keskiviikko 20. tammikuuta 2016

Kenelle varmuuskopioit?

Eräs yleinen organisaatioiden turvallisuuteen liittyvistä puutteista liittyy varmuuskopiointiin. Hyvin monessa organisaatiossa ne jo löytyvät, mutta se miten näitä tietokokoelmia säilytetään, vaihtelee suuresti.

Lähtökohtaisesti varmuuskopioilla on koottuna kaikki organisaation tieto yhteen paikkaan. Joskus jopa kaikki sellainenkin tieto, jota ei ole varsinaisesti tarkoitettu sinne. Esimerkiksi työntekijöiden henkilökohtaiseenkin viestintään liittyvää tietoa voi päätyä organisaation varmuskopioille. Esimerkiksi silloin, jos joku työntekijöistä varmuuskopioi vaikka kännykkänsä työkoneelle, joka varmuuskopioidaan yrityksen omaan järjestelmään. Näin varmuuskopiot voivat sisältää tekstiviestejä, puhelutietoja ja muuta henkilöiden viestintäkäyttäytymiseen ja verkostoihin liittyvää tietoa. Varmuuskopioiden sisältämä tieto on joskus paljon enemmän, kuin organisatiosta haluttaisiin edes kertoa ulos. Eikä ihme, että ne siksi kiinnostavat ulkopuolisia.

Varmuuskopioihin liittyy myös hiukan psykologinenkin ongelma. Niitä kerätään itse ja niitä harvoin tarvitaan. Pahimmassa tapauksessa ei aina pidetä edes tarkasti kirjaa siitä, mihin tietoja on varmuuskopioitu. Niiden säilytyksen aikaiseen suojaamiseenkaan ei välttämättä muisteta panostaa yhtä paljon kuin organisaation operatiivisessa käytössä olevan tiedon suojaamiseen. Varmuuskopiot tosin kiinnostavat uteliasta usein todella paljon jo edellisessä kappaleessakin mainittujen seikkojen takia. Lähtökohtaisesti varmuuskopiot pitää suojata aina samalla tavoin kuin niiden sisältämä arkaluontoisin tieto suojattaisiin.

Jos varmuuskopiot ovat helposti saatavilla, avaavat ne myös hyökkäysvektorin organisaation sisään. Maailmalta löytyy esimerkkejä siitä, että varmuuskopiot on ensin saastutettu haittaohjelmilla ja kun niiltä palautetaan tuotantoon aineistoa, päätyvät haittaohjelmat tuotantoympäristöihin. Koska varmuuskopioilla on organisaation kaikki tieto, on hyökkääjällä mahdollisuus sovittaa ja valita haittaohjelmat siten, että niiden havaitsemisen todennäköisyys on todella pieni. Varmuuskopioiden suojaaminen pitäisi siis olla suunnittelupöydällä heti siitä hetkestä alkaen, kun niitä aletaan organisaatioissa tekemään.