sunnuntai 27. lokakuuta 2013

Onnistuminen turvallisuudessa - viranomaiset ja yrittäjät

Tämän viikonlopun kertausharjoituksissa pelastusalan ammattilaiset opettivat tietoturvasta jotain todella tärkeää. Koko opetus kiteytyy lauseeseen "Vaikka Helsingissä koko Itäkeskus palaisi, on palokunta onnistunut" 

Palokunnan tavoitteena on sammuttaa palo siinä palo-osastossa, jossa se on alkanut. Jos palo-osasto on 60 000 neliömetriä, mutta palo ei leviä, on kyseessä onnistuminen. Ensisijaisesti vastuu palontorjunnassa ja pelastautumisessa on kuitenkin palo-osaston - kuten asunnon tai toimitilan - omistajalla. Jos yritys menettää kilpailijalle asiakasrekisterinsä tai tuoterakennetietonsa tai vaikkapa pahimmassa tapauksessa avainhenkilönsä, on kyse tietenkin yrityksen laiminlyönnistä asioiden hoidon suhteen. Jos Suomi yhden tai kahden yrityksen laiminlyöntien vuoksi valtiona menettää kilpailuetua kansainvälisillä markkinoilla tärkeiden patenttien suojaamisessa tai osaamisen suojaamisessa, ei se ole ole vielä ongelma. Kunhan toimiala säilyy.

Monesti kaikesta yksilönvapauden korostamisesta huolimatta ei yritysmaailmassa olla kiinnostuneita riittävästi yksittäisten yritysten vastuista. Vaikka omien vastuiden huolellinen hoitaminen on paras tae vapaudelle ja menestymiselle. Yritysmaailmassa liian usein odotetaan, että kyllä se viranomainen meitä tiedottaa kyberuhista ja kyllä se viestintävirasto sitten soittaa, jos meillä on tosi paha ongelma. Todellisuudessa he eivät voi keskittyä kaikkeen, kunhan toimiala säilyy ja avainresurssit ovat olemassa. Siksi omaa menestymistään miettiessä ei kannata luottaa liikaa viranomaisiin tai kuten monissa tapauksissa - puhtaaseen onneen.

Ikävän moni vielä luottaa. Mutta näinhän ne parhaat erottuvat.




torstai 10. lokakuuta 2013

Poliisin resurssit vai asiakkaan ongelma?

MTV3 uutisoi 9.10 verkkosivuillaan ja 45 minuuttia -ohjelmassa, miten poliisi ohjaa asiakkaita yksityisetsiville resurssien puutteen vuoksi. Sama ilmiö näkyy meillä tietoturvapuolella, mutta onko syynä vaan poliisin resurssit?

Kuuluuko sitten poliisin perustehtäviin ratkoa uskottomuutta, johon 45 minuuttia -ohjelman juttu keskittyi? Tai onko se poliisin asia, jos vakuutusyhtiö haluaa varmistaa, että työkyvytön on ihan oikeasti työkyvytön? Onko poliisin tehtävä varmistaa, että kaikki on kunnossa myös silloin, kun ei ole mitään syytä epäillä rikosta tapahtuneen?

Sama ongelma on usein tietotekniikkapuolella. Poliisille viedään tietomurtoepäilyjä, yrityksen tietoaineistojen vuotoepäilyjä, kilpailukieltojen rikkomisepäilyjä ja vastaavia ilman, että on mitään näyttöä siitä, että mitään olisi edes tapahtunut. Parhaimmillaan tietomurtoepäily perustuu vain siihen, että rahaa ei ole tilillä niin paljon kuin ennen, vaikka kirjanpitokin osoittaa kannattavuuden laskua. Ja jos kynnys ylittyykin tutkinnan käynnistämiseen, on organisaation tietotekniikkaratkaisut toteutettu niin, että näyttöäaineistoa ei enää saada, kun vihdoin poliisille asti päästään.

