Tietoturvallisuutta pienellä budjetilla: valista & varaudu

Miten tietoturvallisuutta tulisi kehittää ja toteuttaa, jos siihen ei ole resursseja? Valista ja varaudu!

Valista!

Työntekijöiden tietoturvatietoisuuden lisääminen on hyvä keino nostaa yrityksen tietoturvan tasoa.

Hyvänä tavoitteena on pyrkiä sellaiseen malliin, jossa tietoturvallisuus ei ole enää kuorrute kakun päällä, vaan osa kokonaisuutta. Älä siis tee erillistä tietoturvaohjetta työntekoon vaan tietoturvallisia työohjeita!

Työntekijöiden kanssa olisi myös hyvä pohtia yleisimpiä tilanteita, joissa tietojen luottamuksellisuus, eheys tai saatavuus ovat uhattuna. Kun työntekijät ymmärtävät ja tunnistavat ennalta hankalat tilanteet, niin niiltä voidaan välttyä.

Varaudu!

Varautumista on monenlaista. Maksupääte hajoaa. Saatko jostain uuden nopeasti? Kannettava tietokone uitetaan kahvissa. Onhan tiedot tallessa muuallakin, kuin juuri kahvitetussa kovalevyssä?

Kansalaisia neuvotaan laittamaan rahaa säästöön pahan päivän varalle. Yrityksissä voitaisiin laittaa säästöön suunnitelma pahan ”mitä jos” -päivän varalle. Tee näin:

Mieti kolme mahdollista skenaariota, jotka todella haittaisivat yrityksesi liiketoimintaa. Esimerkkinä vaikkapa varastojärjestelmän hajoaminen. Sitten pohdi miten näistä skenaarioista selvitään. Dokumentoi tuotos. Testaa sen toimivuus käytännössä. Toipumissuunnitelman ensimmäinen versio on valmis!

Ei maksa paljoa. Kirstunvartija kiittää!

 

Mikäli sinulla on hyviä neuvoja ja kokemusta budjettiystävällisistä tietoturvaratkaisuista, niin laita kommenttia tai ota yhteyttä!

Verkkopalveluusi hyökätään päivittäin?

Tiesitkö, että julkiseen verkkopalveluusi hyökätään todennäköisesti päivittäin?

Mikäli sinulla on Internetiin julkisesti näkyvillä oleva verkkopalvelu, kuten esimerkiksi verkkosivut, tiedostopalvelin tai etäyhteyspalvelu, niin sitä yritetään todennäköisesti murtaa päivittäin.

Hyökkääjä on saattanut ottaa erityisesti sinun palvelusi kohteekseen tai sitten hän vain etsii Internetistä sattumanvaraisia kohteita ja yrittää tehdä niihin automaattisia hyökkäyksiä.

etsittyja_ohjelmistoja

Sattumanvaraisissa hyökkäyksissä verkkopalvelustasi etsitään yleensä jotain tiettyä sovellusta tai avointa tietoliikenneporttia, johon hyökkäyks sitten kohdistetaan. Yllä olevassa kuvassa on esimerkki siitä, kuinka hyökkääjä on etsinyt palvelimelta phpMyAdmin -sovelluksen tiettyjä versioita.

Mikäli etsit hakukoneella tietoa sovelluksen versionumerosta 2.5.7 niin huomaat, että kyseisestä versiosta on löydetty tietoturvahaavoittuvuus. Jos hyökkääjä löytää palvelimeltasi kyseisen version, niin hän voi helposti jatkaa automaattista hyökkäystä eteenpäin.

testatut_salasanat

Toisessa kuvassa on esimerkki eräästä lokitiedosta, joka on otettu SSH-etäyhteyspalvelusta. Kyseinen palvelu oli testimielessä oletusasetuksilla avoinna verkkoon noin 1,5 vuorokauden ajan. Sinä aikana palveluun yritettiin kirjautua yli 300 kertaa eri käyttäjätunnuksilla. Kuvasta huomaa hyvin sen, että kyseessä on ns. sanakirjahyökkäys, jossa yritetään arvata käyttäjätunnus-salasana pareja.

Tällaiset automaattiset hyökkäykset ovat siitä pelottavia, että niitä voidaan toteuttaa useita erittäin lyhyessä ajassa. Tästä johtuen on erittäin tärkeää, että verkkopalvelusi tietoturva on ajan tasalla. Muista pitää palvelut aina päivitettyinä ja sulje turhat avonaiset palvelut pois julkisesta verkosta. SSH-esimerkistä huomaa myös sen, että salasanojen monimutkaisuuteen* kannattaa kiinnittää huomiota.

