Tulostusversio

4/2013

Tietomurrot: Entä jos meille murtaudutaan?

Teksti: Antti J. Lagus

Perusteellinen varautuminen nopeuttaa tietomurrosta toipumista.

Ihminen on aina tietojärjestelmien heikoin lenkki. Ihmiset ovat tehneet nekin ohjelmistot, joiden haavoittuvuuksia tietomurroissa käytetään. Ihmiset myös usein tahtomattaan auttavat verkkorikollista sisäänpääsyssä.

Tällaisiin uhkiin voi varautua ja miettiä jo etukäteen, mitä tehdä, jos… Kun tietomurtoihin on varauduttu ja tilanteista selviämistä harjoiteltu, organisaatiot pääsevät huomattavasti nopeammin takaisin tavalliseen toimintaansa.

Selvitä, mistä hyökätään

Jos organisaatiossa aletaan epäillä tietomurtoa, ei ole välttämättä tarkoituksenmukaista irrottaa heti kaikkia piuhoja, vaan yrittää selvittää, mistä hyökkäys tulee. Muuten voi olla vaarana, että kun hyökkääjä havaitsee, että hänet on huomattu, hän vetäytyy ja jättää järjestelmään jonkin takaoven, jota kautta voi tulla sisään tilanteen rauhoituttua. Asiantuntijatyötä selvitykseen voi tarvittaessa hankkia myös organisaation ulkopuolelta.

Hyökkääjät kehittävät koko ajan uusia menetelmiä. He voivat esimerkiksi hakea internetistä viitteitä siitä, minkä organisaatioiden kanssa kohdehenkilö on tekemisissä. Kun tällaiselta taholta näyttää tulevan sähköpostiviesti, sen aitoutta ei epäillä samalla tavoin kuin tuntemattomalta tulevan viestin, ja liitetiedosto tulee todennäköisemmin avatuksi.

Kun hyökkääjä on saanut yhden käyttäjän koneen jumiin, hän odottaa, että ylläpidosta joku, jolla on pääkäyttäjätunnukset, tulee korjaamaan konetta. Sitten hän nappaa pääkäyttäjätunnuksetkin.

Palomuuri ei riitä

Niin suojattua järjestelmää ei olekaan, ettei siihen voisi murtautua, jos hyökkääjällä tarpeeksi motivaatiota ja resursseja, muistuttaa tietoturvakonsultti Antti Nuopponen Nixu Oy:stä

”Jos joku väittää, että meidän järjestelmiin ei voi murtautua, hän ei tiedä, mistä puhutaan.”

Enää ei voida ajatella niin, että palomuuri erottaa organisaation kaikesta pahasta, mitä verkossa on. Työasemien ei pitäisi pystyä suoraan kommunikoimaan toisten työasemien kanssa, eikä palvelimista pitäisi olla mahdollista avata yhteyksiä vapaasti. Nuopponen vertaa rakennetta keskiaikaiseen linnaan, jossa vihollisen pääsyä sisimpään vaikeutettiin muurilla ja useilla linnanpihoilla.

Joskus hyökkääjät ovat voineet seurata kohdettaan vuosikausiakin. Nuopponen kehottaakin tuhoamaan sellaiset materiaalit, joita ei enää tarvita. Tämä helpottaa myös ylläpidon työtä, kun tallennustilaa ei tarvita niin valtavasti. Nuopponen suosittelee myös tiedon luokittelua ja luokittelun mukaista käsittelyä. Salainen tieto on luonnollisesti arkaluonteisempaa kuin julkinen.

Myös harjoittelu on varautumista

Viranomaisten tietojärjestelmien turvallisuutta ja tietoturvakontrollien riittävyyttä arvioidaan Viestintävirastossa. Tarkastus ja hyväksynnät -ryhmän päällikkö Aki Tauriaisen mukaan asiakkaiden kypsyystaso on paranemaan päin, joskaan hallinnossa ei vielä olla tasalaatuisia.

”Varautumisen tulee olla sitä suurempaa, mitä kriittisemmästä palvelusta on kyse. Jonkin verkkopalvelun poisjääminen voi merkitä suuriakin taloudellisia menetyksiä”, Tauriainen sanoo.

Kaikkien organisaatioiden pitää määritellä omat kriittiset palvelunsa itse. Tauriainen muistuttaa, että ulkopuolinen ei tähän kykene. Arvioinnissa voidaan kuitenkin ottaa kantaa esimerkiksi siihen, tarvitaanko varmennettua tietoliikennettä tai kahdennettua konesalia. Lisäksi annetaan menettelytapaohjeita henkilöstölle esimerkiksi sähkökatkon tai palvelunestohyökkäyksen varalta.

Jotta tietomurtoa ei tapahtuisi, organisaatiot ohjeistavat ja kouluttavat työntekijöitään. Tauriainen kehottaa myös harjoittelemaan. Näin voidaan havaita sellaisia asioita, joita ei ole tultu ajatelleeksikaan.

Omiin järjestelmiin saa ”tunkeutua”

Tauriainen kehottaa testaamaan tietojärjestelmiä tietomurtojen ehkäisemiseksi. Jos testaaminen annetaan ulkopuolisen tahon tehtäväksi, sen kanssa on kuitenkin syytä laatia turvallisuussopimus.

Poliisilla ei ole mitään omien tietojärjestelmien testaamista tai tietojärjestelmiin testimielessä tunkeutumista vastaan. Ylitarkastaja Sari Kajantie Keskusrikospoliisista siteeraa lakia, jossa sanotaan: ”joka oikeudetta tekee…”. Kun testeihin on lupa omistajalta, niitä voidaan tehdä itse tai teettää ulkopuolisella palveluntarjoajalla.

Kajantie huomauttaa, että yleiskielessä tietomurroiksi kutsutuissa tapauksissa on itse asiassa kyse luvattomasta käytöstä tai vaaran aiheuttamisesta tietojärjestelmälle. Koska samalla luvattoman käytön nimikkeellä rekisteröidään nykyään myös esimerkiksi pyörävarkaudet, ei poliisilla ole järkevää tilastoa tietomurroista. Tämä on Kajantien mukaan tunnistettu poliisihallinnossa, ja korjaus on tekeillä.

Valtaosan tapauksista tutkii paikallispoliisi. Keskusrikospoliisin tutkittaviksi tulevat sellaiset tietomurtoepäilyt, jotka on toteutettu jollakin tavalla järjestäytyneesti tai joilla on selvästi kansainvälisiä kytkentöjä.

Kertomalla autat muita

Jos kaikesta varautumisesta huolimatta järjestelmät joutuvat tietomurron kohteeksi, Nixun Antti Nuopponen kehottaa organisaatiota käymään läpi, miten murto oli mahdollinen, ja miten tietoturvakontrolleja voitaisiin kehittää. Tällaista palautekeskustelua ei aina pidetä, minkä vuoksi sen pitäisi olla kirjattuna prosessiohjeisiin.

Viestintäviraston Aki Tauriainen tietää, että harva tietomurron kohteeksi joutunut haluaa tuoda sitä esiin. Toimintatapojen parantamisen kannalta olisi kuitenkin suotavaa, että siitä kerrottaisiin. Näin voitaisiin ehkäistä se, ettei ainakaan samalla menetelmällä tunkeuduta toisten organisaatioiden tietoihin.

Lue myös

Tietomurrot: Älä jätä pukkia kaalimaan vartijaksi »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.