Täytyykö poliisilla olla resursseja tällaiseen työhön? Ellei ole pitänyt huolta omasta parisuhteestaan, onko se poliisin tehtävä ratkoa sen ongelmia? Ellei ole pitänyt huolta omasta tietotekniikkaympäristöstään, onko se poliisin tehtävä korjata jäljet, kun jotain sattuu? Poliisihan täyttää tässä vaan omaa velvoitettaan kansalaisten neuvomisessa ja ohjaamisessa, kun ohjaa heidät sellaisten palveluiden äärelle, joita he tarvitsevat.



keskiviikko 9. lokakuuta 2013

Sosiaalisen hakkeroinnin asiantuntija Kevin Mitnick

Digitoday uutisoi 8.10.2013 Reaktor Dev day 2013 – tapahtumasta, jossa maailman yksi tunnetuimmista hakkereista Kevin Mitnick kertoi kuulijoilleen suurimmista tietoturvauhista. Erityisesti sosiaalisesta ihmisten manipuloinnista. Tässä koonti artikkelin avainkohdista.

  • Kevin Mitnick sanoo, että paras tapa tunkeutua järjestelmään on sosiaalisin keinoin. Hän itse tunkeutui Nokian järjestelmiin 1990-luvulla, keinonaan ihmisten manipulointi. Hän tekeytyi yhtiön työntekijäksi ja sai Nokian Britannian-toimistolta kysymällä käyttäjätunnukset yhtiön Salon-palvelimille. Salon-palvelimilla säilytettiin tuolloin puhelimien lähdekoodeja.
  • Kohdeyrityksen käyttämien työasemien tai tietoturvaohjelmistojen valmistajan ja mallin saa selville soittelemalla valmistajille ja tekeytymällä murron kohteena olevan firman asiakkaaksi. Vastauksen saadakseen ei montaa puhelinsoittoa tarvita. ”Myyjät haluavat myydä lisää, ja siksi he vastaavat kysymyksiin auliisti.”
  • Kun hakkeri on saanut selvitettyä työasemien valmistajan, hän voi sen nimissä lähettää esimerkiksi erän näppäimistönauhureilla varustettuja näppäimistöjä.
  • Social engineering –hyökkäys perustuu hyvään organisaation tuntemukseen. Yhtiön omilta kotisivuilta saa yleensä tiedon avainhenkilöistä ja heidän yhteystiedoistaan. Erityisesti verkkoyhteisöpalvelu Linkedin avulla löytyy yrityksen järjestelmäylläpitäjät ja verkonvalvojat, jotka ovat murtautumisen kannalta tärkeää tietoa.
  • Helppoja kohteita ovat myös yritykselle työskentelevät freelancerit. Jotka käyttävät konettaan samassa yritysverkossa kohteen kanssa. Jos freelancerin koneeseen saa tartutettua haittaohjelman, on se yleensä hyvin nopeasti myös leviämässä yrityksen verkossa.

Mitä ihmiset ja yritykset ovat oppineet?


Kevin Mitnick toteaa, että useimmissa yhtiöissä helpdeskin työntekijäksi tekeytyminen ja tietojen kyseleminen ei käyttäjältä puhelimitse enää onnistu.

Stuxnet –hyökkäyksissä hakkeri saastuttaa USB-muistitikun haittaohjelmalla ja vie sen esimerkiksi jonkun työntekijän työasemalle tai yrityksen etuovelle. Haittaohjelma lähtee leviämään samalla hetkellä kun utelias työntekijä liittää sen työasemaansa. Mitnickin mukaan Stuxnet-hyökkäykset ovat nykyään hyödyttömiä, koska useimmat työntekijät eivät liitä työasemaansa satunnaisia muistitikkuja.

Opsecin tekemät testit kuitenkin osoittavat, että molemmat näistä tavoista toimivat edelleen Suomessa.


Jukka Uusi-Pohjola  
Harjoittelija
OpSec Oy