Huomioi myös se, että automaattisia hyökkäyksiä tekevä taho ei välttämättä välitä siitä onko kohteena yritys vai kotikäyttäjä. Itse asiassa edellä mainitussa SSH-esimerkissä palvelu oli käynnissä normaalilla kotikoneella, johon siis hyökättiin 1,5 vuorokauden aikana yli 300 kertaa!

*Vinkki: Mikäli salasanojen hallinta tuottaa tuskaa, niin tutustu KeePass-ohjelmaan!

Kuvaaminen työpaikalla vaarantaa tietoturvan

Otetaanko teidän työpaikalla paljon kuvia, joita julkaistaan julkisuudessa? Olettehan varmistaneet, että kuvissa ei näy mitään ylimääräisiä tietoja?

The Guardian julkaisi marraskuussa 2012 uutiskuvia prinssi Williamin palveluspaikalta (armeija), mutta kuvista paljastui jotain, mitä ei oltu tarkoitettu julkisuuteen: käyttäjätunus ja salasana johonkin heidän järjestelmiinsä.

Tapausta on käsitelty tietoturvayhtiö Sophoksen Naked Security -blogissa, jossa myös kyseiset kuvat on näkyvillä.

Niin sanottu ”puhtaan pöydän periaate” koskee myös siis seiniä!

Voiko tietoturvan pettäminen tuhota koko yrityksen?

Viimeisen puolen vuoden aikana internetissä ja alan lehdissä on juteltu paljon ns. varmenneskandaalista. Ensin maaliskuussa 2011 rikollinen taho pääsi käsiksi tietoturvayritys Comodon tytäryhtiön SSL-varmennetietoihin[1] ja myöhemmin syksyllä sama tapahtui yritykselle nimeltä Diginotar[2].

Rikolliset onnistuivat luomaan väärennettyjä SSL-varmenteita, joita sitten esimerkiksi Google, Yahoo, Skype ja Mozilla saivat käyttöönsä[1]. Käytännössä tämä tarkoittaa sitä, että kyseisten palveluiden tietoturvallinen https-yhteys ei todellisuudessa olekaan ollut niin turvallinen.

1 CERT-FI: Vääriä SSL-varmenteita luotu käyttäen varastettuja käyttäjätietoja

2 CERT-FI: Väärennetty SSL-varmenne luotu Googlen osoitteille

 

Asiasta syntyi tapahtuketju, jonka seurauksena Diginotarin varmenteisiin ei enää luotettu ja kyseisen yrityksen varmenteet poistettiin myös eri käyttöjärjestelmistä ja nettiselaimista. Toisin sanoen, yrityksen luottamus on täysin kadonnut ja sitä voidaan pitää lähes kuolemantuomiona nykymaailmassa.

Kysymys: Mieti onko omassa yrityksessäsi jotain tietoa, jonka menettäminen johtaisi vastaavanlaiseen katastrofiin?

Kysymys: Miten olet suojannut liiketoiminnallesi tärkeät tiedot?

Kysymys: Onko yrityksessäsi mietitty, miten liiketoimintaa jatketaan vakavan tietomurron jälkeen?

Tietoturvaloukkauksen hinta yritykselle

CERT-FI uutisoi taannoin tietomurrosta Yhdysvaltalaiseen tietoturvafirmaan nimeltä RSA. Tietomurron vaikutus oli maailmanlaajuinen ja se aiheutti myös paljon uutisointia ja jälkipeliä aiheesta.

Myöhemmin selvisi [1][2]  että tietomurron selvittely ja jatkotoimenpiteet ovat maksaneet RSA:n emoyhtiölle EMC:lle jo $66 miljoonaa dollaria pelkästään toisen vuosineljänneksen aikana.

Yrityksesi tietoturvaa suunniteltaessa ja toteuttaessa kannattaa miettiä myös budjettiasioita. Onko kenties järkevämpää käyttää jonkin verran rahaa tietoturvan suunnitteluun ja ylläpitoon, kuin maksaa sitten jälkikäteen kalliisti. Entä mikä on menetettyjen asiakkaiden ja maineen hinta?

 

1) SANS NewsBites
2) Washington Post