Tulostusversio

4/2012

Riskienhallinta: Viisas varautuu verkkohyökkäykseen

Teksti: Kirsi Castrén

Kun nettirosvot hyökkäävät verkkopalveluun, ei ylläpitäjän kannata jäädä tuleen makaamaan. Apua on saatavilla, ja sitä kannattaa pyytää.

Tietomurron osuessa kohdalle moni organisaatio jättää julkisuuden pelossa ilmoittamatta tapahtuneesta viranomaisille. Vakavasta tietoturvaloukkauksesta selviytymiseen harvoin kuitenkaan riittävät palveluntarjoajan omat tai teleyrityksenkään keinot.

Viestintävirastossa toimiva kansallinen tietoturvaviranomainen CERT-FI auttaa palveluntarjoajia tietoturvauhkien torjumisessa.

Tiedon panttaus haittaa avunsaantia

Esimerkiksi bottiverkon kautta tehtävässä palvelunestohyökkäyksessä hyökkääjä ottaa haittaohjelman avulla haltuunsa jopa tuhansia pääasiassa kotitietokoneita, jotka saattavat sijaita useissa eri maissa, ja ryhmittelee koneet kaatamaan kohteena olevan verkkosivuston haluamanaan ajankohtana.

”Kun hyökkääjällä on tilanteessa etulyöntiasema, toimii uhri aina puutteellisen tiedon varassa. CERT-FI:n tuoma lisäarvo tilanteen ratkaisussa on muun muassa siinä, että voimme selvittää, onko samaa hyökkäysalustaa käytetty muitakin palveluntarjoajia vastaan”, kertoo päällikkö Erka Koivunen.

”Jos hyökkäyksestä ei voida meille kertoa oletetun salassapitotarpeen vuoksi, tai jos meitä kielletään pyytämästä lisätietoa suomalaiselta teleyritykseltä tai ulkomaiselta toimijalta, se vähentää mahdollisuuksiamme auttaa.”

Ei ensimmäisenä virustorjuntayhtiöön

Kun palvelun jumittumisen syynä on haittaohjelma, saattaa taustalla olla isompia asioita kuin ensi arvaamalta uskoisikaan.

”Jotkut räätälöidyt haittaohjelmat viittaavat valtiolliseen vakoiluun”, Koivunen sanoo. 

Hänen tiedossaan on tapauksia, joissa palveluntarjoaja on vienyt haittaohjelman virustorjuntayhtiön tutkittavaksi mutta ei ole ilmoittanut siitä Viestintävirastolle.

”Kun haittaohjelma annetaan virustorjuntayhtiölle, se lähtee kiertoon eri virustorjuntayhtiöille ympäri maailmaa”, Koivunen muistuttaa.

”Uskoisin, että kotimaiseen virustorjuntayhtiöön voi luottaa, mutta muiden maiden virustorjuntayhtiöissä saattaa olla jonkin tiedusteluelimen agentti sijoitettuna yhtiön sisälle. Räätälöity haittaohjelma toimii tällöin maalinosoituksena, jonka tarkoitus on näyttää, milloin kohdeorganisaatio on huomannut vakoilun”, hän varoittaa. 

”Jos organisaatiolla on aitoja salaisuuksia, pitäisi olla harkintaa, kehen voi luottaa.”

Tietomurroista ilmoittaminen pian pakollista

Suomessa toistaiseksi vain teleyrityksillä on velvollisuus ilmoittaa tietoturvaloukkauksesta Viestintävirastolle. EU:ssa on kuitenkin valmisteilla tietosuoja-asetus, jossa kaikki rekisterinpitäjät velvoitetaan ilmoittamaan viranomaiselle tietoturvaloukkauksesta, jossa henkilötiedot ovat saattaneet vaarantua.

Tietomurto on rikoslain mukaan useimmiten asianomistajarikos. Henkilötietolaki kuitenkin velvoittaa rekisterinpitäjää suojaamaan henkilötiedot riittävästi, ja suojausvelvoitteen laiminlyönti voi johtaa syytteeseen henkilörekisteririkkomuksesta.

Erka Koivunen vakuuttaa kuitenkin, että CERT-FI:ltä voi tulla rauhallisin mielin pyytämään apua tietoturvaloukkauksissa.

”Pyrimme keskustelemaan tietoturvaongelmista rakentavassa hengessä. Toistaiseksi emme ole joutuneet tekemään tutkintapyyntöjä.”

Tietoturvaongelmia ei pidä säikähtää

Internetissä, jos missä, pätee sanonta, että rikollinen on aina poliisia askeleen edellä. Sen sijaan, että pistettäisiin pää pensaaseen, Koivunen kannustaa parantamaan tietoturvapoikkeamien havaitsemista.

”Mitä nopeammin poikkeamat havaitaan ja mitä tehokkaammin vahinkoa pyritään rajoittamaan, sitä nopeammin päästään palaamaan normaaliin päiväjärjestykseen.”

Koivunen kertoo tosielämän esimerkin entisestä kollegastaan, tietoturva-asiantuntijasta, jolle annettiin tulostavoitteeksi havaittujen tietoturvapoikkeamien määrän puristaminen radikaalisti alas.

”Sen sijaan, että olisi parannettu tietoturvallisuutta ennaltaehkäisevästi, organisaatiossa käytännössä tärveltiin tietoturvapoikkeamien raportointikanava, jotta poikkeamat eivät tulisi tietoon ja estäisi tulospalkkioiden laukeamista.”

”Sitä saa, mitä mittaa ja mistä palkitsee; sillä kertaa saatiin silmänlumetta ja silmänpalvontaa”, Koivunen toteaa. 

Lue myös

Tietoturva: "Miksi minulle ei ole kerrottu?" »
Riskienhallinta: Hataran tietoturvan kavalat seuraukset »
Riskienhallinta: Varaudu hyvin »
Riskienhallinta: Peruspilarit »
Riskienhallinta: Oma laite ei käy kaikkeen »
Riskienhallinta: Tietosuojan laiminlyönti voi käydä kalliiksi »
Riskienhallinta: Tietoturvaloukkaus on riski myös maineelle »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.