Kyberkaries iskee alle kahdessa kuukaudessa

Tietoturvafirma Kenna tutki tunnettujen tietoturvareikien paikkaamiseen liittyviä aikaikkunoita. Siinä missä hammaslääkäri paikkaa reiät 15 minuutissa,
kuluu yrityksillä keskimääräisesti 100-120 päivää tietoturvareikien tukkimiseen.

Samaisen tutkimuksen mukaan yrityksellä on arviolta 40-60 päivää aikaa tukkia aukot. Muuten kyberkaries iskee 90% todennäköisyydellä.

Tietoturvareikiin hyökätään automaattisten työkalujen avulla. Niitä hyödyntäviä tahoja ei ensisijaisesti kiinnosta mihin hyökätään, kunhan onnistutaan.
Sitten pöllitään kaikki, mikä irti lähtee. Lopuksi vasta katsotaan, mitä on saatu.

Tietoturva-aukoista johtuvia riskejä voidaan pienentää. Kenna suosittelee käyttämään samoja työkaluja kuin vastapuolikin. Toisin sanoen yritysten kannattaa kartoittaa omien järjestelmiensä aukkoja systemaattisesti ja automatisoidusti.

Ellei IT-palveluiden ammattimainen ylläpito ole ydinliiketoimintaasi, niin anna homma jollekin muulle. On hölmöläisen hommaa koittaa hallita tietoturvapäivityksiä muun toiminnan ohella.

Videovinkki: Näin yrityksiä vakoillaan tällä hetkellä

Ylen aamu-tv:ssä (28.6.2016) haastateltiin EK:n johtavaa yritysturvallisuusasiantuntijaa. Aiheena oli yrityksiin ja valtioihin kohdistuva vakoilu.
10 minuutin mittainen video sisältää paljon olennaisia tietoturvallisuuteen liittyviä asioita. Suosittelen!

Viisi poimintaa videosta:

Kaikki yritykset eivät toki ole kohdistetun vakoilun kohteena. Silloinkin pitää silti valita, kumpaan jengiin kuulut. Niihin:

  1. joilla ei ole mitään salattavaa, ja jotka nyt toteavat, että asia ei koske meitä.
  2. jotka ymmärtävät (ja osoittavat ymmärtävänsä), että turvallisuusasiat tukevat liiketoimintaa, sekä mahdollistavat sen tekemisen kestävällä tavalla.

Valinta on helppo tehdä, mutta toteutus vaatii työtä ja oikeaa asennetta.

Salasitko myös poistetut tiedostot?

USB-tikun tai levyosion salaaminen ei välttämättä salaa aikaisemmin poistettuja tiedostoja. Osiolta on siis mahdollista palauttaa jo poistetut tiedostot. Asiasta kysyttiin alunperin Truecrypt-ohjeen kommenttiosiossa. Laittakaa vastaavia haastavia ja mielenkiintoisia kysymyksiä tulemaan!

Kun poistat tiedoston esim. USB-tikulta, niin tiedosto ei oikeasti poistu. Käyttöjärjestelmä ei vain enää näe tiedostoa. Tiedosto on kuitenkin olemassa edelleen. Lue aiheesta lisää: Tiedostojen turvallinen poistaminen.

Salausta tehdessä pitää tietää, salataanko tiedostojen lisäksi myös vapaa tila. Jo poistetut tiedostot sijaitsevat käyttöjärjestelmän näkökulmasta tuossa vapaassa tilassa. Jos vapaata tilaa ei salata, tiedostot on palautettavissa.

Testasin tätä käytännössä. Tallensin 6 tiedostoa osiolle. Poistin niistä sen jälkeen 3 ensimmäistä.

Testdisk poistetut tiedostot

Yllä olevasta kuvasta huomaa, että käyttämäni TestDisk-työkalu näkee edelleen poistetut tiedostot. Ne on merkitty kuvassa (heikosti luettavalla) punaisella tekstillä. Seuraavaksi salasin osion Truecryptillä. Käytin salauksen yhteydessä osion pikaformatointia, joka ei salaa vapaata tilaa.

photorec tiedostojen palauttaminen

Salauksen jälkeen ajoin Photorec-työkalun. Photorec löysi ja palautti salatulta osiolta jopa 7 tiedostoa (kuva yllä). Ne olivat tässä sekä aikaisemmassa testissä poistamani tiedostot.

