B, valtakirja jne), niin alihankkijat (vrt työntekijä C) voivat touhuta ihan mitä sattuu. Heiltä on osattava vaatia tiettyä tietoturvan tasoa päivittäisissä asioissa. Tässäkin esimerkissä henkilön A tilaamat tavarat olisivat pahimmassa tapauksessa menneet jonnekin aivan muualle ja työntekijän C ansiosta asian selvittäminen/jäljittäminen oli tehty erittäin hankalaksi. Henkilön B piti tosiaan tietää tuo seurantakoodi, mutta sen jälkeen asiat menivät erittäin helposti eteenpäin.

Millainen on turvallinen salasana?

Yleisesti hyväksytty turvallisen salasanan resepti on seuraava:

  • Helppo muistaa
  • Vaikea arvata
  • Vähintään x merkkiä pitkä
  • Sisältää eri kokoisia kirjaimia, numeroita ja erikoismerkkejä
  • Ei löydy sanakirjasta
  • Eri joka järjestelmässä

Salasanan pituus on hieman kyseenalainen asia. Esimerkiksi ennen on pidetty riittävänä, että 8 merkkiä on tarpeeksi. Nykyään esimerkiksi cert-fi suosittelee, että se olisi vähintään 15 merkkiä. Toisin sanoen, kohta voidaan puhua yleisesti jo salalauseesta!

Salanan on oltava helposti muistettava

Mikäli salasana on liian vaikea, tarvitsee se usein palauttaa mieleen. Ihminen on yleisesti ottaen kuitenkin niin laiska, että jossain vaiheessa hän kuitenkin kirjoittaa sen esim lapulle.

Salasana ei saa olla arvattavissa

Perheenjäsenten, sukulaisten, kaverien ja lemmikkien nimet ovat huonoja salasanoja, koska ne on helppo arvata. Jos jonkun salasanaa pitäisi arvuutella, niin todennäköisesti arvuuttelu alkaisi em listan perusteella. Myös harrastukset ja muut kiinnostuksen kohteet ovat huonoja salasanoja sellaisenaan.

Salasanan pituudella on merkitystä

Nykyaikaiset tietokoneet ovat sen verran tehokkaita laskukoneita, että liian lyhyet salasanat pystytään aukaisemaan kohtuullisen pienellä vaivalla. Ideana tässä on se, että tietokone käy jokaisen vaihtoehdon läpi kunnes löytää oikean. Esimerkkinä kone voisi etsiä 3 merkkisestä salasanasta sitä oikeaa testaamalla ensin aaa, sitten aab, aac, aad ja niin edelleen. Mitä pitempi salasana, sitä enemmän vaihtoehtoja on käytävä läpi!

Kirjaimet, numerot ja erikoismerkit

Edelliseen esimerkkiin viitaten, mikäli käytössä on vain pieniä kirjaimia, riittää että kone testaa merkit a-ö. Jos käytössä on myös numerot, kasvaa lista taas merkeillä 0-9. Jos tähän otetaan vielä erikoismerkkejä !#%& jne, niin lista kasvaa edelleen. Pidemmän listan läpikäyminen kuluttaa enemmän aikaa.

Löytyy vai ei löydy sanakirjasta?

Jos koittaisit arvata jonkun salasanaa, niin yrittäisit varmaan tiettyjä sanoja tietyssä järjestyksessä? Sinulla olisi lista tietyistä sanoista, joita aiot kokeilla. Kuten sanottu, nykyaikaiset koneet ovat niin tehokkaita, että ne tekevät saman operaation erittäin nopeasti. Ei tule siis yllätyksenä, että esimerkiksi tuhansia sanoja sisältävän listan läpikäyminen ei kestä kauaa. Kone käy listaa läpi niin kauan, että oikea sana löytyy. Paitsi tietty jos salasanasi ei ole kyseisellä listalla!

Eri salasana joka järjestelmässä

Mikäli käy niin huonosti, että salasanasi järjestelmään X paljastuu, niin ei hätää jos olet käyttänyt eri salasanaa järjestelmässä Y. Yhden tiedon paljastuminen ei siis vaaranna muita tietoja!

Esimerkki turvallisesta salasanasta

Muutama esimerkki perusteluineen:

  • PeKoOn@Norjassa! = Lyhennys lauseesta Pekan Koti On Norjassa!
  • !#_uusiRisu41ta_#! = helposti muistettavissa oleva kuvio tms