tiistai 30. lokakuuta 2012

Tilaturvallisuus ja tietoturva

Uusimmassa tietoturvallisuuskatsauksessaan (2/2012) Viestintävirasto nosti esiin varmenteisiin kohdistuvat tietoturvallisuusloukkaukset (mm. CRIME, BEAST), joissa hyödynnetään mm. salaukseen käytettävien SSL/TLS protokollien heikkouksia. Kuulostaa tekniseltä, mutta eräs hyvin olennainen suojautumiskeino ei vaadi propellihattua ollenkaan. Potentiaalisesti em. uhat eivät ole suuria tai päivitetyissä ympäristöissä edes todennäköisiä, mutta muistuttivat minua asiasta, johon törmäämme joka viikko.

Menetelmissä olennaista on nimittäin se, että hyökkääjä pääsee kuuntelemaan ja muokkaamaan kohteen verkkoliikennettä. Ensimmäisenä tulee tietenkin mieleen langattomat verkot ja niiden suojaus, mutta omissa haavoittuvuustestauksissa kerta toisensa jälkeen toistuu paljon tavallisempi ongelma. Langattomat verkot nimittäin tiedetään turvattomiksi ja niihin suhtaudutaan siksi asian vaatimalla vakavuudella jo pystytysvaiheessa. Sen sijaan perusinfrastruktuurin suojaaminen on usein asia, josta ei ole huolehdittu tai sitten sitä ei ole vaan kukaan tullut ajatelleeksi.

Varsinkin suurissa organisaatioissa, joissa tiloja ja toimipisteitä on paljon, ihmisiä liikkuu enemmän ja turvallisuuspäällikkö sekä tietohallintopäällikkö istuvat liian kaukana toisistaan, on ongelma tavallinen. Haitantekoon tai jopa hyökkäykseen ei tarvita kuin pääsy asiakastiloihin tai muuhun edes puolijulkiseen tilaan, verkkopiuha kiinni pistorasiaan ja sisällä ollaan. Pahimmassa tapauksessa asia on tehty niinkin helpoksi, että jopa talo- tai kerrosjakamoihin tai muihin sähkö- ja teletiloihin on pääsy kenellä tahansa. Tai pääsy on ainakin heikosti valvottua. Tietoverkojen suojaamisen ja suunnittelun yhteydessä on muistettava myös se, missä johdot fyysiessä maailmassa kulkevat. Voidaanko aina tehdä oletus, että ne sijaitsevat omien seinien sisällä? Ja vaikka olisivatkin, onko mahdollista suojata niitä ovien lukituksella? Ja ellei ole, niin mitä verkkoja kannattaa ulottaa ihan jokaiseen asiakastilaan asti?

Kannattaa muistaa, että tietoturvallisuuden suunnittelu organisaatioissa on aina sen paremmalla pohjalla, mitä enemmän siihen osallistuu organisaatioista näkemystä ja kokemusta!

Ei kommentteja:

Lähetä kommentti