Jotta poistettujen tiedostojen palauttaminen salatulta muistitikulta tai osiolta ei olisi mahdollista, pitää myös vapaa tila salakirjoittaa. Toinen vaihtoehto on ylikirjoittaa tila ennen salausta esimerkiksi DBAN-ohjelmalla. Jotkut salausohjelmat voivat myös ylikirjoittaa tyhjän tilan salauksen yhteydessä.

Linkkejä aiheeseen liittyville ulkopuolisille sivuille:

Tietoturvallisuuden (parempi) määrittely mahdollistaa mittaamisen

Tietoturvallisuuden määrittely on ongelmallinen. James M. Andersonin (CISSP), mukaan*  tarvitsemme täysin uuden määritelmän tietoturvalle. Andersonilla on hyvä pointti. Meidän pitää pystyä määrittelemään tietoturvallisuus paremmin, jotta 1) asiasta keskustelu olisi helpompaa, ja 2) tietoturvallisuuden mittaaminen onnistuisi paremmin.

Tietoturvallisuuden määritelmä aiheuttaa ongelmia

Tyypillisesti tietoturvallisuus määritellään seuraavasti. Tietoturvallisuus on tiedon eheyden, saatavuuden ja luottamuksellisuuden varmistamista. Ongelman paljastaa seuraava kysymys: miten voit mitata organisaation tietoturvan tasoa eli tiedon eheyttä, saatavuutta ja luottamuksellisuutta? Andersonin mukaan meillä ei ole järkeviä keinoja kyseisten asioiden mittaamiseksi. Ongelma muodostuu siitä, että tietoturvallisuuden määritelmä ei todellisuudessa kerro tarpeeksi konkreettisesti, mistä tietoturvallisuudessa on kyse.

Tietoturvan määritelmä aiheuttaa ongelmia myös tietoturvavastaaville ja organisaation johtajille. Olet vastuussa epämääräisestä asiasta. On myös hullua maksaa isoja summia rahaa jostakin, jota ei ole määritetty kunnolla.

Tietoturvallisuuden uusi määritelmä

Ongelman ratkaisemiseksi Anderson ehdottaa tietoturvan määritelmäksi seuraavaa:
”A well-informed sense of assurance that information risks and controls are in balance.”

Suomentaisin sen vapaasti näin:
”Hyvin perusteltu ja varma näkemys siitä, että tietoturvariskit ja -kontrollit ovat tasapainossa.”

Anderson avaa uutta määrittelyä julkaisussaan*. Pointti on se, että uusi määrittely mahdollistaa paremmin tietoturvan tason mittaamisen, sekä aiheesta keskustelun. Alla on omaa tulkintaani Andersonin julkaisua vapaasti suomentaen. Kappaleen lopussa suluissa, on se määrittelyn kohta, johon kuvaus kuuluu.

Hyvin perusteltu näkemys muodostuu kokonaisuuden tunnistamisesta. Tietoturvasta vastaavilla henkilöillä tulee olla osaamista, tietoturvan lisäksi, myös organisaation toimintaympäristöstä sekä liiketoiminnasta. Pitää osata kertoa, miten tietoturvallisuudella suojataan liiketoimintaa. Tietoturvan tasosta tulee kertoa systemaattisesti organisaation ylimmälle johdolle (well-informed).

Varmuus puolestaan muodostuu siitä, että organisaatio tietää tietoturvansa tason. On tiedettävä, mikä organisaatiota uhkaa ja miten uhkilta suojaudutaan (sense of assurance).

Tietoturvariskit ja niihin liittyvät uhat on oltava tunnistettu kyseisen organisaation näkökulmasta. Ei riitä, että tuntee samalla alalla toimivan organisaation riskejä. Kaikilla on omansa. On tunnettava yritys, toimintaympäristö ja siinä olevat riskit. Ymmärryksen perusteella rakennetaan tarvittavat suojaukset (information risks).

On pystyttävä osoittamaan, miten tietoa suojataan. On myös oltava varmuus, että suojaus toimii, kuten pitäisi. Muuten samaa virheellistä suojausta saatetaan monistaa useampaan ympäristöön, jolloin ongelmia kertaantuu useampaan paikkaan (information controls).

Vaikein asia on tunnistaa, ovatko uhat ja niitä vastaavat suojaukset tasapainossa, sekä toiminnallisesti että taloudellisesti. Organisaation ylimmän johdon on oltava tietoisia riskeistä. Heidän on myös ymmärrettävä ne, jotta riskejä käsiteltäisiin oikein (are in balance).

Mielestäni yleisesti käytetty määritelmä kiteyttää tietoturvallisuuden hyvin. Aihe on kuitenkin erittäin laaja ja usein sitä on avattava enemmän. Andersonin ehdottama määritelmä sisältää monia mitattavissa, ja helpommin keskusteltavissa olevia asioita. Olennaista on kuitenkin se, että organisaation työntekijöille kerrotaan, mitä tietoturvallisuudella tarkoitetaan, ja miten se vaikuttaa liiketoimintaan.

Tietoturvallisuus mahdollistaa paremman bisneksen. Asenne kuntoon ja tuloskäyrät kattoon.

*Lähteet:
”Why we need a new definition of information security”, Anderson, James M. Julkaisussa Computers & Security 2003, Vol.22(4).

Ransomware tietoisku ja posteri

Ohessa on tietoisku Ransomware eli kiristyshaittaohjelmista. Tein tietoiskun osana YAMK-opintojen Cybersecurity Management (kyberturvallisuuden hallinta) -kurssia. Tehtävänä oli tuottaa materiaalia sosiaalisen median tietoturvakampanjaa varten. Toinen osa tietoiskusta julkaistaan myöhemmin.

Lataa suomenkielinen Ransomware-posteri. Saatavilla on myös alkuperäinen englanninkielinen posteri.  Alla pieni esikatselukuva.

ransomware tietoisku

Ransomware eli kiristyshaittaohjelma ottaa haltuun tietokoneesi tai puhelimesi ja pyytää sinulta rahaa sen vapauttamiseksi.

F-Securen uhkaraportin mukaan yksi tietty kiristyshaittaohjelmaperhe oli vuoden 2014 jälkimmäisellä puoliskolla 10. suurin haittaohjelmauhka maailmassa. “Vasta kymmenes?” saatat pohtia.

Kyseinen haittaohjelmatyyppi on ollut huomattava ongelma viimeisen parin vuoden aikana. Havaituista uhista se saattaa olla jopa kaikkein ongelmallisin. (F-Secure 2014)

Näin Ransomware toimii

1. Saastuminen
Voit saada kiristyshaittaohjelman koneellesi saastuneesta sähköpostin liitetiedostosta tai päivittämättömän selainlaajennoksen kautta.

2. Salaus
Kiristyshaittaohjelma etsii koneeltasi mielenkiintoisia tiedostoja, kuten tekstidokumentteja, kuvia jne. Sitten ohjelma salakirjoittaa tiedostot niin, ettet voi käyttää niitä enää.

3. Kiristys
Haittaohjelma lukitsee koko laitteen ja pyytää rahaa. Käyttäjän on maksettava ajoissa tai hinta nousee.

4. Pelastus
Jos käyttäjä maksaa, tiedostot ehkä vapautetaan lukituksesta.

Miten suojaudun kiristyshaittaohjelmalta?

Paras suojaus kiristyshaittaohjelmia vastaan on pitää koneesi päivitettynä ja varmuuskopioida usein. Onko koneesi jo saastunut? Puhdista järjestelmä ja palauta kaikki tiedostot varmuuskopioista. Älä maksa rikollisille!

Lue lisää kiristyshaittaohjelmista poliisin, kyberturvallisuuskeskuksen ja F-Securen tekemältä sivustolta sekä F-Secure uhkaraportista H2/2014.